Postfix, lokaler Versand ohne TLS/STARTTLS

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Postfix, lokaler Versand ohne TLS/STARTTLS

Daniel Schulz
Hallo,
ich habe mein Postfix so eingerichtet, dass Clients remote Mails per TLS abschicken können. Funktioniert auch alles prima. Leider habe ich jetzt ein Problem mit einem lokal installierten Java Programm, dass es keine Mails über den lokalen Postfix mehr verschicken kann. Fehlermeldung:

"org.springframework.mail.MailSendException: Failed messages: com.sun.mail.smtp.SMTPSendFailedException: 530 5.7.0 Must issue a STARTTLS command first"

Komischerweise kann ich mit "mail [hidden email]" eine Mail vom Terminal des Servers aus schicken, die auch an kommt. Auch OTRS, welches auf dem Server installiert ist, kann Mails ganz normal über localhost:25 verschicken, das sieht dann so aus:

Jun 22 10:00:07 server1 postfix/pickup[690]: 7CDB620069C: uid=33 from=<[hidden email]>
Jun 22 10:00:07 server1 postfix/cleanup[32302]: 7CDB620069C: message-id=<[hidden email]>
Jun 22 10:00:07 server1 postfix/qmgr[31274]: 7CDB620069C: from=<[hidden email]>, size=977, nrcpt=1 (queue active)
Jun 22 10:00:14 server1 postfix/smtp[32304]: 7CDB620069C: to=<[hidden email]>, relay=name.server.de[80.147.xxx.xxx]:25], delay=7.5, delays=0.39/0.01/0.81/6.3, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 45639A007D)
Jun 22 10:00:14 server1 postfix/qmgr[31274]: 7CDB620069C: removed

Meine main.cf sieht so aus:

root@server1 ~ # postconf -n
postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
compatibility_level = 2
home_mailbox = Maildir/
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
message_size_limit = 400480000
mydestination = $myhostname, rigel.server.de, server1, localhost.localdomain, localhost
myhostname = oc.server.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_unknown_address
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/private/linux_cert_und_ca.pem
smtpd_tls_key_file = /etc/ssl/private/oc.server.de.key
smtpd_tls_received_header = yes
smtpd_tls_security_level = encrypt
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
root@server1 ~ #

Hat jemand einen Tipp, wieso das Java Programm keine Mails mehr über Postfix verschicken kann? Bevor ich auf TLS umgestellt habe hat alles funktioniert.

Daniel
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix, lokaler Versand ohne TLS/STARTTLS

Gregor Hermens
Hallo Daniel,

Am Donnerstag, 22. Juni 2017 schrieb Daniel Schulz:

> ich habe mein Postfix so eingerichtet, dass Clients remote Mails per TLS
> abschicken können. Funktioniert auch alles prima. Leider habe ich jetzt
> ein Problem mit einem lokal installierten Java Programm, dass es keine
> Mails über den lokalen Postfix mehr verschicken kann. Fehlermeldung:
>
> "org.springframework.mail.MailSendException: Failed messages:
> com.sun.mail.smtp.SMTPSendFailedException: 530 5.7.0 Must issue a STARTTLS
> command first"
>
> Komischerweise kann ich mit "mail [hidden email]" eine Mail vom Terminal
> des Servers aus schicken, die auch an kommt.

mail verwendet sendmail, nicht SMTP.

> Auch OTRS, welches auf dem
> Server installiert ist, kann Mails ganz normal über localhost:25
> verschicken, das sieht dann so aus:
>
> Jun 22 10:00:07 server1 postfix/pickup[690]: 7CDB620069C: uid=33
> from=<[hidden email]

postfix/pickup => OTRS verwendet hier ebenfalls sendmail, nicht SMTP.
Anderenfalls stände da z.B. postix/smtpd ...

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix, lokaler Versand ohne TLS/STARTTLS

Daniel Schulz
Hallo Gregor,

ok, das war mir so nicht bewusst, danke. Ich dachte, da es vor der Umstellung auf TLS ging, müsste ich es jetzt so einstellen, dass Programme die von localhost Mails verschicken wollen, das wieder ohne Anmeldung und TLS dürfen. Ich finde dazu aber auch nichts im Netz. Ich habe auch schon probiert, smtpd_tls_auth_only auf no zu setzen, brachte leider nichts. Im Grunde müsste es so sein:

Alle von remote MÜSSEN TLS nutzen
Alle von localhost dürfen immer senden, ohne Anmeldung und TLS

Oder bin ich auf dem Holzweg?

Daniel

> Gregor Hermens <[hidden email]> hat am 22. Juni 2017 um 10:45 geschrieben:
>
>
> Hallo Daniel,
>
> Am Donnerstag, 22. Juni 2017 schrieb Daniel Schulz:
> > ich habe mein Postfix so eingerichtet, dass Clients remote Mails per TLS
> > abschicken können. Funktioniert auch alles prima. Leider habe ich jetzt
> > ein Problem mit einem lokal installierten Java Programm, dass es keine
> > Mails über den lokalen Postfix mehr verschicken kann. Fehlermeldung:
> >
> > "org.springframework.mail.MailSendException: Failed messages:
> > com.sun.mail.smtp.SMTPSendFailedException: 530 5.7.0 Must issue a STARTTLS
> > command first"
> >
> > Komischerweise kann ich mit "mail [hidden email]" eine Mail vom Terminal
> > des Servers aus schicken, die auch an kommt.
>
> mail verwendet sendmail, nicht SMTP.
>
> > Auch OTRS, welches auf dem
> > Server installiert ist, kann Mails ganz normal über localhost:25
> > verschicken, das sieht dann so aus:
> >
> > Jun 22 10:00:07 server1 postfix/pickup[690]: 7CDB620069C: uid=33
> > from=<[hidden email]
>
> postfix/pickup => OTRS verwendet hier ebenfalls sendmail, nicht SMTP.
> Anderenfalls stände da z.B. postix/smtpd ...
>
> Gruß,
> Gregor
> --
>      @mazing           fon +49 8142 6528665
>   Gregor Hermens       fax +49 8142 6528669
> Brucker Strasse 12  [hidden email]
> D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix, lokaler Versand ohne TLS/STARTTLS

Jens Adam-2
In reply to this post by Daniel Schulz

> Am 22.06.2017 um 10:27 schrieb Daniel Schulz <[hidden email]>:
>
> Hallo,
> ich habe mein Postfix so eingerichtet, dass Clients remote Mails per TLS abschicken können. Funktioniert auch alles prima. Leider habe ich jetzt ein Problem mit einem lokal installierten Java Programm, dass es keine Mails über den lokalen Postfix mehr verschicken kann. Fehlermeldung:
>
> "org.springframework.mail.MailSendException: Failed messages: com.sun.mail.smtp.SMTPSendFailedException: 530 5.7.0 Must issue a STARTTLS command first"

Der passende Logeintrag vom Postfix dazu wäre interessant, sowie die Mailkonfiguration des Programms.

> root@server1 ~ # postconf -n
> postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
> postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
> postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
> postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
> postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
> postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions

master.cf bitte mal reparieren; die Zeilen um die es geht, kann man nicht einfach aktivieren ohne sich um diese Variablen zu kümmern bzw. um die gewünschten Restrictions Gedanken zu machen.

Und zum Rest der Config: Wenn du schon frisch auf TLS umstellst, dann benutze bitte keine längst überholten Parameter, konkret smtp(d)_use_tls - vor allem da du ja auch schon den korrekten *_security_level drin hast.

Allerdings, ich zitiere hier mal 'postconf(5)':
"
  encrypt         Mandatory TLS encryption: announce STARTTLS support to remote SMTP clients, and require that clients use TLS encryption. According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced SMTP server. Instead, this option should be used only on dedicated servers.
"
-> Keine gute Idee.

--byte


signature.asc (465 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix, lokaler Versand ohne TLS/STARTTLS

Christian Schmidt
In reply to this post by Daniel Schulz
Moin,

Daniel Schulz, 22.06.2017:
> ok, das war mir so nicht bewusst, danke. Ich dachte, da es vor der
> Umstellung auf TLS ging, müsste ich es jetzt so einstellen, dass
> Programme die von localhost Mails verschicken wollen, das wieder ohne
> Anmeldung und TLS dürfen. Ich finde dazu aber auch nichts im Netz.
> Ich habe auch schon probiert, smtpd_tls_auth_only auf no zu setzen,
> brachte leider nichts. Im Grunde müsste es so sein:
>
> Alle von remote MÜSSEN TLS nutzen Alle von localhost dürfen immer
> senden, ohne Anmeldung und TLS

Konfiguriere Dir via master.cf einen smtpd auf 127.0.0.1, der kein
STARTTLS erwartet.

Mit freundlichen Grüßen
Christian Schmidt

--
No signature available.


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Postfix, lokaler Versand ohne TLS/STARTTLS

Daniel Schulz
In reply to this post by Jens Adam-2
Hallo Jens,

danke, das wars! Die Warnungen aus der master.cf habe ich entfernt und:

smtpd_tls_auth_only = yes
smtpd_tls_security_level = encrypt

aus der main.cf auskommentiert. Jetzt kann das Java Programm auch wieder Mails verschicken.

Die weitere Konfiguration mache ich dann nächste Woche mit dem Postfix Buch.

Vielen Dank euch!

Daniel


> Jens Adam <[hidden email]> hat am 22. Juni 2017 um 11:43 geschrieben:
>
>
>
> > Am 22.06.2017 um 10:27 schrieb Daniel Schulz <[hidden email]>:
> >
> > Hallo,
> > ich habe mein Postfix so eingerichtet, dass Clients remote Mails per TLS abschicken können. Funktioniert auch alles prima. Leider habe ich jetzt ein Problem mit einem lokal installierten Java Programm, dass es keine Mails über den lokalen Postfix mehr verschicken kann. Fehlermeldung:
> >
> > "org.springframework.mail.MailSendException: Failed messages: com.sun.mail.smtp.SMTPSendFailedException: 530 5.7.0 Must issue a STARTTLS command first"
>
> Der passende Logeintrag vom Postfix dazu wäre interessant, sowie die Mailkonfiguration des Programms.
>
> > root@server1 ~ # postconf -n
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
>
> master.cf bitte mal reparieren; die Zeilen um die es geht, kann man nicht einfach aktivieren ohne sich um diese Variablen zu kümmern bzw. um die gewünschten Restrictions Gedanken zu machen.
>
> Und zum Rest der Config: Wenn du schon frisch auf TLS umstellst, dann benutze bitte keine längst überholten Parameter, konkret smtp(d)_use_tls - vor allem da du ja auch schon den korrekten *_security_level drin hast.
>
> Allerdings, ich zitiere hier mal 'postconf(5)':
> "
>   encrypt         Mandatory TLS encryption: announce STARTTLS support to remote SMTP clients, and require that clients use TLS encryption. According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced SMTP server. Instead, this option should be used only on dedicated servers.
> "
> -> Keine gute Idee.
>
> --byte
>
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

AW: Postfix, lokaler Versand ohne TLS/STARTTLS

Daniel-4
Setz einfach "smtpd_tls_security_level = may", damit ist Verschlüsselung kein Zwang

Und "smtpd_tls_auth_only = yes" lass aktiv, betrifft ja nur TLS Zwang mit Anmeldung, lokal ist eher ohne.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Daniel Schulz
Gesendet: Freitag, 23. Juni 2017 13:56
An: Diskussionen und Support rund um Postfix
Betreff: Re: Postfix, lokaler Versand ohne TLS/STARTTLS

Hallo Jens,

danke, das wars! Die Warnungen aus der master.cf habe ich entfernt und:

smtpd_tls_auth_only = yes
smtpd_tls_security_level = encrypt

aus der main.cf auskommentiert. Jetzt kann das Java Programm auch wieder Mails verschicken.

Die weitere Konfiguration mache ich dann nächste Woche mit dem Postfix Buch.

Vielen Dank euch!

Daniel


> Jens Adam <[hidden email]> hat am 22. Juni 2017 um 11:43 geschrieben:
>
>
>
> > Am 22.06.2017 um 10:27 schrieb Daniel Schulz <[hidden email]>:
> >
> > Hallo,
> > ich habe mein Postfix so eingerichtet, dass Clients remote Mails per TLS abschicken können. Funktioniert auch alles prima. Leider habe ich jetzt ein Problem mit einem lokal installierten Java Programm, dass es keine Mails über den lokalen Postfix mehr verschicken kann. Fehlermeldung:
> >
> > "org.springframework.mail.MailSendException: Failed messages: com.sun.mail.smtp.SMTPSendFailedException: 530 5.7.0 Must issue a STARTTLS command first"
>
> Der passende Logeintrag vom Postfix dazu wäre interessant, sowie die Mailkonfiguration des Programms.
>
> > root@server1 ~ # postconf -n
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_sender_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_client_restrictions
> > postconf: warning: /etc/postfix/master.cf: undefined parameter: mua_helo_restrictions
>
> master.cf bitte mal reparieren; die Zeilen um die es geht, kann man nicht einfach aktivieren ohne sich um diese Variablen zu kümmern bzw. um die gewünschten Restrictions Gedanken zu machen.
>
> Und zum Rest der Config: Wenn du schon frisch auf TLS umstellst, dann benutze bitte keine längst überholten Parameter, konkret smtp(d)_use_tls - vor allem da du ja auch schon den korrekten *_security_level drin hast.
>
> Allerdings, ich zitiere hier mal 'postconf(5)':
> "
>   encrypt         Mandatory TLS encryption: announce STARTTLS support to remote SMTP clients, and require that clients use TLS encryption. According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced SMTP server. Instead, this option should be used only on dedicated servers.
> "
> -> Keine gute Idee.
>
> --byte
>

smime.p7s (6K) Download Attachment
Loading...