Postfix Problem mit TLS

kerfte · 4 Nov. 2009

Hallo liebe Linux-Club Freunde,
meine Aufgabe ist es unseren vorhanden E-Mailserver (Postfix+Fetchmail) mit TLS zu versehen. Der Server läuft ohne tls schon recht lange.
Jetzt habe ich nach Vorlage eines Postfix-Buches den server umprogrammiert. Zertifikate erstellen lassen, main.cf und master.cf erstellen lassen und umgeschrieben auf unsere settings. Tausche ich jetzt die alten configs mit den neuen aus kann ich zwar noch E-Mails verschicken, jedoch aber keine empfangen! In der Log-Datei habe ich dazu nichts gefunden.
Ich bin leider damit nich so gewandt damit und hoffe jetzt, dass hier jemand Experte auf diesem Gebiet ist

Hier das wesentliche aus der main.cf

Code:

readme_directory = /usr/share/doc/packages/postfix/README_FILES
inet_protocols = all
biff = no
mail_spool_directory = /var/mail
canonical_maps = hash:/etc/postfix/canonical
virtual_alias_maps = proxy:mysql:/etc/postfix/forward.mysql
virtual_alias_domains = hash:/etc/postfix/virtual
virtual_mailbox_domains = ife-intern.de
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = mailife-europecom.site
mynetworks = 192.168.87.0/24, 192.168.86.0/24, localhost, 10.0.0.0/8
program_directory = /usr/lib/postfix
inet_interfaces = all
masquerade_domains =
mydestination = $myhostname, localhost.$mydomain
defer_transports =
mynetworks_style = subnet
disable_dns_lookups = no
relayhost = ife-europe.com
mailbox_command =
mailbox_transport =
strict_8bitmime = no
disable_mime_output_conversion = no
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_tls_clientcerts, permit_mynetworks,reject_unauth_destination
smtp_sasl_auth_enable = no
smtpd_sasl_auth_enable = no
smtpd_use_tls = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_cert_file = /etc/postfix/ssl/certs/postfixcert.pem
smtpd_tls_key_file = /etc/postfix/ssl/certs/postfixkey.pem
smtpd_tls_received_header = yes
tls_daemon_random_source = dev:/dev/urandom
tls_random_source = dev:/dev/urandom
relay_clientcerts = hash:/etc/postfix/relay_ccerts
smtpd_tls_ask_ccert = yes
smtp_use_tls = yes
smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtp_tls_cert_file = /etc/postfix/ssl/certs/postfixcert.pem
smtp_tls_key_file = /etc/postfix/ssl/certs/postfixkey.pem
smtp_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 10240000

Hier die master.cf

Code:

# Postfix master process configuration file.  For details on the format
# of the file, see the Postfix master(5) manual page.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#submission inet n      -       n       -       -       smtpd
#       -o smtpd_etrn_restrictions=reject
#       -o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps    inet  n       -       n       -       -       smtpd -o smtpd_tls_wrappermode=yes
#  -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#submission   inet    n       -       n       -       -       smtpd
#  -o smtpd_etrn_restrictions=reject
#  -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
        -o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
#localhost:10025 inet   n       -       n       -       -       smtpd -o content_filter=
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus     unix  -       n       n       -       -       pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
 flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}

spoensche · 5 Nov. 2009

In der main.cf bindest du die Zertifikate zweimal ein.

Wenn du die Clients für das Abfragen Ihrer IMAP oder POP3 Postfächer so konfiguriert hast, dass sie eine Verschlüsselung verwenden, musst du den Cyrus auch konfigurieren.

Postfix ist ein MTA (Mail Transfer Agent) der e- Mails per SMTP versendet. Für den Empfang (dovecot, Cyrus, etc) musst die Software auch dem entsprechend konfigurieren.

http://www.linupedia.org/opensuse/Mail

kerfte · 5 Nov. 2009

okay das klingt logisch! jedoch bin ich mir garnicht sicher ob er überhaupt verschlüsselt sendet?! wie kann ich das denn am besten prüfen?

Tooltime · 5 Nov. 2009

spoensche schrieb:
In der main.cf bindest du die Zertifikate zweimal ein.

Wenn ich mich beim Überfliegen nichts übersehen habe ich der Teil korrekt, einmal smtp_xxx zum Senden und smtpd_xxx für den Empfang.

Wenn ich das richtig sehe benötigt jeder Rechner von Außen ein gültiges Zertifikat, ist dem auch so.

kerfte schrieb:
Tausche ich jetzt die alten configs mit den neuen aus kann ich zwar noch E-Mails verschicken, jedoch aber keine empfangen

Geht es nicht ein bisschen genauer? Wer kann von wo seine Mails nicht abliefern. Wenn ich ein Problem mit einem Mailserver habe dann auf der Kiste einloggen und Mail an

user@localhost
user@Maildomäne

Und dann erst von Außerhalb, Client schickt sich selbst eine Mail (user@Maildomäne). Dann Anliefern bzw. Abholen externer Mail (beliebiger Absender) an eigene Domäne. Halt Schritt für Schritt vom einfachsten Fall bis zu den Komplizierteren durch testen.

Genauso würde ich auch bei der Konfiguration vorgehen. Stück für Stück umbauen und immer zwischendurch testen. Verschlüsselt Annehmen, verschlüsselt Ausliefern, ...
Bis jetzt hast du nicht mal angegeben was du alles geändert oder umgebaut hast.

kerfte · 9 Nov. 2009

danke schonmal für die hilfe!

angefangen habe ich mit dem Befehl "SuSEconfig". Es erstellt die Schlüssel und kopiert sie an den richtigen Ort und ändert die nötigen Zeilen in main.cf und master.cf.
Danach habe ich "SuSEconfig --module postfix" ausgeführt damit die Zertifikate erstellt werden.
Muss ich jetzt noch irgendetwas bei fetchmail ändern?
Dieses Gebiet ist mir völlig neu und ich steh vollkommen auf dem Schlauch.

Postfix Problem mit TLS

kerfte

Newbie

spoensche

Moderator

kerfte

Newbie

Tooltime

Advanced Hacker

kerfte

Newbie