Versand & Empfang per SSL/TLS

[catweazle71]

Hi,

ich würde gerne meine Mails verschlüsselt versenden und auch empfangen können, zumindest bis zu meinem Relayhost.

Dazu folgendes:
- Versenden tue ich von Zarafa Webaccess, Outlook 2010 auf Win7 und meinem Nexus Galaxy
- Empfang läuft bei den angeschlossenen Clients (Outlook und Galaxy) immer über Zarafa
- Zarafa holt die Mails per fetchmail bei meinem Relayhost GMX ab
- Zusätzlich habe ich Push Mail aktiviert

Momentan habe ich Zarafa bzw. Postfix bzgl. smtp und smtpd wie folgt konfiguriert:

# SMTP Server (smtpd) Optionen
broken_sasl_auth_clients = yes
cyrus_sasl_config_path = /usr/syno/mailstation/etc
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destinati
smtpd_sender_restrictions = reject_unknown_sender_domain
smtpd_sasl_authenticated_header = yes
smtpd_tls_cert_file = /usr/syno/etc/ssl/ssl.crt/server.crt
smtpd_tls_key_file = /usr/syno/etc/ssl/ssl.key/server.key
#Setze TLS Option STARTTLS optional
smtpd_tls_security_level = may
#AUTH nur per TLS - ds
smtpd_tls_auth_only = yes

#Zarafa Konfiguration
default_privs = guest
#Change SMARTHOST to the mailserver of your provider (the [] are important, do not remove them!)
#Example: smtp.mail.yahoo.de
relayhost = [mail.gmx.net]
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_security_level = may
#This file contains the username and password of your provider
smtp_sasl_password_maps = hash:/usr/syno/mailstation/etc/saslpasswd
#Uncomment the following line to get debug output in case of problems with the smarthost
#debug_peer_list = SMARTHOST
smtpd_sasl_type=cyrus
myhostname = mydsnet.eu
smtpd_sasl_auth_enable = yes
message_size_limit = 20971520

So wie jetzt konfiguriert funktioniert sowohl der Mailempfang als auch der Mailversand.

Aber ich bin mir eben nicht sicher, dass Mails auch wirklich verschlüsselt werden per TLS bzw. die Authentisierungsdaten verschlüsselt übertragen werden, da smtp_tls_security_level=may

Lässt sich meine Konfiguration noch optimieren?

Habe schon mit encrypt statt may rumprobiert, bekomme dann aber immer den Fehler "Response: 5.7.0 Must issue a STARTTLS command first"

Was kann ich tun????

 

[jahlives]

Aber ich bin mir eben nicht sicher, dass Mails auch wirklich verschlüsselt werden per TLS bzw. die Authentisierungsdaten verschlüsselt übertragen werden, da smtp_tls_security_level=may

may heisst für den smtp Client einfach: wenn angeboten dann nimm es, wenn nicht dann nicht. Encrypt würde heissen, wenn nicht angeboten dann sofort Fehler melden und Zustellung unterbinden. Wenn es also der Server bietet, dann wird der Client bei may den TLS auch verwenden
Ggf kannst du noch folgende Option im Client setzen

smtp_use_tls = yes

 

[catweazle71]

Das würde aber doch bedeuten, wenn ich encrypt setze und eine Fehlermeldung bekomme, dann bietet der jeweilige Server TLS auch nicht an, oder???
Heißt also, bei may wird er unverschlüsselt übertragen. Das möchte ich gerne vermeiden.

Wenn ich per telnet den Port 25 abfrage, also z.b. "telnet myhost.mydomain.com 25" und dann ein EHLO test.client.com absetze, bekomme ich folgendes geliefert:
250-PIPELINING
250-SIZE 20971520
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Also müsste meine DS211+ mit Zarafa doch auch STARTTLS können. Warum funktioniert dann die Option encrypt nicht???

Genau das gleiche scheint mir bei GMX zu passieren. Auch hier erhalte ich bei der Abfrage, dass STARTTLS geht, de facto geht's aber nicht.

Oder meine Konfig ist halt noch falsch ...

Habt ihr noch Vorschläge???

 

[jahlives]

also wenn du via deine DS auch Mails nach extern schicken willst resp Mails von extern empfangen, dann solltest du encrypt weder auf dem smtpd noch auf dem smtp erzwingen. Sonst schickst und empfängst du bald keine Mails mehr, denn viele Server bieten es nicht an.
Wenn du encrypt wirklich erzwingen willst, dann solltest du mit postfix Maps arbeiten (http://www.postfix.org/TLS_README.html#client_tls_encrypt) und bei Domains wo du weisst, dass sie es können diese mit encrypt eintragen. Dann machst du als default Wert in smpt(d)_tls_security_level = may

 

[catweazle71]

Naja, ich will ja eigentlich erstmal nur bis zu meinem Mail Provider GMX kommen, und das bei jeder Mail. Also ist mein Ziel, mindestens die Authentisierung gegen den Mailserver verschlüsselt zu übertragen. Innerhalb Outlook kein Problem. Über Port 465 kommuniziere ich verschlüsselt mit GMX SMTP Server. Aber wie bekomme ich das hier hin, bei Zarafa resp. Postfix???

 

[jahlives]

per default gibt es bei Postfix keine Unterstützung für implizites SSL via Port 465. Es wird "nur" explizites SSL d.h. starttls auf den "normalen" Ports 25 und 587 unterstützt. Bei explizitem SSL baust du eine Verbindung auf dem normalen Port auf und sendest dann das STARTTLS Kommando an den Server. Ab dann ist die Verbindung verschlüsselt. Wenn du verhindern willst, dass Logindaten gesendet werden solange keine verschlüsselte Verbindung besteht.

smtp_sasl_security_options = noanonymous, noplaintext
smtp_sasl_tls_security_options = noanonymous

die erste Zeile verhindert anonym und plaintext (normaler Login) wenn keine TLS Verbindung besteht. Die zweite Zeile unterbindet anonym auch bei TLS gesicherten Verbindungen.
Du kannst bei GMX ganz normal via Port 25 verschlüsselte Verbindungen haben

 

[catweazle71]

Ok Mann, danke Dir. Ich hab keine Ahnung, was ich vorher falsch gemacht habe, aber jetzt geht es

Jetzt kann es also wieder weiter gehen ...

 

[jahlives]

ich glaube es lag v.a. daran dass du bei ungesicherten Verbindungen nur anonym verboten hast

[COLOR=#333333]smtp_sasl_security_options = noanonymous

damit war es dem postfix-client erlaubt den Login auch über ungesicherte Verbindungen zu schicken[/COLOR]