TLS Requred

TFrenz

Member
May 13, 2020
78
7
8
57
Hallo, wir müssen sicherstellen, das eine TLS-Verbindung zum Empfänger aufgebaut wird.
Nun habe ich in der "TLS Destionation Policy" die Empfänger Domäne eingetragen.
Auch wurde "Enable TLS" eingeschaltet.
Die Test gegenstelle stelt kein TLS zur verfügung. Wie lange ist die Mail nun in der Queue, bis diese abgelehnt (bouce) wird?
Oder kann man da etwas anderes einstellen, damit wenn kein TLS verfügbar ist ein Bounce gemacht wird

Danke
 

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
6,197
865
148
Die Test gegenstelle stelt kein TLS zur verfügung. Wie lange ist die Mail nun in der Queue, bis diese abgelehnt (bouce) wird?
Soweit ich mich erinnere resultiert das (tls policy encrypt + kein tls support auf der Gegenseite) in einem 4x0 Fehler -> sprich temp-fail - in dem fall sollte die mail 5 Tage in der queue bleiben - http://www.postfix.org/postconf.5.html#maximal_queue_lifetime

ist aber eher nur aus dem Gedächtnis heraus - sprich im Zweifelsfall bitte lieber die Logs vergleichen und (wenn benötigt) hier teilen
 

TFrenz

Member
May 13, 2020
78
7
8
57
Hallo Stoiko,
nei es wird mit 250 resultiert.
Aber dann kommt noch das TLS required ist, aber nicht angeboten wird.
Das mit der Aueue Lifetime verstehe ich, aber gibt es nicht noch eine andere möglichkeit bei TLS required und kein TLS angeboten sofort abzubrechen (Bounce)?

Denn wenn ich die Lifetime ändere, wird ja wieder bei einem Update die Datei main.cf überschrieben.
Habe ich auch schon bei relayhost mit Authentifizierung gehabt.
Daher möchte ich das nur bedingt ändern.

Danke Thomas

Code:
Jan 11 16:56:18 mta postfix/smtpd[71153]: connect from mail01.XXX.local[192.168.XXX.YYY]
Jan 11 16:56:18 mta postfix/smtpd[71153]: Anonymous TLS connection established from mail01.XXX.local[192.168.XXX.YYY]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jan 11 16:56:18 mta postfix/smtpd[71153]: D4E2B203A5: client=mail01.XXX.local[192.168.XXX.YYY]
Jan 11 16:56:18 mta postfix/cleanup[71137]: D4E2B203A5: message-id=<OF496570AA.7352F307-ONC12587C7.005785D1-C12587C7.00578D93@mydomain.de>
Jan 11 16:56:18 mta postfix/qmgr[850]: D4E2B203A5: from=<Thomas@mydomain.de>, size=1601, nrcpt=1 (queue active)
Jan 11 16:56:18 mta postfix/smtpd[71153]: disconnect from mail01.XXX.local[192.168.XXX.YYY] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Jan 11 16:56:18 mta pmg-smtp-filter[69959]: 2125D61DDA8A2DBE37: new mail message-id=<OF496570AA.7352F307-ONC12587C7.005785D1-C12587C7.00578D93@madomain.de>#012
Jan 11 16:56:18 mta pmg-smtp-filter[69959]: 2125D61DDA8A2DBE37: Subject: test TLS 1
Jan 11 16:56:18 mta pmg-smtp-filter[69959]: 2125D61DDA8A2DBE37: From: Thomas@mydomain.de
Jan 11 16:56:18 mta postfix/smtpd[71143]: connect from localhost.localdomain[127.0.0.1]
Jan 11 16:56:18 mta postfix/smtpd[71143]: E25E921311: client=localhost.localdomain[127.0.0.1], orig_client=mail01.XXX.local[192.168.XXX.YYY]
Jan 11 16:56:18 mta postfix/cleanup[71137]: E25E921311: message-id=<OF496570AA.7352F307-ONC12587C7.005785D1-C12587C7.00578D93@ebf-frenz.de>
Jan 11 16:56:18 mta postfix/qmgr[850]: E25E921311: from=<Thomas@mydomain.de>, size=2086, nrcpt=1 (queue active)
Jan 11 16:56:18 mta postfix/smtpd[71143]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Jan 11 16:56:18 mta pmg-smtp-filter[69959]: 2125D61DDA8A2DBE37: accept mail to <administrator@testdomain.com> (E25E921311) (rule: default-accept)
Jan 11 16:56:18 mta pmg-smtp-filter[69959]: 2125D61DDA8A2DBE37: processing time: 0.031 seconds (0, 0.016, 0)
Jan 11 16:56:18 mta postfix/lmtp[71138]: D4E2B203A5: to=<administrator@testdomain.com>, relay=127.0.0.1[127.0.0.1]:10023, delay=0.06, delays=0.01/0/0.02/0.03, dsn=2.5.0, status=sent (250 2.5.0 OK (2125D61DDA8A2DBE37))
Jan 11 16:56:18 mta postfix/qmgr[850]: D4E2B203A5: removed
Jan 11 16:56:19 mta postfix/smtp[71144]: E25E921311: to=<administrator@testdomain.com>, relay=mail.testdomain.com[46.4.XXX.YYY]:25, delay=0.54, delays=0/0/0.53/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host mail.testdomain.com[46.4.XXX.YYY])
Jan 11 16:56:52 mta postfix/qmgr[850]: E25E921311: from=<Thomas@mydomain.de>, size=2086, nrcpt=1 (queue active)
Jan 11 16:56:52 mta postfix/smtp[71144]: E25E921311: to=<administrator@testdomain.com>, relay=mail.testdomain.com[46.4.XXX.YYY]:25, delay=33, delays=33/0/0.07/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host mail.testdomain.com[46.4.XXX.YYY])
Jan 11 16:57:00 mta postfix/qmgr[850]: E25E921311: from=<Thomas@mydomain.de>, size=2086, nrcpt=1 (queue active)
Jan 11 16:57:00 mta postfix/smtp[71144]: E25E921311: to=<administrator@testdomain.com>, relay=mail.testdomain.com[46.4.XXX.YYY]:25, delay=41, delays=41/0/0.09/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host mail.testdomain.com[46.4.XXX.YYY])
Jan 11 17:04:16 mta postfix/qmgr[850]: E25E921311: from=<Thomas@mydomain.de>, size=2086, nrcpt=1 (queue active)
Jan 11 17:04:16 mta postfix/smtp[71267]: Trusted TLS connection established to mail.testdomain.com[46.4.XXX.YYY]:25: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256
Jan 11 17:04:16 mta postfix/smtp[71267]: E25E921311: to=<administrator@testdomain.com>, relay=mail.testdomain.com[46.4.XXX.YYY]:25, delay=478, delays=477/0.03/0.28/0.14, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as C352C60DD7)
Jan 11 17:04:16 mta postfix/qmgr[850]: E25E921311: removed
 
Last edited:

Stoiko Ivanov

Proxmox Staff Member
Staff member
May 2, 2018
6,197
865
148
Denn wenn ich die Lifetime ändere, wird ja wieder bei einem Update die Datei main.cf überschrieben.
beim PMG muss zur Aenderung der Postfix config das templateing system verwendet werden:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmgconfig_template_engine

nei es wird mit 250 resultiert.
ja - aber die mail wird auf dem PMG gequeued
Das mit der Aueue Lifetime verstehe ich, aber gibt es nicht noch eine andere möglichkeit bei TLS required und kein TLS angeboten sofort abzubrechen (Bounce)?
aus der postfix referenzdokumentation zu dem Thema (http://www.postfix.org/TLS_README.html#client_tls_encrypt):
If no suitable servers are found, the message will be deferred.
(Was ja auch Sinn macht, falls die Gegenseite die Konfiguration in Ordnung bringt)

Sprich - ich würde wirklich davon abraten da viel zu ändern.
Falls es doch gewünscht ist - könnte folgender postifx parameter potentiell helfen:
http://www.postfix.org/postconf.5.html#default_delivery_status_filter

Wie gesagt - die postfix defaults sind normalerweise sehr gut überlegt!
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get your own in 60 seconds.

Buy now!