• RRuppel

      Moolevel 0
    • Post #1
    • This post is in German

    Hi,

    mein neu eingerichteter Server mit Mailcow dockerized hat noch ein nicht optimales Rating bei internet.nl (82%) und ich weiß nicht, wo ich hinlangen muss…

    Ich fahre eine Mailcow Installation mit traefik als Reverse Proxy.

    Modern address (IPv6): IPv6 reachability of mail server(s)

    Mein Mailserver (MX) ist wohl nicht mit seiner IPV6 Adresse auf Port 25 erreichbar.
    Alles andere ist mit IPv6 erreichbar. Der Server kann das und im DNS ist auch alles eingestellt.
    Nun habe ich unter docs.mailcow.email Icon IP-Bindings - mailcow: dockerized Dokumentation

    docs.mailcow.email Icon docs.mailcow.email
    IP-Bindings - mailcow: dockerized Dokumentation
    None
    docs.mailcow.email
    gefunden, dass ich die docker-compose.override.yml entsprechend anpassen muss.
    Tue ich dies und mache einen restart (down; up -d) dann bekomme ich folgende Fehlermeldung:

    Error response from daemon: driver failed programming external connectivity on endpoint mailcowdockerized-dovecot-mailcow-1 (637…): Error starting userland proxy: listen tcp6 [::]:4190: bind: address already in use

    Secure mail server connection (STARTTLS and DANE)

    Hier mäkelt er “TLS version” und “Ciphers (Algorithm selections)” an.
    Anscheinend erlaube ich TLS 1.1 und/oder TLS 1.0.
    In der Traefik Konfiguration habe ich dazu schon in der dynamic-config.yml folgendes hinzugefügt:

    tls:
  options:
    default:
      cipherSuites:
        - "TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256"
        - "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
        - "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"
        - "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
        - "TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305"
        - "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305"
      minVersion: "VersionTLS12" # Minimum TLS Version
      sniStrict: true # Strict SNI Checking

    Aber das ist ja nur für Traefik.
    Mailcow kopiert sich mit dem certdumper die notwendigen Zertifikate zu sich und macht dann “irgendwas tolles” damit :-)
    Laut Doku ist alles auf mindestens TLS 1.2 umgestellt. Ich habe meines Wissens daran nichts geändert. Was tun?
    Wo kann ich sagen, dass “AES256-GCM-SHA384” nicht mehr genutzt werden darf?

    Key exchange parameters

    Ein rotes Schild habe ich bei “Key exchange parameters”.
    Er behauptet mein MX Server nutzt “DH-2048” und das sei “insufficient”.
    Keine Ahnung, wo ich da was ändern muss…

    DANE existance

    Auch ein rotes Schild habe ich bei “DANE existance”.
    Wenn mir da einer einen Hint geben kann, wie die Schritte zur Erfüllung dieser Anforderung für Mailcow aussehen, dann wäre ich sehr glücklich.

    Vielen Dank im Voraus,
    Ruppel

      Ruppel Mein Mailserver (MX) ist wohl nicht mit seiner IPV6 Adresse auf Port 25 erreichbar.

      Wenn der Server für IPv6 konfiguriert ist, läuft das mit mailcow eigentlich out-of-the-box und ohne Änderung irgendwelcher Bindings. Man muss im Gegenteil sogar einiges tun, um IPv6 zu deaktivieren.

      Ruppel Error starting userland proxy: listen tcp6 [::]:4190: bind: address already in use

      Da lauscht offenbar schon etwas auf Port 4190.

      Ruppel Hier mäkelt er “TLS version” und “Ciphers (Algorithm selections)” an.
      Anscheinend erlaube ich TLS 1.1 und/oder TLS 1.0.

      Das ist normal und hat bei internet.nl keine Auswirkung auf die Punktzahl. Ich komme auf 100 und habe diesen Hinweis ebenfalls. Du musst entscheiden, ob du riskieren möchtest, ggf. für andere Mailserver, die noch ältere Verfahren einsetzen, nicht mehr erreichbar zu sein. Man könnte auch sagen, besser eine nicht mehr ganz so gute als gar keine Verschlüsselung.

      internet.nl schreibt ja auch selbst: “Note that quite some mail servers only support older TLS versions. If the sending and receiving mail server both do not support the same TLS version, they will usually fall back to unencrypted mail transport. Because of that it could be advisable to keep supporting TLS versions with a ‘phase out’ status for a while. Make an informed decision based on log data on when to disable these ‘phase out’ TLS versions.”

      Ruppel Ein rotes Schild habe ich bei “Key exchange parameters”.
      Er behauptet mein MX Server nutzt “DH-2048” und das sei “insufficient”.

      mailcow verwendet standardmäßig DH-2048-Parameter unbekannten Ursprungs, die initial aus data/assets/ssl-example nach data/assets/ssl kopiert werden.

      Ich hab sie bei mir durch eine 4096-bit-Gruppe gemäß RFC 7919 ersetzt:
      internetstandards/dhe_groups

      Ruppel Auch ein rotes Schild habe ich bei “DANE existance”.
      Wenn mir da einer einen Hint geben kann, wie die Schritte zur Erfüllung dieser Anforderung für Mailcow aussehen, dann wäre ich sehr glücklich.

      DANE ist relativ komplex und unabhängig von mailcow einzurichten. Du benötigst auf jeden Fall DNSSEC für deine Domain(s). Dann legst du TLSA-Records im DNS an, die Hashwerte deiner eingesetzten Zertifikate enthalten. Ein Client kann darüber unabhängig prüfen, ob die Zertifikate der Gegenstelle valide sind. Hier ist ein guter Einstieg: thomas-leister.de Icon DANE und TLSA DNS-Records erklärt

      thomas-leister.de Icon thomas-leister.de
      DANE und TLSA DNS-Records erklärt
      Das persönliche Weblog zu den Themen Linux, Server und freier / offener Software

                Have something to say?

                Join the community by quickly registering to participate in this discussion. We'd like to see you joining our great moo-community!

                7 months later

                Gab es da inzwischen eine Lösung? Wenn ich mailcow auf eine spezifische ipv6 binden will, erhalte ich den gleichen Fehler (address already in use).

                Lasse ich das Binding weg kann der Server zwar über ipv6 nach außen, die Adresse ist dann aber nicht die aus meinem ptr Eintrag…

                No one is typing