GMX verweigert Annahme von Server mit dynamischem DNS (554)

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
22 messages Options
12
Reply | Threaded
Open this post in threaded view
|

GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
Hallo,
 
nachdem ich bereits gefühlt das ganze Internet abgesucht habe, würde ich gerne mein Problem hier schildern.
 
Ich betreibe einen postfix (2.8.4)/dovecot / fetchmail - Server hinter meinem Router.
Als Service für dynamisches DNS melde ich mich per fritz.box bei No-ip.org an.
ISP ist NetCologne.
Freemail-Anbieter sind u.a. GMX und Web.de
Ein gültiges ZErtifikat für meine (dynamische) domäne habe ich gekauft und eingerichtet.
 
Mit fetchmail sammle ich mit SSL eMails von verschiedenen Providern ein und verteile diese intern per IMAP an verschiedene Clients, um z.B. per Smartphone, Webmail und PC auf das selbe Postfach zugreifen zu können. Dies hat bis jetzt super funktioniert. Abrufen der eMails klappt problemlos. Allein das Senden per postfix klappt nicht mehr bei GMX und Web.de, wohl aber bei z.B. freenet und bei meiner eigenen (dynamischen) domäne.
 
Via sender-dependent relay map sende ich an über die Freemailer wieder emails nach ausserhalb.
 
Leider geht dies seit ein wenigen Tagen nicht mehr bei GMX und Web.de.
 
Ich erhalte exemplarisch folgende Fehlermeldung:
 
597A524212ED: to=<[hidden email]>, relay=mx01.emig.gmx.net[213.165.67.115]:25, delay=373596, delays=373596/0.11/0.45/0, dsn=4.0.0, status=deferred (host mx01.emig.gmx.net[213.165.67.115] refused to talk to me: 554-gmx.net (mxgmx105) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=78.35.134.20&c=bl)
 
Ich habe bereits festgestellt, dass NetCologne seine IP-Ranges an Spamhaus gemeldet hat. Insofern ist die obige Meldung erklärbar.
 
Kann ich postfix irgendwie dazu bringen, sich GMX gegenüber wie ein Mail-client zu verhalten?
 
Bei freenet z.B. geht es ja auch (noch), die meckern nicht.
Was mich wundert: müsste GMX nicht meckern, wenn ich z.b. von meiner eigenen domäne (via no-ip) eMails sende? Die gehen durch.
 
An der Verschlüsselung / SMTP auth scheint es eher nicht zu liegen, das hat vorher funktioniert.
 
Welche anderen Informationen sollte ich noch darstellen?
 
LG
Erasmus

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

sebastian@debianfan.de
benutzt Du gegenüber gmx smtp-auth ?

das würde ja ein Mailprogramm auch machen


Am 08.04.2014 22:54, schrieb Erasmus Kuhlmann:

> Hallo,
> nachdem ich bereits gefühlt das ganze Internet abgesucht habe, würde
> ich gerne mein Problem hier schildern.
> Ich betreibe einen postfix (2.8.4)/dovecot / fetchmail - Server hinter
> meinem Router.
> Als Service für dynamisches DNS melde ich mich per fritz.box bei
> No-ip.org an.
> ISP ist NetCologne.
> Freemail-Anbieter sind u.a. GMX und Web.de
> Ein gültiges ZErtifikat für meine (dynamische) domäne habe ich gekauft
> und eingerichtet.
> Mit fetchmail sammle ich mit SSL eMails von verschiedenen Providern
> ein und verteile diese intern per IMAP an verschiedene Clients, um
> z.B. per Smartphone, Webmail und PC auf das selbe Postfach zugreifen
> zu können. Dies hat bis jetzt super funktioniert. Abrufen der eMails
> klappt problemlos. Allein das Senden per postfix klappt nicht mehr bei
> GMX und Web.de, wohl aber bei z.B. freenet und bei meiner eigenen
> (dynamischen) domäne.
> Via sender-dependent relay map sende ich an über die Freemailer wieder
> emails nach ausserhalb.
> Leider geht dies seit ein wenigen Tagen nicht mehr bei GMX und Web.de.
> Ich erhalte exemplarisch folgende Fehlermeldung:
> 597A524212ED: to=<[hidden email]>,
> relay=mx01.emig.gmx.net[213.165.67.115]:25, delay=373596,
> delays=373596/0.11/0.45/0, dsn=4.0.0, status=deferred (host
> mx01.emig.gmx.net[213.165.67.115] refused to talk to me: 554-gmx.net
> (mxgmx105) Nemesis ESMTP Service not available 554-No SMTP service
> 554-IP address is black listed. 554 For explanation visit
> http://postmaster.gmx.com/en/error-messages?ip=78.35.134.20&c=bl)
> Ich habe bereits festgestellt, dass NetCologne seine IP-Ranges an
> Spamhaus gemeldet hat. Insofern ist die obige Meldung erklärbar.
> Kann ich postfix irgendwie dazu bringen, sich GMX gegenüber wie ein
> Mail-client zu verhalten?
> Bei freenet z.B. geht es ja auch (noch), die meckern nicht.
> Was mich wundert: müsste GMX nicht meckern, wenn ich z.b. von meiner
> eigenen domäne (via no-ip) eMails sende? Die gehen durch.
> An der Verschlüsselung / SMTP auth scheint es eher nicht zu liegen,
> das hat vorher funktioniert.
> Welche anderen Informationen sollte ich noch darstellen?
> LG
> Erasmus
>
>

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
danke für den Hinweis.
 
Anbei meine Postconf -n.
System ist Mac OS X 10.7.5.
 
Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt:
smtpd_sasl_auth_enable = yes
 
LG
Erasmus
 
kuhlmann:~ tiberius$ postconf -n
biff = no
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /Library/Server/Mail/Data/mta
debug_peer_level = 2
enable_server_options = yes
header_checks = pcre:/etc/postfix/custom_header_checks
html_directory = /usr/share/doc/postfix/html
imap_submit_cred_file = /private/etc/postfix/submit.cred
inet_interfaces = all
inet_protocols = all
mail_owner = _postfix
mailbox_size_limit = 0
mailbox_transport = dovecot
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_domains =
message_size_limit = 0
mydestination = $myhostname, localhost.$mydomain, localhost, kuhlmann.ddns.net
mydomain = kuhlmann.ddns.net
mydomain_fallback = localhost
myhostname = kuhlmann.ddns.net
mynetworks = 127.0.0.0/8, [::1]/128
newaliases_path = /usr/bin/newaliases
postscreen_dnsbl_sites = zen.spamhaus.org*2
queue_directory = /Library/Server/Mail/Data/spool
readme_directory = /usr/share/doc/postfix
recipient_canonical_maps = hash:/etc/postfix/system_user_maps
recipient_delimiter = +
relayhost =
sample_directory = /usr/share/doc/postfix/examples
sender_dependent_relayhost_maps = hash:/etc/postfix/relaymaps
sendmail_path = /usr/sbin/sendmail
setgid_group = _postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_type = cyrus
smtp_sender_dependent_authentication = yes
smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated reject_rbl_client zen.spamhaus.org permit
smtpd_enforce_tls = no
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_helo_hostname
smtpd_pw_server_security_options = login,plain,cram-md5
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks  reject_unauth_destination check_policy_service unix:private/policy permit
smtpd_sasl_auth_enable = yes
smtpd_tls_CAfile = /etc/certificates/kuhlmann.ddns.net.33A6382E445557E4E55E57519062DA449AC3C1B2.chain.pem
smtpd_tls_cert_file = /etc/certificates/kuhlmann.ddns.net.33A6382E445557E4E55E57519062DA449AC3C1B2.cert.pem
smtpd_tls_ciphers = medium
smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL
smtpd_tls_key_file = /etc/certificates/kuhlmann.ddns.net.33A6382E445557E4E55E57519062DA449AC3C1B2.key.pem
smtpd_tls_loglevel = 0
smtpd_use_pw_server = yes
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 550
use_sacl_cache = yes
virtual_alias_maps = $virtual_maps

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Wolfgang Zeikat
In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
> Hallo,
> danke für den Hinweis.
> Anbei meine Postconf -n.
> System ist Mac OS X 10.7.5.
> Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt:
> smtpd_sasl_auth_enable = yes

smtpd* bezieht sich auf deinen Server (d=daemon).

Wenn dein Rechner Mails verschickt, agiert er aber als Client, nicht als
Server.

Siehe
http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable

Was du suchst, ist wohl eher
http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable
(ohne d)

Hope this helps,

wolfgang

> LG
> Erasmus

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,

auch für den Hinweis danke - habe ich aber berücksichtigt.

postconf -n gibt u.a. diese Zeile aus:
 
smtp_sasl_auth_enable = yes
 
LG
Erasmus
 
In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
Hallo, danke für den Hinweis. Anbei meine Postconf -n. System ist Mac OS X 10.7.5. Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt: smtpd_sasl_auth_enable = yes
smtpd* bezieht sich auf deinen Server (d=daemon). Wenn dein Rechner Mails verschickt, agiert er aber als Client, nicht als Server. Siehe http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable Was du suchst, ist wohl eher http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable (ohne d) Hope this helps, wolfgang

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

sebastian@debianfan.de
Du musst dich per smtp auth bei gmx authentifizieren - sonst kann dein Server die Mails dort nicht abliefern....

Am 09.04.2014 um 10:28 schrieb "Erasmus Kuhlmann" <[hidden email]>:

Hallo,

auch für den Hinweis danke - habe ich aber berücksichtigt.

postconf -n gibt u.a. diese Zeile aus:
 
smtp_sasl_auth_enable = yes
 
LG
Erasmus
 
In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
Hallo, danke für den Hinweis. Anbei meine Postconf -n. System ist Mac OS X 10.7.5. Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt: smtpd_sasl_auth_enable = yes
smtpd* bezieht sich auf deinen Server (d=daemon). Wenn dein Rechner Mails verschickt, agiert er aber als Client, nicht als Server. Siehe http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable Was du suchst, ist wohl eher http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable (ohne d) Hope this helps, wolfgang
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Markus Hohlmeier
In reply to this post by Erasmus Kuhlmann
Servus,

Am 09.04.2014 10:28, schrieb Erasmus Kuhlmann:
auch für den Hinweis danke - habe ich aber berücksichtigt.

postconf -n gibt u.a. diese Zeile aus:
 
smtp_sasl_auth_enable = yes

was ohne eine Angabe der Passwörter herzlich wenig bringt ;-)
--> kurzum: was ist in hash:/etc/postfix/sasl_passwd und hash:/etc/postfix/relaymaps drin bzw. stimmt die Syntax
UND hast du "postmap hash:/... " auf beide Dateien angewendet sowie postfix reload ausgeführt?

Anleitung SASL Client: http://www.postfix.org/SASL_README.html#client_sasl_sender

 
In an older episode, on 2014-04-09 07:15, Erasmus Kuhlmann wrote:
Hallo, danke für den Hinweis. Anbei meine Postconf -n. System ist Mac OS X 10.7.5. Ich hätte gedacht, dass diese Zeile das smtp auth sicherstellt: smtpd_sasl_auth_enable = yes
smtpd* bezieht sich auf deinen Server (d=daemon). Wenn dein Rechner Mails verschickt, agiert er aber als Client, nicht als Server. Siehe http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable Was du suchst, ist wohl eher http://www.postfix.org/postconf.5.html#smtp_sasl_auth_enable (ohne d) Hope this helps, wolfgang


lg Markus

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Alexander Stoll
In reply to this post by Erasmus Kuhlmann
Am 08.04.2014 22:54, schrieb Erasmus Kuhlmann:

> Dies hat bis jetzt super funktioniert. Abrufen der eMails klappt
> problemlos. Allein das Senden per postfix klappt nicht mehr bei GMX und
> Web.de, wohl aber bei z.B. freenet und bei meiner eigenen (dynamischen)
> domäne.

Ähm, die mit großem Gedöns proklamierte "E-Mail Made in Germany
Offensive" lässt nur noch TLS/SSL Einlieferung zu, der Server wird Dir
erst AUTH anbieten wenn Du per TLS einlieferst.

Ich habe auf die Schnelle keine TLS Konfiguration für den SMTP-CLIENT
gesehen....

-> http://www.postfix.org/TLS_README.html#client_tls
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
die Anmeldung am Server hat geraume Zeit funktioniert.
Die Benutzer loggen sich bei GMX (u.a.) per sender-dependent relay an, die Daten sind gehasht.
Ebenso die Passwörter - sind auch gehasht.
 
Postfix ist seitdem mehrfach neu gestartet worden ;) .
 
Hier der Auszug aus postconf -n:
 
sender_dependent_relayhost_maps = hash:/etc/postfix/relaymaps
sendmail_path = /usr/sbin/sendmail
setgid_group = _postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_type = cyrus
smtp_sender_dependent_authentication = yes
 
LG
Erasmus

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
das mit dem TLS ist ein neuer Aspekt...
 
Welches Niveau benötige ich für GMX?

Mit welchem Argument kann ich denn Server-abhängige Niveaus (opportunistic / secure...) einstellen?
 
LG
Erasmus

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Gregor Hermens
Hallo Erasmus,

Am Mittwoch, 9. April 2014 schrieb Erasmus Kuhlmann:
> das mit dem TLS ist ein neuer Aspekt...
>  
> Welches Niveau benötige ich für GMX?
>
>  Mit welchem Argument kann ich denn Server-abhängige Niveaus (opportunistic
> / secure...) einstellen?

TLS sollte grundsätzlich immer genutzt werden, wenn der Server es anbietet:

smtp_tls_security_level = may

http://www.postfix.org/TLS_README.html#client_tls

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
habe ich probiert, in der main.cf eingetragen und postfix neu gestartet.
 
smtp_tls_security_level = may
 
Leider gibt es immer noch den 554er Fehler, und GMX gib auch keine andere oder aussagekräftigere Fehlermeldung.
 
Für Fetchmail musste ich bei GMX fingerprints angeben - muss man das hier auch machen??
 
LG
Erasmus
TLS sollte grundsätzlich immer genutzt werden, wenn der Server es anbietet:

smtp_tls_security_level = may

http://www.postfix.org/TLS_README.html#client_tls

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
habe es heute nochmal versucht und in den Logs einen vorherigen Eintrag (s.u.) gefunden und dies heute reproduzieren können. Vor dem 554 kommt also der 550 Fehler. Das passt dazu, dass GMX ja aus TLS umgestellt hat.
 
Wie muss den die Sicherheitseinstellung bei GMX aussehen?
Fingerprint? Wenn ja, woher bekomme ich den?
 
LG
Erasmus
 
 
D6946245672A: to=<[hidden email]>, relay=mail.gmx.net[212.227.17.190]:25, delay=0.21, delays=0/0.01/0.17/0.02, dsn=5.0.0, status=bounced (host mail.gmx.net[212.227.17.190] said: 550-Requested action not taken: mailbox unavailable 550 Insufficient security or privacy level. (in reply to MAIL FROM command))

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Jan P. Kessler-2


> habe es heute nochmal versucht und in den Logs einen vorherigen
> Eintrag (s.u.) gefunden und dies heute reproduzieren können. Vor dem
> 554 kommt also der 550 Fehler. Das passt dazu, dass GMX ja aus TLS
> umgestellt hat.
>  
> Wie muss den die Sicherheitseinstellung bei GMX aussehen?
> Fingerprint? Wenn ja, woher bekomme ich den?

Wenn Du den smtp_tls_security_level auf "may" sitzen hast, sollte das
alles automatisch klappen. Es sei denn, Dein Postfix ist ohne TLS
Unterstützung kompiliert. Hast Du denn Zeilen dieser Art im Log?

  setting up TLS connection to mail.gmx.net[212.227.17.190]

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
so langsam scheint sich die Fehlerquelle ja einzuengen...
 
Eine von Dir beschriebene Meldung dieser Art
 
 setting up TLS connection to mail.gmx.net[212.227.17.190]
 
habe ich nicht / finde ich nicht.
 
Ich habe jetzt mal folgendes geändert:
 
sender_canonical_maps = hash:/private/etc/postfix/sender_canonical
sender_dependent_relayhost_maps = hash:/etc/postfix/relaymaps
smtp_sender_dependent_authentication = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_type = cyrus
smtp_sasl_security_options = noplaintext, noanonymous
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_fingerprint_digest = md5
smtp_tls_loglevel = 0
 
Die ganze postconf -n habe ich unten.
 
Die Fehlermeldung lautet jetzt aber:
 
certificate verification failed for mail.gmx.net[212.227.17.168]:25: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
 
warning: SASL authentication failure: No worthy mechs found
 
0B9CF2457043: SASL authentication failed; cannot authenticate to server mail.gmx.net[212.227.17.168]: no mechanism available
 
certificate verification failed for mail.gmx.net[212.227.17.190]:25: untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust Center/CN=Deutsche Telekom Root CA 2
 
warning: SASL authentication failure: No worthy mechs found
 
 
...Und nu?
 
LG
Erasmus
 
postconf -n
biff = no
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /Library/Server/Mail/Data/mta
debug_peer_level = 2
enable_server_options = yes
header_checks = pcre:/etc/postfix/custom_header_checks
html_directory = /usr/share/doc/postfix/html
imap_submit_cred_file = /private/etc/postfix/submit.cred
inet_interfaces = all
inet_protocols = all
mail_owner = _postfix
mailbox_size_limit = 0
mailbox_transport = dovecot
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
maps_rbl_domains =
message_size_limit = 0
mydestination = $myhostname, localhost.$mydomain, localhost, kuhlmann.ddns.net
mydomain = kuhlmann.ddns.net
mydomain_fallback = localhost
myhostname = kuhlmann.ddns.net
mynetworks = 127.0.0.0/8, [::1]/128
newaliases_path = /usr/bin/newaliases
postscreen_dnsbl_sites = zen.spamhaus.org*2
queue_directory = /Library/Server/Mail/Data/spool
readme_directory = /usr/share/doc/postfix
recipient_canonical_maps = hash:/etc/postfix/system_user_maps
recipient_delimiter = +
relayhost =
sample_directory = /usr/share/doc/postfix/examples
sender_canonical_maps = hash:/private/etc/postfix/sender_canonical
sender_dependent_relayhost_maps = hash:/etc/postfix/relaymaps
sendmail_path = /usr/sbin/sendmail
setgid_group = _postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noplaintext, noanonymous
smtp_sasl_type = cyrus
smtp_sender_dependent_authentication = yes
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_fingerprint_digest = md5
smtp_tls_loglevel = 0
smtp_tls_security_level = may
smtpd_client_restrictions = permit_mynetworks permit_sasl_authenticated reject_rbl_client zen.spamhaus.org permit
smtpd_enforce_tls = no
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_helo_hostname
smtpd_pw_server_security_options = login,plain,cram-md5
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks  reject_unauth_destination check_policy_service unix:private/policy permit
smtpd_sasl_auth_enable = yes
smtpd_tls_CAfile = /etc/certificates/kuhlmann.ddns.net.33A6382E445557E4E55E57519062DA449AC3C1B2.chain.pem
smtpd_tls_cert_file = /etc/certificates/kuhlmann.ddns.net.33A6382E445557E4E55E57519062DA449AC3C1B2.cert.pem
smtpd_tls_ciphers = medium
smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL
smtpd_tls_key_file = /etc/certificates/kuhlmann.ddns.net.33A6382E445557E4E55E57519062DA449AC3C1B2.key.pem
smtpd_tls_loglevel = 0
smtpd_use_pw_server = yes
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
unknown_local_recipient_reject_code = 550
use_sacl_cache = yes
virtual_alias_maps = $virtual_maps
 
 
 
 
 
 
 

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Jan P. Kessler-2

> certificate verification failed for mail.gmx.net[212.227.17.190]:25:
> untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust
> Center/CN=Deutsche Telekom Root CA 2

harmlos.

> warning: SASL authentication failure: No worthy mechs found

Das ist der Knackpunkt. Die sind sich nicht einig.

> smtp_sasl_security_options = noplaintext, noanonymous

Ich habe zwar kein GMX Konto, aber kann es sein, dass Du bei GMX/tls
Auth plaintext brauchst? Wäre ja in Zusammenhang mit einer TLS
gesicherten Übertragung auch kein Problem. Am besten per
smtp_tls_policy_maps festziehen (auf "encrypt" setzen).

  Jan

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Jan P. Kessler-2
Am 09.04.2014 23:56, schrieb Jan P. Kessler:

> > certificate verification failed for mail.gmx.net[212.227.17.190]:25:
> > untrusted issuer /C=DE/O=Deutsche Telekom AG/OU=T-TeleSec Trust
> > Center/CN=Deutsche Telekom Root CA 2
>
> harmlos.
>
> > warning: SASL authentication failure: No worthy mechs found
>
> Das ist der Knackpunkt. Die sind sich nicht einig.
>
> > smtp_sasl_security_options = noplaintext, noanonymous
>
> Ich habe zwar kein GMX Konto, aber kann es sein, dass Du bei GMX/tls
> Auth plaintext brauchst? Wäre ja in Zusammenhang mit einer TLS
> gesicherten Übertragung auch kein Problem. Am besten per
> smtp_tls_policy_maps festziehen (auf "encrypt" setzen).

Nur der Vollständigkeit halber:

Um es richtig gut zu machen, hinterlegst Du die entsprechenden Telekom
CA Zertifikate bei Dir (smtp_tls_ca_path) und setzt den Level in der TLS
Policy Map auf "verify" oder "secure" und dazu ein entsprechendes
"match" statement - siehe
http://www.postfix.org/postconf.5.html#smtp_tls_policy_maps

Dann klappt's auch mit'm MITM ;)

  Jan


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
habe es jetzt mal versucht mit:
 
smtp_sasl_security_options = noanonymous (noplaintext habe ich herausgenommen)
smtp_tls_security_level=verify (auch mal seucre ausprobiert)
 
Der Fehler lautet jetzt:
ABA47245A4DB: to=<[hidden email]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.02, delays=0.02/0/0/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host 127.0.0.1[127.0.0.1])
 
Mein localhost verweigert TLS???
 
LG
Erasmus

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Erasmus Kuhlmann
In reply to this post by Erasmus Kuhlmann
Hallo,
 
Nachtrag: das noplaintext habe ich herausgenommen, nachdem ich mich mit Thunderbird mal direkt verbunden habe. Die Konto-Einstellungen mit plaintext haben funktioniert.
 
LG
Erasmus
 
Gesendet: Donnerstag, 10. April 2014 um 07:23 Uhr
Von: "Erasmus Kuhlmann" <[hidden email]>
An: [hidden email]
Betreff: Re: [Postfixbuch-users] GMX verweigert Annahme von Server mit dynamischem DNS (554)
Hallo,
 
habe es jetzt mal versucht mit:
 
smtp_sasl_security_options = noanonymous (noplaintext habe ich herausgenommen)
smtp_tls_security_level=verify (auch mal seucre ausprobiert)
 
Der Fehler lautet jetzt:
ABA47245A4DB: to=<[hidden email]>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.02, delays=0.02/0/0/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host 127.0.0.1[127.0.0.1])
 
Mein localhost verweigert TLS???
 
LG
Erasmus
-- _______________________________________________ Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH [hidden email] https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: GMX verweigert Annahme von Server mit dynamischem DNS (554)

Jan P. Kessler-2
In reply to this post by Erasmus Kuhlmann


> smtp_sasl_security_options = noanonymous (noplaintext habe ich
> herausgenommen)
> smtp_tls_security_level=verify (auch mal seucre ausprobiert)

Nein, nicht global setzen, sondern wie in der Mail beschrieben in
Verbindung mit einer TLS Policy Table und dem konkreten Ziel GMX. Das
ist aber wie beschrieben optional. Du kannst Dich auch einfach darauf
verlassen, dass die TLS anbieten, den Level global auf "may" lassen und
fertig.

Gruß, Jan

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
12