Postfix

demsi01

Hallo zusammen,
ich bin ganz neu hier und versuche mich gerade zum ersten mal am Grommunio.
Wir möchten umsteigen von Univention/Kopano...

Nun haben wir einen Testmailserver aufgesetzt und stoßen dabei auf ein Problem, das wir nicht in den Griff bekommen.

Unser Anbieter für Mails ist Strato...
smtp.strato.de:465
pop3.strato.de:995

Nun haben wir die main.cf wir folgt angepasst:

relayhost = smtp.strato.de:465

############################################################
#SASL stuff
############################################################
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = lmdb:/etc/postfix/sasl_passwd
smtpd_sasl_auth_enable = yes

smtp_use_tls = yes
#smtp_tls_loglevel = 0
smtp_enforce_tls = no
smtp_tls_security_level = encrypt
smtp_tls_CAfile =
smtp_tls_CApath =
smtp_tls_cert_file =
smtp_tls_key_file = 
smtp_tls_wrappermode = yes

#smtp_tls_policy_maps = lmdb:/etc/postfix/tls_policy
#smtp_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database =

smtpd_use_tls = no
#smtpd_tls_loglevel = 0
smtpd_enforce_tls = no
smtpd_tls_security_level = may
smtpd_tls_CAfile =
smtpd_tls_CApath =
smtpd_tls_cert_file = /etc/grommunio-common/ssl/server-bundle.pem
smtpd_tls_key_file = /etc/grommunio-common/ssl/server.key
smtpd_tls_ask_ccert = no
smtpd_tls_exclude_ciphers = RC4
smtpd_tls_received_header = yes`

die sasl_passwd haben wir wie folgt angepasst:
`#sasl_passwd
#Syntax:
#domain        username:password
#Example:
#foo.com       username:password
#See /usr/share/doc/packages/postfix/README_FILES/SASL_README
#for more details
smtp.strato.de:465              accountname@unseredomain.de:xxxxxxPASSWORTxxxxxxxxx

ebenso die transport so: (wir möchten, dass wenn intern Emails geschrieben werden, sie trotzdem über den Provider laufen:
archive@dehwsms02.wip.lan smtp:[127.0.0.1]:2693

Nun haben wir aber folgendes Problem / Erklärung:

a. Emails an eine externe Emailadresse (blabla@outlook.de) funktioniert
b. Emails wir wir von "außerhalb" bekommen werden zwar abgerufen, aber nicht dem "User" zugestellt. Fetchmail läuft aber die interne "Vermittlung" scheitert mit folgendem Eintrag in Mail Warteschlange:

E4EBD1080	deferred	17.12.2023 14:55:40	user@unseredomain.de	
archive@detest02.internedomain.lan (delivery temporarily suspended: Cannot start TLS: handshake failure)

user@unseredomain.de (Cannot start TLS: handshake failure)

Nun "fummeln" wir schon 2 Tage daran herum ... aber ich denke, da wir irgendwo einen Konfigfehler drinnen haben, wir den aber nicht erkennen.... Fragen wir bei Euch, die bestimmt schon viel mehr Ahnung davon haben ... mal nach.

Wäre super wenn uns wer helfen könne 🙂 Sind bisher sehr begeistert und möchten den auch in Produktiveinsatz bringen. Derzeit zum Testen noch Communityversion.

Viele Grüße M

WalterH

demsi01
smtpd_use_tls = no

auf yessetzen,

demsi01
smtp_tls_cert_file =
smtp_tls_key_file =

und hier die Zertifikate eintragen, dann testen.

Andy

Gehe mal folgendes durch:

/etc/sysconfig/fetchmail (kann hilfreich sein)
FETCHMAIL_FETCHALL="no"

/etc/postfix/main.cf

#relayhost
relayhost = smtp.strato.de:587

#SASL stuff
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = lmdb:/etc/postfix/sasl_passwd
smtp_use_tls = yes

Darauf achten, dass sich Variablen nicht wiedersprechen, also erst "yes", und weiter unten "no"

/etc/postfix/sasl_passwd
#your smtp.com
smtp.strato.de:587 user:password

Zugangsdaten in lmdb-Datei mappen, Neustart von Postfix:
postmap /etc/postfix/sasl_passwd && systemctl restart postfix && systemctl status postfix

Fetchmail und Smtp sasl starten
systemctl enable fetchmail && sleep 5 && systemctl start fetchmail && sleep 5 && grommunio-admin fetchmail write-rc -f
systemctl enable saslauthd && sleep 5 && systemctl start saslauthd && sleep 5 && systemctl restart postfix

Reboot

demsi01 pop3.strato.de:995

Beim Benutzer kann bei Fetchmail auch IMAP verwendet werden

demsi01

WalterH

Hallo, danke für die schnelle Antwort und das am Sonntag 🙂

Was für Zertifikate...? Bitte um Entschuldigung, wenn ich so doof frage...

Gruß M

EDIT:
Diese?

dehwsms02:/etc/postfix # ls -l /etc/grommunio-common/ssl/
total 8
-rw-r--r-- 1 gromox gromox 1208 Dez 17 09:09 server-bundle.pem
-rw------- 1 gromox gromox 1708 Dez 17 09:09 server.key

WalterH

z.B.: so:

smtp_tls_cert_file = /etc/grommunio-common/ssl/server-bundle.pem
smtp_tls_key_file = /etc/grommunio-common/ssl/server.key

demsi01

WalterH

ok danke...

habe das mal eingesetzt nun kommt unter "Mail Warteschlange":
(Test ... Mail an mich selbst geschickt > wie unten angegeben wird nicht an mich zugestellt. Aber sende ich an eine "fremde Email, geht diese durch und wird auch dem "fremden" zugestellt)

91C501103	deferred	17.12.2023 18:38:01	user1@wirdiefirma.de	
archive@dehwsms02.wirdiefirma.lan (Cannot start TLS: handshake failure)

0765B10FD	deferred	17.12.2023 17:37:46	user1@wirdiefirma.de	
archive@dehwsms02.wirdiefirma.lan (Cannot start TLS: handshake failure)

user1@wirdiefirma.de (Cannot start TLS: handshake failure)

Woran könnte das liegen´?

Haben wir was vergessen ?

Viele Grüße M

demsi01

Andy

Hallo, vielen Dank für Ihre Antwort. Wir werden das morgen als ersten nochmal genau prüfen und nach Ihrer "Anleitung" durchgehen.

Nach Ausführung geben wir Rückmeldung.

Nochmals Danke für die Antwort am Sonntag....

Schönen Abend M

demsi01

Andy

Hallo,

wir haben das heute und eben nochmal in einer komplett neuen Umgebung versucht umzusetzen.

Der Versand nach extern funktioniert, aber sende ich mir selbst was ... kommt diese Fehlermeldung:
Cannot start TLS: handshake failure

[2023-12-18 20:24:41.232027]: connect from localhost[::1]
[2023-12-18 20:24:41.249587]: 3CE6C29E: client=localhost[::1]
[2023-12-18 20:24:41.253577]: 3CE6C29E: message-id=<gxZS.gIRGeIYl8k60pVIqfmyvKw@kaFv8LFIJECSsAl-7dPN6ritJrx8fvBNsPhU16x02OM.xz>
[2023-12-18 20:24:41.748861]: 3CE6C29E: from=<ich@unserefirma.de>, size=2972, nrcpt=1 (queue active)
[2023-12-18 20:24:41.749230]: disconnect from localhost[::1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
[2023-12-18 20:24:41.758717]: SSL_connect error to ::1[::1]:24: -1
[2023-12-18 20:24:41.759129]: warning: TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number:ssl/record/ssl3_record.c:332:
[2023-12-18 20:24:41.778630]: 3CE6C29E: to=<ich@unserefirma.de>, relay=::1[::1]:24, delay=0.52, delays=0.51/0.01/0/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)

die main.cf:

############################################################
# SASL stuff
############################################################
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = lmdb:/etc/postfix/sasl_passwd
smtpd_sasl_auth_enable = yes
# cyrus   : smtpd_sasl_type = cyrus
#           smtpd_sasl_path = smtpd
# dovecot : smtpd_sasl_type = dovecot
#           smtpd_sasl_path = private/auth
smtpd_sasl_type = cyrus
smtpd_sasl_path = smtpd
############################################################
# TLS stuff
############################################################
#tls_append_default_CA = no
relay_clientcerts =
#tls_random_source = dev:/dev/urandom

smtp_use_tls = yes
#smtp_tls_loglevel = 0
smtp_enforce_tls = no
smtp_tls_wrappermode = yes
smtp_tls_security_level = encrypt
#may
smtp_tls_CAfile =
smtp_tls_CApath =
smtp_tls_cert_file =
smtp_tls_key_file =
#smtp_tls_policy_maps = lmdb:/etc/postfix/tls_policy
#smtp_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database =

smtpd_use_tls = yes
#smtpd_tls_loglevel = 0
smtpd_enforce_tls = no
smtpd_tls_security_level = may
smtpd_tls_CAfile =
smtpd_tls_CApath =
smtpd_tls_cert_file = /etc/grommunio-common/ssl/server-bundle.pem
smtpd_tls_key_file = /etc/grommunio-common/ssl/server.key
smtpd_tls_ask_ccert = no
smtpd_tls_exclude_ciphers = RC4
smtpd_tls_received_header = yes

Was wir nicht verstehen, warum (wenn wir richtig verstehen) er für den "internen" Versand noch eine TLS Absicherung braucht.

Uns gehen nun die Ideen aus.

Viele Grüße M

demsi01

Andy
Nachtrag:
EDIT:

...Logausgabe beim Versand an eine "fremde/externe domain"...

[2023-12-18 20:32:41.099645]: connect from localhost[::1]
[2023-12-18 20:32:41.116722]: 1C74D2A2: client=localhost[::1]
[2023-12-18 20:32:41.120310]: 1C74D2A2: message-id=<gxZS.mwFrK6JLLEi1GTiw4HXzEg@jV_ERcRxpEOntad6YtE9NHO9FHLJfUhNllxlcZPfZ3M.xz>
[2023-12-18 20:32:41.348619]: 1C74D2A2: from=<ich@unserefirma.de>, size=1818, nrcpt=1 (queue active)
[2023-12-18 20:32:41.348994]: disconnect from localhost[::1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
[2023-12-18 20:32:41.920358]: 1C74D2A2: to=<fremder@fremdedomain.de>, relay=smtp.strato.de[81.169.145.133]:465, delay=0.81, delays=0.24/0.01/0.41/0.15, dsn=2.0.0, status=sent (250 2.0.0 OK queued with id Q27ad3zBIJWffmB)
[2023-12-18 20:32:41.920767]: 1C74D2A2: removed

WalterH

postfix check was sagt das?

demsi01

WalterH

keine Ausgabe:

dehwsms02:~ # postfix check
dehwsms02:~ # postfix check
dehwsms02:~ #

EDIT Kann es sein, dass man ggfl. für die interne Vermittlung mynetworks setzen muss ?

In der main.cf unter Kopano auf UCS mussten wir das setzen, damit die interne "Vermittlung" läuft.

die main.cf von Kopano auf UCS:

mydestination = $myhostname, localhost.$mydomain, localhost
mynetworks = 127.0.0.0/8 192.168.20.0/24
mynetworks_style = subnet

masquerade_domains = $mydomain
masquerade_exceptions = root

transport_maps = hash:/etc/postfix/transport
relay_domains = $mydestination

#we need to name a smtp relay host to which we forward non-local
#mails. smtp authentication is also possible.
relayhost = securesmtp.t-online.de:587
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth

disable_vrfy_command = no

#banner
smtputf8_enable = no

local_header_rewrite_clients =

virtual_alias_domains =

virtual_alias_maps = hash:/etc/postfix/virtual,
ldap:/etc/postfix/ldap.groups,
ldap:/etc/postfix/ldap.distlist,
ldap:/etc/postfix/ldap.virtual,
ldap:/etc/postfix/ldap.external_aliases,
ldap:/etc/postfix/ldap.sharedfolderremote,
ldap:/etc/postfix/ldap.sharedfolderlocal_aliases

virtual_mailbox_domains = ldap:/etc/postfix/ldap.virtualdomains

virtual_mailbox_maps = ldap:/etc/postfix/ldap.virtual_mailbox,
ldap:/etc/postfix/ldap.sharedfolderlocal

virtual_transport = lmtp:127.0.0.1:2003

canonical_maps = hash:/etc/postfix/canonical
relocated_maps = hash:/etc/postfix/relocated

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

....

#smtpd_sender_restrictions is not defined since all relevant checks have been moved to
#smtpd_recipient_restrictions (see below) and every mail has to pass smtpd_recipient_restrictions too.
#smtpd_sender_restrictions =

smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unlisted_recipient

#special recipient_restrictions which may be used by smtps/submission services
#(can be configured via UCR: mail/postfix/submission/restrictions/recipient/...)
#submission_recipient_restrictions =

#TLS settings
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_starttls_timeout = 300s
smtpd_timeout = 300s
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols =
smtpd_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_cert_file = /etc/univention/ssl/deddsms01.dofa-mail.lan/cert.pem
smtpd_tls_key_file = /etc/univention/ssl/deddsms01.dofa-mail.lan/private.key

smtpd_tls_received_header = no
smtpd_tls_session_cache_timeout = 3600s

tls_random_source = dev:/dev/urandom

smtpd_sasl_local_domain =

smtpd_sasl_security_options = noanonymous

#TLS settings
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_starttls_timeout = 300s
smtpd_timeout = 300s
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols =
smtpd_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_cert_file = /etc/univention/ssl/deddsms01.dofa-mail.lan/cert.pem
smtpd_tls_key_file = /etc/univention/ssl/deddsms01.dofa-mail.lan/private.key

smtpd_tls_received_header = no
smtpd_tls_session_cache_timeout = 3600s

tls_random_source = dev:/dev/urandom

smtpd_sasl_local_domain =

smtpd_sasl_security_options = noanonymous

#smtp client
smtp_tls_security_level = encrypt
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_exclude_ciphers = RC4, aNULL
smtp_tls_policy_maps = hash:/etc/postfix/tls_policy

#Support broken clients like Microsoft Outlook Express 4.x which expect AUTH=LOGIN instead of AUTH LOGIN
broken_sasl_auth_clients = yes

#tls logging
smtp_tls_loglevel = 0
smtpd_tls_loglevel = 0

#EDH config
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem

#use the Postfix SMTP server's cipher preference order instead of the remote client's cipher preference order.
tls_preempt_cipherlist = yes

#The Postfix SMTP server security grade for ephemeral elliptic-curve Diffie-Hellman (EECDH) key exchange
smtpd_tls_eecdh_grade = strong

Andy

demsi01 Vermittlung mynetworks setzen

Einfach testen und Eintrag in die main.cfg

#mynetworks
mynetworks = 192.xxx.xxx.0/24, 127.0.0.0/8 [::1]/128

demsi01

Andy

eben getestet noch kurz... kein Erfolg über grommunio Webmail.

Kollege sagte gerade das brauchen wir wenn Outlook dran hängt ( kann mich da nur noch schwach daran erinnern ) .

auf jeden fall kein Erfolg.

demsi01

haben es nun hinbekommen, dass mail an "alle" gesendet wird.

Danke für die Hilfe zu Postfix