Hallo zusammen,

ich habe bei mir Postfix mit TLS eingerichtet.
Wenn ich im lokalen Netzwerk per Telnet die Einstellungen testen möchte, erhalte ich das folgende Ergbnis:

EHLO XXX.yyy.de
250-XXX.yyy.de
250-PIPELINING
250-SIZE 600000000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

TLS ist also verfügbar.

Wenn ich jedoch von externe erneut Abfrage, erhalte ich das hier:

EHLO XXX.yyy.de
250-Requested mail action okay, completed
250-SIZE 600000000
250-ETRN
250-8BITMIME
250 OK

Warum wird mir TLS von extern nicht angeboten?
Auf der Firewall ist SMTP und SMTP SSL über Port 25 465 freigeschaltet.

Vielen Dank schon mal für eure Hilfe...

https://wiki.ubuntuusers.de/Postfix/Erweiterte_Konfiguration/
smtpd_enforce_tls = yes

Diese bewirkt, dass Postfix die Verschlüsselung nicht nur optional anbietet, sondern explizit erzwingt. Unterstützt der Client kein TLS, wird die Verbindung abgelehnt.
Hinweis:

In Postfix 2.3 (ab Edgy) wurden die beiden Direktiven smtpd_use_tls und smtpd_enforce_tls zusammengefasst zu smtpd_tls_security_level, mit den möglichen Werten may (Verschlüsselung möglich) und encrypt (Verschlüsselung erforderlich). Die alten Schlüsselwörter funktionieren aber aus Kompatibilitätsgründen vorerst weiterhin


Hilft das?

Hier ist nur anzumerken, dass die Verbindung zu anderen Mailservern, die nicht verschlüsseln, beeinträchtigt werden könnte.

Gingen beide telnets auf Port 25?

@fork
ja, sowohl von extern als auch von intern

@florian0285
danke, aber mit der Option würde Postfix nur noch TLS machen. Unverschlüsselte Nachrichten wurden dann nicht mehr ankommen.

Schon mal versucht trotzdem mit TLS zu verbinden?

Ohne Details und Config wird das nur zum Ratespiel.

Laut Postfix Doku:



http://www.postfix.org/TLS_README.html
STARTTLS is never offered due to insufficient privileges to access the Postfix SMTP server private key. This is intended behavior.


und gleich drunter:



Client certificate verification
....
smtpd_tls_ask_ccert = yes

Hallo,

hier einmal die Main Config:
vielen Dank für eure Hilfe.
Leider komme ich selbst bei dem Problem nicht so richtig weiter :(




command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
unknown_local_recipient_reject_code = 550
mynetworks = 192.168.99.0/24, 127.0.0.0/8, 10.127.222.0/24, 193.29.207.0/24, 193.29.208.0/24, 193.29.254.0/24, 10.127.221.0/24, 10.127.223.0/24, 10.127.224.0/24, 10.127.225.0/24, 10.127.189.0/24, 10.127.227.0/24, 10.127.215.0/24, 194.1.20.0/24, 193.29.206.0/24, 194.1.23.0/24, 194.1.24.0/24, 10.127.234.0/24,

relay_domains = xxx.yyy.de

debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5


sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
html_directory = /usr/share/doc/packages/postfix/html
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
smtp_host_lookup = dns
readme_directory = /usr/share/doc/packages/postfix/README_FILES
inet_protocols = all
biff = no
canonical_maps = hash:/etc/postfix/canonical
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = name.dom.de

mydestination = xxx.yyy.de
disable_dns_lookups = no
mailbox_transport = lmtp:unix:public/lmtp
strict_8bitmime = no
disable_mime_output_conversion = no
smtpd_sender_restrictions = hash:/etc/postfix/access
strict_rfc821_envelopes = no
smtpd_use_tls = yes

alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 600000000
myorigin = dom.de
mydomain = dom.de
maximal_queue_lifetime = 4d
hash_queue_depth = 2
recipient_delimiter = +
maximal_backoff_time = 1500s
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination reject_rbl_client sbl-xbl.spamhaus.org

smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/certs/smtpd.key
smtpd_tls_cert_file = /etc/postfix/certs/smtpd.crt
smtpd_tls_CAfile = /etc/postfix/certs/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Schon mal in's Log geschaut?


systemctl -u postfix.service


tail -n 100 /var/log/mail.log