postfix - TLS/SSL-Fehler beim Empfangen von E-Mails

tag-icon tag-icon ssl postfix tls
postfix - TLS/SSL-Fehler beim Empfangen von E-Mails

Ich kann E-Mails von Gmail empfangen, allerdings werden bestimmte andere Server abgelehnt, wenn sie versuchen, E-Mails an meinen Server zu senden

Hier sind die Protokolle, als ich versuchte, eine Authentifizierung zu erhalten vonstartcom.orgsowie ein anderer Server, der am Tag zuvor versucht hat, mir etwas zu senden.

Oct 11 05:26:54 snw postfix/smtpd[2342]: connect from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 05:26:55 snw postfix/smtpd[2342]: NOQUEUE: reject: RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]: 454 4.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<159.8.48.206>
Oct 11 05:26:56 snw postfix/smtpd[2342]: lost connection after RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 05:26:56 snw postfix/smtpd[2342]: disconnect from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 05:30:16 snw postfix/anvil[2344]: statistics: max connection rate 1/60s for (smtp:118.161.77.187) at Oct 11 05:26:54
Oct 11 05:30:16 snw postfix/anvil[2344]: statistics: max connection count 1 for (smtp:118.161.77.187) at Oct 11 05:26:54
Oct 11 05:30:16 snw postfix/anvil[2344]: statistics: max cache size 1 at Oct 11 05:26:54
Oct 11 12:31:05 snw postfix/smtpd[2613]: connect from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 12:31:06 snw postfix/smtpd[2613]: NOQUEUE: reject: RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]: 454 4.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<159.8.48.206>
Oct 11 12:31:07 snw postfix/smtpd[2613]: lost connection after RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 12:31:07 snw postfix/smtpd[2613]: disconnect from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 12:34:27 snw postfix/anvil[2615]: statistics: max connection rate 1/60s for (smtp:118.161.77.187) at Oct 11 12:31:05
Oct 11 12:34:27 snw postfix/anvil[2615]: statistics: max connection count 1 for (smtp:118.161.77.187) at Oct 11 12:31:05
Oct 11 12:34:27 snw postfix/anvil[2615]: statistics: max cache size 1 at Oct 11 12:31:05
Oct 11 13:45:07 snw dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=141.212.122.112, lip=159.8.48.206, TLS: Disconnected, session=<pGIDxtch6QCN1Hpw>
Oct 11 23:42:31 snw postfix/smtpd[3020]: connect from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 23:42:32 snw postfix/smtpd[3020]: NOQUEUE: reject: RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]: 454 4.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<159.8.48.206>
Oct 11 23:42:33 snw postfix/smtpd[3020]: lost connection after RCPT from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 23:42:33 snw postfix/smtpd[3020]: disconnect from 118-161-77-187.dynamic.hinet.net[118.161.77.187]
Oct 11 23:45:53 snw postfix/anvil[3022]: statistics: max connection rate 1/60s for (smtp:118.161.77.187) at Oct 11 23:42:31
Oct 11 23:45:53 snw postfix/anvil[3022]: statistics: max connection count 1 for (smtp:118.161.77.187) at Oct 11 23:42:31
Oct 11 23:45:53 snw postfix/anvil[3022]: statistics: max cache size 1 at Oct 11 23:42:31
Oct 12 17:28:53 snw postfix/smtpd[3682]: connect from gateway.startcom.org[212.117.158.94]
Oct 12 17:28:55 snw postfix/smtpd[3682]: 12EE9DA2954: client=gateway.startcom.org[212.117.158.94]
Oct 12 17:28:55 snw postfix/smtpd[3682]: lost connection after RCPT from gateway.startcom.org[212.117.158.94]
Oct 12 17:28:55 snw postfix/smtpd[3682]: disconnect from gateway.startcom.org[212.117.158.94]
Oct 12 17:29:01 snw postfix/smtpd[3682]: connect from apache-7.startcom.org[192.116.242.7]
Oct 12 17:29:01 snw postfix/smtpd[3682]: SSL_accept error from apache-7.startcom.org[192.116.242.7]: -1
Oct 12 17:29:01 snw postfix/smtpd[3682]: warning: TLS library problem: 3682:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:647:
Oct 12 17:29:01 snw postfix/smtpd[3682]: lost connection after STARTTLS from apache-7.startcom.org[192.116.242.7]
Oct 12 17:29:01 snw postfix/smtpd[3682]: disconnect from apache-7.startcom.org[192.116.242.7]

Hier sind die Protokolle, wenn ich Gmail verwende, um an meinen Server zu senden

Oct 12 17:58:05 snw postfix/smtpd[3968]: connect from mail-io0-f174.google.com[209.85.223.174]
Oct 12 17:58:05 snw postfix/smtpd[3968]: E3E54DA0A51: client=mail-io0-f174.google.com[209.85.223.174]
Oct 12 17:58:06 snw postfix/cleanup[3977]: E3E54DA0A51: message-id=<CADZik+Vnys--dh_dhOqTSE2ZePWZiBKVp9-EqnYAyJRfk+hQGA@mail.gmail.com>
Oct 12 17:58:06 snw postfix/qmgr[5644]: E3E54DA0A51: from=<[email protected]>, size=1931, nrcpt=1 (queue active)
Oct 12 17:58:06 snw postfix/smtpd[3968]: disconnect from mail-io0-f174.google.com[209.85.223.174]
Oct 12 17:58:06 snw postfix/pipe[3980]: E3E54DA0A51: to=<[email protected]>, relay=dovecot, delay=0.77, delays=0.38/0.1/0/0.29, dsn=2.0.0, status=sent (delivered via dovecot service)
Oct 12 17:58:06 snw postfix/qmgr[5644]: E3E54DA0A51: removed

Ich benutze:

  • Roundcube als IMAP-Client (wahrscheinlich irrelevant)
  • Dovecot zur Authentifizierung mit virtuellen Benutzern auf MySQL
  • Postfix als Mailsoftware ( postconfAusgabeHier)

Ich vermute, dass dies etwas damit zu tun hat, dass mein Server bei der SSL/TLS-Authentifizierung restriktiv ist, aber wie konfiguriere ich meinen Server so, dass er fast alles akzeptiert?

Antwort1

Das Problem wird in diesen Protokollzeilen deutlich:

Oct 12 17:29:01 snw postfix/smtpd[3682]: SSL_accept error from apache-7.startcom.org[192.116.242.7]: -1
Oct 12 17:29:01 snw postfix/smtpd[3682]: warning: TLS library problem: 3682:error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol:s23_srvr.c:647:

apache7-startcom.org versucht, eine SSL/TLS-Verbindung herzustellen, scheitert jedoch, wahrscheinlich weil es versucht, ein SSL/TLS-Protokoll zu sprechen, das Ihr Server nicht akzeptiert.

Sie sollten wirklich nur die Ausgabe posten, postconf -ndamit nur die Konfigurationsparameter angezeigt werden, die von den Standardeinstellungen abweichen. Ihre postconfAusgabe enthält zu viel Rauschen, um wirklich nützlich zu sein.

Das sagte inLinie 713Ihrer postconfAussage nach scheinen Sie jedes TLS-Protokoll außer TLSv1.2 zu verbieten. Das ist sehr restriktiv und wahrscheinlich zu viel für einen Mailserver, der eingehende E-Mails annehmen können soll. Ich würde die relevanten TLS-Konfigurationsparameter wie folgt einstellen:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3

Auf diese Weise deaktivieren Sie SSLv2 und SSLv3, die beide fehlerhaft und unsicher sind, und lassen TLSv1, TLSv1.1 und TLSv1.2 verfügbar. Starten Sie Postfix neu, nachdem Sie diese Parameter hinzugefügt oder geändert haben /etc/postfix/main.cf.

Antwort2

Ich hatte genau dieselbe Situation beim Verbinden von Gmail mit meinem Postfix-Server und dieselbe Fehlermeldung. Es stellte sich heraus, dass die Berechtigungen und der SELinux-Kontext für mein Zertifikat und meinen Schlüssel falsch waren.

In meinem Fall habe ich einen SFTP-Put ausgeführt, um die Zertifikate auf den Server zu bekommen, dann habe ich das gesamte Verzeichnis inklusive der Zertifikate an den endgültigen Speicherort kopiert.

restorecon -rv [directory]

um den richtigen SELinux-Kontext wiederherzustellen, wenn Sie das Verzeichnis von woanders her verschoben haben (oder mit dem Flag -Z).

Stellen Sie sicher, dass Sie beim Korrigieren der Berechtigungen und Eigentümer (root:root & 640) dies rekursiv für das gesamte Verzeichnis tun und nicht nur für die Dateien im Verzeichnis.

/etc/postfix/main.cfg (nur der relevante Teil)

smtp_tls_security_level = may
smtpd_tls_security_level = may
smtp_tls_note_starttls_offer = yes

#Do not forget that the directory and contents have to be owned by root
smtpd_tls_cert_file = /etc/letsencrypt/live/mydomain.com-0001/fullchain7.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mydomain.com-0001/privkey7.pem

verwandte Informationen