Postfix / Dovecot / Let'sEncrypt - Google Mail / E-Mail-Clients geben an, dass E-Mails von meinem Server nicht ordnungsgemäß verschlüsselt werden (rote Sperre).

999
Sonic656

Ich bin kein Experte in der Mail-Server-Konfiguration und bin nicht so vertraut mit allem, was ich tun muss, damit E-Mails funktionieren (Konfigurieren von DNS-Einträgen für die E-Mail-Zustellung, hauptsächlich) wie ein Charme ohne Probleme. Daher würde ich mich über ein paar Links zu großartigen Videos freuen, in denen erklärt wird, wie es funktioniert. Welche Schritte sind erforderlich, um alles gemäß den allgemeinen Richtlinien oder Informationen zu konfigurieren, was an meiner Konfiguration falsch ist, da ich verschiedene Dinge ausprobiert habe und hatte kein Glück, mein Problem zu lösen.

Ich habe einen eigenen Linux-Server mit Ubuntu 17.04 und ich habe Postfix und Dovecot für meine Unternehmens-E-Mails eingerichtet.

Das Problem ist, dass jedes Mal, wenn ich E-Mails an ein Google Mail-Konto sende, in der Info das rote Symbol ( http://puu.sh/x8ses/9c1a5fef89.png ) angezeigt wird und dass "bisart.eu dies nicht verschlüsselt hat Botschaft".

Originale Nachricht:

Delivered-To: test@gmail.com Received: by 10.12.169.5 with SMTP id y5csp2584881qva; Sat, 12 Aug 2017 13:07:14 -0700 (PDT) X-Received: by 10.223.151.212 with SMTP id t20mr12538728wrb.233.1502568434417; Sat, 12 Aug 2017 13:07:14 -0700 (PDT) ARC-Seal: i=1; a=rsa-sha256; t=1502568434; cv=none; d=google.com; s=arc-20160816; b=izg+I4FrioYQ9iZXkCeJMpZwi8bNCUbQjzsQgGKxLXdaSnp9KcpLNNKhbPKBep5vnG JIoPaEX/mh1NiwI8ptQJJERxUT168OldzKgUZ7+EVL545Yk0EWBnRCNtdtSZa0yjr88O 8fRnGzp93bn5NR/RE22Fvaw13QMvA4xVFc7m6J+BW7pOSmMwB976UoMw6s0jtUCHYkPR CxITyX7Wy8G2rR9Px5INQeH+PsKSOQQQAQoMl88Dcy9DOvF6yo8XR/g7tic8jExKO/BT Cn49sfI3Eg4S8Rs1DatWwp/lw7EViKwHEhZPVqRkxTXP0z3gKhNPdlFnABvUGdDG3Id4 Ly+w== ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816; h=content-language:content-transfer-encoding:mime-version:user-agent :date:message-id:subject:from:to:arc-authentication-results; bh=QgRLF+6w7sye7fqLzlu3qDfNO47+yGPgui7mTGt5S7Y=; b=bPF5SMjoQhKivKP4wLWgg9uOkDudgfg/BLWiWycB9kmKxB7Eox9jMrJGSu+1wwHYMw HadoG0fdXLRFUj3D+/Ur2pWxIfREALH+zHGMIErkTUAN8H6rXZoQrsdrmAFvXYqKMKdq hk3JyUNoIED2whYzcb1lbS8ANks7hYSXwf0gTKUuzrAoCrRPoIcwWmyXMZEhZeNKhQBW cGmwbCnwijOSk8iAB/aX/C6cyE4OZ+K9uXbTzbwpL9u/rF83FC54JlTOSd0jpQ3MFv6Y sCduxKIhz9doud9ebsuB5WqKXXy7m2DlpWbzRsCozbbiKsnT0zZ0+a2UukTu+IZ87mYW HZ7g== ARC-Authentication-Results: i=1; mx.google.com; spf=pass (google.com: domain of dodancs@moow.info designates 185.160.111.248 as permitted sender) smtp.mailfrom=dodancs@moow.info Return-Path: <dodancs@moow.info> Received: from mail.moowdesign.eu (moowdesign.bisart.eu. [185.160.111.248]) by mx.google.com with ESMTP id k16si2937045wrk.226.2017.08.12.13.07.13 for <test@gmail.com>; Sat, 12 Aug 2017 13:07:13 -0700 (PDT) Received-SPF: pass (google.com: domain of dodancs@moow.info designates 185.160.111.248 as permitted sender) client-ip=185.160.111.248; Authentication-Results: mx.google.com; spf=pass (google.com: domain of dodancs@moow.info designates 185.160.111.248 as permitted sender) smtp.mailfrom=dodancs@moow.info Received: from [192.168.1.69] (unknown [84.245.121.111]) by mail.moowdesign.eu (Postfix) with ESMTPSA id 19378121987 for <test@gmail.com>; Sat, 12 Aug 2017 22:07:12 +0200 (CEST) To: test@gmail.com From: Dominik Dancs <dodancs@moow.info> Subject: dsadas Message-ID: <a5bae74f-1645-fc4e-8301-4d4bf5ababc3@moow.info> Date: Sat, 12 Aug 2017 22:07:10 +0200 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.2.1 MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 7bit Content-Language: en-US 

Die Sache ist, dass ich mehrere Domains habe, die auf denselben Host verweisen und derselbe Mailserver verwendet wird (moowdesign.eu, moow.info, fenixportal.eu usw.), und ich brauche alle, um SSL-E-Mail-Verschlüsselung zu verwenden.

Jede Domäne verweist auf die IP-Adresse und mail.domain.tld wird als MX-DNS-Eintrag (der auch auf die Server-IP verweist) festgelegt.

Meine Ports werden weitergeleitet, sodass der gesamte Mailverkehr auf den Server übertragen werden kann.

Ich verwende den acme.sh-Client ( https://github.com/Neilpang/acme.sh ) von Let'sEncrypt, um das Wildcard-Zertifikat für alle Domänen in einem Zertifikat zu erstellen und es dann in Dovecot und Postfix zu verwenden.

Die Angelegenheit:

Der Google Mail-Client fragt also nach den E-Mails, die von "bisart.eu" signiert werden. Diese Domain hat jedoch nichts mit meinem Server zu tun, es sei denn, dass moowdesign.bisart.eu auf meinen Server verweist und Reverse-Einträge enthält . Ich kann das Zertifikat nicht mit dieser Domäne / diesem Server signieren.

Was soll ich machen? Ich weiß, dass dies nicht so gut ist wie es ist, weil die Leute das rote Symbol sehen würden und denken, dass es sich um betrügerische E-Mails oder etwas handelt, und höchstwahrscheinlich würden alle E-Mails direkt zu Spam gehen. Ich hoffe es gibt eine Art Lösung.

Meine DNS-Einträge für alle Domänen lauten (jeweils):

 3600 IN MX 10 mail @ 3600 IN A 185.160.111.248 moow.info. 3600 IN TXT "v=spf1 mx a ptr ip4:185.160.111.248/32 a:mail.moow.info a:moowdesign.bisart.eu ~all" mail 3600 IN A 185.160.111.248 

Meine main.cf (Postfix-Konfigurationsdatei)

compatibility_level = 2 debug_peer_level = 2  smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no  queue_directory = /var/spool/postfix command_directory = /usr/sbin #daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix  mail_owner = postfix  default_privs = nobody  myhostname = mail.moowdesign.eu mydomain = moowdesign.eu myorigin = $mydomain mydestination = localhost  append_dot_mydomain = no  unknown_local_recipient_reject_code = 550  mynetworks_style = host  relay_domains = *  alias_maps = hash:/etc/aliases  debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5  sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq  setgid_group = vmail  inet_protocols = ipv4 inet_interfaces = all  meta_directory = /etc/postfix shlib_directory = /usr/lib/postfix html_directory = /usr/doc/postfix-3.1.2/html manpage_directory = /usr/man sample_directory = /etc/postfix readme_directory = no  smtpd_tls_cert_file = /etc/dovecot/letsencrypt.crt smtpd_tls_CAfile = /etc/dovecot/letsencrypt.chain smtpd_tls_key_file = /etc/dovecot/letsencrypt.key #smtpd_tls_cert_file = /etc/dovecot/private/mail.crt #smtpd_tls_key_file = /etc/dovecot/private/mail.key  smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes  smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_reverse_client_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_invalid_hostname, reject_rbl_client zen.spamhaus.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client barracudacentral.org  smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination  virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains_maps.cf virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_catchall_maps.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_mailbox_maps.cf  virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp alias_database = hash:/etc/aliases 

Zum Senden einer E-Mail-Adresse anmelden:

Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: warning: hostname 84-245-121-111.dynamic.swanmobile.sk does not resolve to address 84.245.121.111: Name or service not known Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: connect from unknown[84.245.121.111] Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: 472971201BC: client=unknown[84.245.121.111], sasl_method=PLAIN, sasl_username=dodancs@moow.info Aug 13 13:03:27 production postfix/cleanup[8772]: 472971201BC: message-id=<220f13ed-554d-383e-116c-6ae3b0592088@moow.info> Aug 13 13:03:27 production postfix/qmgr[29192]: 472971201BC: from=<dodancs@moow.info>, size=627, nrcpt=1 (queue active) Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: disconnect from unknown[84.245.121.111] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6 Aug 13 13:03:29 production postfix/smtp[8775]: 472971201BC: to=<test@gmail.com>, relay=gmail-smtp-in.l.google.com[64.233.167.27]:25, delay=1.9, delays=0.17/0/0.87/0.89, dsn=2.0.0, status=sent (250 2.0.0 OK 1502622209 y42si3780413wrd.170 - gsmtp) Aug 13 13:03:29 production postfix/qmgr[29192]: 472971201BC: removed 

Gibt es noch etwas, zu dem ich Informationen angeben muss, um dieses Problem lösen zu können?

Ich habe es versucht:

  • Ein selbstsigniertes Zertifikat auf dem Server bisart.eu erstellen und dann auf meinem Server mit dovecot und postfix verwenden (hat nicht geholfen, sagt immer noch: "bisart.eu hat diese Nachricht nicht verschlüsselt")
  • Selbstsigniertes Zertifikat auf meinem Server erstellen (hat nicht geholfen)
  • Ändern der Eigenschaften von myhostname und meineDomäne in main.cf in der Postfix-Konfiguration
  • SPF-Datensatz zu meinem DNS hinzufügen

Danke im Voraus.

1
_Outgoing_ Mail sollte sich nicht auf Ihr Serverzertifikat beziehen. Bitte geben Sie Postfix-Protokollauszüge für eine E-Mail an Google an. Jens Erat vor 6 Jahren 0

1 Antwort auf die Frage

3
grawity

Die Verschlüsselung des ausgehenden Datenverkehrs hat mit keinem der oben genannten Punkte zu tun.

Beim Versenden von E-Mails stellt Ihr Postfix eine Verbindung mit Google Mail her (es sind also weder Portweiterleitung noch MX-Einträge beteiligt) und verhält sich wie ein TLS-Client (dh wie ein Webbrowser, kein Webserver). Es kann ein eigenes Zertifikat bereitstellen, muss es aber nicht.

Darüber hinaus hat Postfix separate Einstellungen für TLS in Server- und Client - Modi, unter smtpd_tls_*und smtp_tls_*jeweils. Verwechsle die beiden nicht.

Stellen Sie sicher, dass diese Einstellungen aktiviert sind:

smtp_tls_security_level = may smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_loglevel = 1 

Passen Sie es smtp_tls_CAfilean Ihr Betriebssystem an. Die smtp_tls_loglevelEinstellung ist nicht erforderlich, kann jedoch beim Lesen von Protokollen nützlich sein.

Die Einstellung smtp_tls_cert_fileund smtp_tls_key_fileist nicht erforderlich (viele Mail-Server ignorieren das Client-Zertifikat oder verwenden es nur zu Protokollierungszwecken).

Ich benutze smtpd_tls_ *. Was genau ist der Unterschied zwischen der Einstellung von SSL auf smtp_ und smtpd_? Ich habe den Post aktualisiert und mein main.cf hinzugefügt. Sollte ich versuchen, meine Einstellungen durch Ihren Vorschlag zu ersetzen? Vielen Dank! Sonic656 vor 6 Jahren 0
Habe ich das nicht gerade erwähnt? Eine ist für den _client_-Modus, die andere für den _server_-Modus. grawity vor 6 Jahren 0
Es tut mir leid, ich sehe es jetzt. Soll ich die alten Einstellungen entfernen oder einfach dort lassen und die neuen Einstellungen hinzufügen? Danke für die Geduld mit mir. Sonic656 vor 6 Jahren 0
Sie benötigen beides, da Sie Postfix in beiden Modi verwenden - als Client beim Senden von E-Mails, * und * als Server beim Empfangen von E-Mails. grawity vor 6 Jahren 0
Vielen Dank! Anscheinend hat es mein Problem gelöst! Ich bekomme den Fehler nicht mehr. Die Wehrsache ist, dass ich mir die Konfiguration meines alten VPS angeschaut habe und diese Parameter auch nicht verwendet habe, nur die mit smtpd_tls_ * und alles hat funktioniert. Ich bin froh, dass Ihr Vorschlag geholfen hat. Danke nochmal. Einen schönen Tag noch. Sonic656 vor 6 Jahren 0