Scanner kann keine Mails versenden

boospy

Hallo Leute,

wollte heute unseren Scanner beibringen Mails über die Kuh zu versenden. Dieser weigert sich. Meldung im Log von Postfix sieht so aus.

mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:35 ebc2a76c2a79 postfix/smtps/smtpd[11669]: connect from unknown[172.16.34.22] mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:35 ebc2a76c2a79 postfix/smtps/smtpd[11669]: Anonymous TLS connection established from unknown[172.16.34.22] to cow.osit.cc: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256 mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:35 ebc2a76c2a79 postfix/smtps/smtpd[11669]: discarding EHLO keywords: CHUNKING mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:36 ebc2a76c2a79 postfix/smtps/smtpd[11669]: 63B2B40415: client=unknown[172.16.34.22], sasl_method=PLAIN, sasl_username=scan001@osit.cc mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:36 ebc2a76c2a79 postfix/smtps/smtpd[11669]: bare <LF> received after DATA (811 bytes) from unknown[172.16.34.22] mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:36 ebc2a76c2a79 postfix/smtps/smtpd[11669]: disconnect from unknown[172.16.34.22] ehlo=1 auth=1 mail=1 rcpt=1 data=0/1 commands=4/5 mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:36 ebc2a76c2a79 postfix/cleanup[11641]: 63B2B40415: replace: header Received: from scanner (unknown [172.16.34.22])??(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)?? key-exchange X25519 server-signature RSA-PSS (4096 bits) server-digest SHA256)??(No from unknown[172.16.34.22]; from=<scan001@osit.cc> to=<benno456@gmx.at> proto=ESMTP helo=<scan001>: Received: from [127.0.0.1] (localhost [127.0.0.1]) by localhost (Mailerdaemon) with ESMTPSA id 63B2B40415??for <testmail@osit.cc>; Fri, 19 Jan 2024 12:25:36 +0100 (CET) mailcowdockerized-postfix-mailcow-1 | Jan 19 12:25:36 ebc2a76c2a79 postfix/cleanup[11641]: 63B2B40415: message-id=<>

Ich hab’s mit TLS, SSL, Port 465 und 587 getestet. Mit meinem anderen Postfix (Ubuntu 22.04) tut das Teil. Ich vermute mal das es viel. an einem älteren Verschlüsselungsalgorythmus liegt? Der Scanner ist jetzt 1,5 Jahre und sollte schon was drauf haben.

Ich habe das Konto für den Scanner von Mailcow auch in meinem lokalen Mailclient getestet. Funktioniert mit SSL und StartTLS und auch den ganzen Ports.

Mailcowversion 2024-01a

Vielen Dank für eure Ideen.

lg
boospy

piperino

Hallo

Ich vermute das “bare <LF> received after DATA (811 bytes) from unknown[172.16.34.22]” ist das Problem
Lies dich mal kurz ins Thema “SMTP Smuggling” in Zusammenhang mit Postfix ein.
https://www.postfix.org/smtp-smuggling.html
https://www.postfix.org/announcements/postfix-3.8.4.html
Dann fürgst du mal:
smtpd_forbid_bare_newline_exclusions = $mynetworks
Ich hoffe dass Mailcow schon eine aktuelle postfix Version verwendet.

in die data/conf/postfix/extra.cf
ebenfalls die mynetworks wie unten beschri8eben mit der IP des Druckers erweitern.

https://docs.mailcow.email/manual-guides/Postfix/u_e-postfix-unauthenticated-relaying/

Das ganze aber ohne Gewähr. Ist aber einen Versuch wert.

boospy

Danke @piperino so funktioniert es.

Wenn ich es richtig verstehe schließt die neue Option die erwähnte schon ewig existierende Sicherheitslücke in Postfix. Umgehen kann man diese nur mit der Option “smtpd_forbid_bare_newline_exclusions = $mynetworks” und dem Zusatz welche IP Adressen ohne Authentifizierung senden dürfen, richtig?

piperino

boospy
Ist nicht ganz richtig. Der Scanner hat nun (aufgrund der Korrekturen in postfix) eine “nicht korrekte” implementation des SMTP Protokolls.
Wenn sich ein Client an die Spezifikationen hält müsstest du eigentlich nur die IP in mynetworks aufnehmen um ohne auth mails versenden zu können.
In unserem Fall hat da postfix einige sachen einfach ignoriert mit dem “Carriage Return and Line Feed”.
schau mal das video. Neben der Tatsache dass es sehr interessant ist es auch lustig🙂.
https://www.youtube.com/watch?v=V8KPV96g1To

Falls da wirkliche Postfix Experten mitlesen, bitte mich gerne korrigieren.

gruss piperino