Kontowecker: Problem beim Empfang der Email des Service von der Sparkasse

curiosity

Hallo,
ich bin noch recht frisch in Sachen mailcow. Diesen habe ich vor ca. 3 Monaten in Betrieb genommen mit einer neuen registrierten Domain um mich mit dem mailcow Server vertraut zu machen. Da die Domain noch unbekannt war, konnte ich so mit Emails hantieren und lief nicht Gefahr, das der Empfang von wichtigen Mails gefährdet wird. Funktionierte auch alles super. Mails Senden und Empfangen klappt. Beim Emailserver Test von internet.nl erreiche ich volle Punktzahl und der Test bei www.checktls.com erreiche ich auch die Maximale Punktezahl.

Soweit so gut dachte ich mir, nun könnte ich endlich meine alte Domain beim alten Provider kündigen und mit ihm den blöden Emailserver der im Webpaket inkl. war. Der Umzug der Domain lief problemlos und mailcow wurde um die zweite Domain erweitert. Die ersten Mails trafen ein und wir konnten Zuhause Problemlos mails verschicken. Mails von den großen Providern (Google, Apple & Co) kommen an. Ich war zufrieden mit dem Umzug und der Umstellung auf mailcow. SPAM Mails nahmen deutlich ab.
So weit so gut, jetzt kommt das aber. Eine Mail bekomme ich einfach nicht mehr. Es handelt sich um eine Info Mail des Service der Sparkassen. Und zwar nennt sich der Service “Kontowecker”. Im Profil kann man festlegen worüber man Info (Abbuchen, Kontostand am Tages ende usw.) bekommen soll. Diese Email kommt einfach nicht an.
Heute hatte ich mal etwas mehr Zeit und konnte in den Logs von Postfix was finden.

Dort tauchte dann diese Zeilen hier auf:
03.05.2024, 17:51:13 info statistics: max connection rate 2/60s for (smtpd:195.140.96.4) at May 3 17:45:41 03.05.2024, 17:45:47 info disconnect from p01eh.mail.s-web.de[195.140.96.4] ehlo=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=4/5 03.05.2024, 17:45:41 info NOQUEUE: reject: RCPT from p01eh.mail.s-web.de[195.140.96.4]: 550 5.7.1 Session encryption is required; from=<noreply@kontowecker.de> to=<empfang@meine.email> proto=ESMTP helo=<p01eh.mail.s-web.de> 03.05.2024, 17:45:41 info connect from p01eh.mail.s-web.de[195.140.96.4] 03.05.2024, 17:45:41 info PASS OLD [195.140.96.4]:8377 03.05.2024, 17:45:41 info Look up 195.140.96.4 on whitelist, result 200 DUNNO 03.05.2024, 17:45:41 info CONNECT from [195.140.96.4]:8377 to [172.22.1.253]:25 03.05.2024, 17:45:41 info disconnect from p01eh.mail.s-web.de[195.140.96.4] ehlo=1 starttls=0/1 commands=1/2 03.05.2024, 17:45:41 info lost connection after STARTTLS from p01eh.mail.s-web.de[195.140.96.4] 03.05.2024, 17:45:41 info SSL_accept error from p01eh.mail.s-web.de[195.140.96.4]: -1 03.05.2024, 17:45:41 info connect from p01eh.mail.s-web.de[195.140.96.4] 03.05.2024, 17:45:39 info PASS OLD [195.140.96.4]:8291 03.05.2024, 17:45:36 info addr 195.140.96.4 listed by domain list.dnswl.org as 127.0.2.2 03.05.2024, 17:45:36 info Look up 195.140.96.4 on whitelist, result 200 DUNNO 03.05.2024, 17:45:36 info CONNECT from [195.140.96.4]:8291 to [172.22.1.253]:25

Wenn ich das jetzt richtig deute, versucht dieser Emailserver nun eine unverschlüsselte Verbindung aufzubauen oder? Wie kann ich es nun anstellen, dass ich Mails von dem Absender erhalte, ohne die Sicherheit von der mailcow runterzuschrauben? Die IP in der Wihitelist aufzunehmen, hat nicht geholfen, wie man sehen kann.

Ich habe mal in einer alten Email (im Kompletten Header) die noch im Postfach lag, nachgesehen, so weit ich das gesehen habe benutzt der Mailserver TLS 1.2. Anderen Mails die ich erhalte benutzen ebenfalls TLS 1.2. Ich komme da gerade nicht weiter, hat jemand einen Tip für mich?

Andere Infomails der Sparkasse erhalte ich, die kommen aber von einem anderen Emailserver.

Lieben Gruß
Mario

accolon

curiosity reject: RCPT from p01eh.mail.s-web.de[195.140.96.4]: 550 5.7.1 Session encryption is required

Da liegt vermutlich das Problem – deine mailcow erzwingt eine Verschlüsselung, der Sparkassenserver kann/mag das nicht.

Hast du für dein Mailkonto in der mailcow UI unter Mailbox/Einstellungen “TLS eingehend erzwingen” aktiviert?

curiosity

Hallo accolon! Ja, TLS erzwingen ist aktiviert. Wenn er doch aber TLS 1.2 kann, dann sollte er doch wohl Verschlüsselung beherrschen oder nicht? Wenn ich die mailcow in ihrer Standard konfiguration habe (keine Einträge in der extra.cf) kommen die Mails trotz aktivierten TLS zwang an. Kehrseite ist dann, das beim test auf Internet.nl die schwachen Cipher und alte Verschlüsselungs Methoden bemängelt werden. Wenn ich diese dann aber durch die extra.cf deaktiviere, ist der Test wieder 1a. Allerdings mit der Folge dass genau diese Mails nicht mehr ankommen. Eigentlich sollte ja so ein Service von der Sparkasse sichere Email Kommunikation beherrschen, finde ich. Sind ja auch ein bisschen Schützenswerte Details in den Mails enthalten. Die Newsletter Mails kommen z.B. nicht über die web.de Server. Die kommen trotz der hochgezogenen Einstellungen an.

Sicher hat es was mit den hochgezogenen Sicherheitseinträgen zu tun die ich in der extra.cf eingetragen habe.

Hier mal die Einträge:

`# TLS protocols accepted by Postfix (Outgoing)
smtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3,!TLSv1,!TLSv1.1

SSL/TLS supported ciphers (Outgoing)

smtp_tls_ciphers = high
smtp_tls_mandatory_ciphers = high
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high

TLS supported cipherlist

tls_high_cipherlist = ECDHE-ECDSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256:ECDHE-RSA-AES256-GCM-SHA384:TLS_AES_256_GCM_SHA384:ECDHE-RSA-CHACHA20-POLY1305:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES128-GCM-SHA256:TLS_AES_128_GCM_SHA256

Server security grade for ephemeral elliptic-curve Diffie-Hellman (EECDH) key exchange

smtpd_tls_eecdh_grade = ultra`

Die Einstellungen habe ich mir von der Webseite von Dennis Schröder abgeschaut, der hatte bei YouTube eine schöne mehrteilige Serie über mailcow gemacht. Erst dadurch bin ich auf die Idee gekommen den Webmailserver meines alten Providers den rücken zu kehren.
Vielleicht ist eine der Einstellungen etwas oversize, aber ich möchte ungern eine Lücke aufmachen nur damit ich einige Emails von Server erhalte, die es nicht so mit der Sicherheit über ihre Transportwege halten.

Lieben Gruß
Mario

DocFraggle

curiosity nur damit ich einige Emails von Server erhalte, die es nicht so mit der Sicherheit über ihre Transportwege halten

Da gibt es leider einige Spezialisten… ich hab beruflich wegen einer Schnittstelle der Sparkasse mit deren IT zu tun, so was wie oben wundert mich da gar nicht…

esackbauer

Ich glaube die TLS cipher suites sind überschätzt. Eine schlechte Verschlüsselung ist immer noch besser als gar keine Verschlüsselung.
Eine Downgrade Attacke (auf unverschlüsselt) lässt sich nur durch DANE verhindern, bzw. wenn man die Sender Domains zu einer smtp_tls_policy hinzufügt.

curiosity

Hallo, erst einmal danke für Eure Antworten,

der einfachste Weg wäre natürlich, wie Dennis es ja auf seiner Seite schon angemerkt hat, dann verzichtet man halt auf die Mails. Bisher läuft es gut und ich vermisse bis auf diese, keine Mails. Alle wichtigen kommen bei mir an. Aber zufrieden stellt es mich nicht gerade so wirklich. Denn gerade die Sparkassen werben bzw. warnen ja zwischen durch immer wieder für sicheren Email Verkehr in ihren Newslettern. Wenn ich z.B. mal in den Email Header schaue, wo ich die Einstellungen herunter gestuft habe, so sieht es doch aus, als wenn der Server doch wohl TLS 1.2 beherrscht …

Received: from p02eh.mail.s-web.de (p02eh.mail.s-web.de [195.140.96.5]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail.mailserver.de (Postcow) with ESMTPS id 304037D624 for <sparkasse@maildresse.de>; Wed, 1 May 2024 23:08:41 +0200 (CEST) Received: from unknown (HELO d100spul1721.d100.intern) () by p02ev.mail.s-web.de with ESMTP/TLS/DHE-RSA-AES256-GCM-SHA384; 01 May 2024 17:47:16 +0200

Also müssten doch eigentlich die Emails ankommen oder nicht?

esackbauer Eine Downgrade Attacke (auf unverschlüsselt) lässt sich nur durch DANE verhindern, bzw. wenn man die Sender Domains zu einer smtp_tls_policy hinzufügt.

Dane habe ich konfiguriert. wie würde denn so eine smtp_tls_policy dafür aussehen?

accolon Meine Default-Installation von mailcow erhält 100%, den o.g. Hinweis nehme ich einfach zur Kenntnis.

Hmm, wenn ich meine zusätzlichenEinstellungen in der extra.cf herausnehme, erhalte ich nur noch 75 Punkte.
Dummerweise habe ich vergessen mir ein Backup der extra.cf vorher anzulegen. schäm Meines wissen sind da doch im Rohzustand nur zwei Zeilen drin.

myhostname = mail.meinserver.de smtp_helo_name = mail.meinserver.de

Oder wie sieht der Rohzustand der extra.cf aus?

accolon

Dennis Schröder schreibt ja: “Hinweis: Mailcow selber sagt es könnte sein, dass nicht alle Mails angenommen werden können wenn die Gegenseite kein TLS1.2 kann.”

Das ist genau das Problem – du kannst i.d.R. nicht beeinflussen, was der Mailserver des Senders beherrscht. Bei zu strenger Konfiguration musst du damit leben, dass einige (schlecht) konfigurierte Server dann keine Mails mehr an dich zustellen können.

Die Defaults von mailcow halte ich für einen guten Kompromiss aus Sicherheit und Alltagstauglichkeit. Ich weiß nicht, ob die Konfiguration der Sparkasse wirklich unsicher ist oder einfach nur etwas ungewöhnlich – im Zweifel wirst du aber nur Mails von dort erhalten, wenn du deine Anforderungen senkst oder die Sparkasse überzeugst, ihre Konfiguration zu aktualisieren.

Kehrseite ist dann, das beim test auf Internet.nl die schwachen Cipher und alte Verschlüsselungs Methoden bemängelt werden.

Ergänzend hierzu (Hervorhebung von mir):
Ältere TLS-Versionen sind dort ja nicht als “insufficient” gekennzeichnet, sondern mit “phase out”. Dazu heißt es:

“Note that quite some mail servers only support older TLS versions. If the sending and receiving mail server both do not support the same TLS version, they will usually fall back to unencrypted mail transport. Because of that it could be advisable to keep supporting TLS versions with a ‘phase out’ status for a while. ”

Meine Default-Installation von mailcow erhält 100%, den o.g. Hinweis nehme ich einfach zur Kenntnis.

curiosity

Ich habe mal die Ursprungs extra.cf wieder hergestellt.
Bei einem Test auf der Seite von internet.nl komme ich weiterhin nur auf 97%. Jetzt meckert er, das die Key exchange parameters ( DH-2048) insufficient sei.
Kann ich denn eigentlich bei dem Test die 100% erreichen ohne die alten Zöpfe komplett abzuschneiden und zu riskieren das einige Emails nicht mehr ankommen werden? Würde mich über gute Tips freuen. ;-)

esackbauer

Wenn du 2 verschiede Testseiten fragst wirst du 3 verschiedene Antworten bekommen 😉
Mach keine Wissenschaft draus, ich habe eine Sophos Firewall als MTA vorgeschaltet und komme “nur” auf 65% (kein IPv6, kein DNSSEC und kein DANE, und auch TLS 1.1 und 1.0 erlaubt). Ich bin lieber nicht 100% perfekt, weiss aber warum und bekomme und sende meine Mails zuverlässig.

curiosity

Hallo, die Thread ist ja schon ein bisschen älter, aber durch den den Beitrag hier https://community.mailcow.email/d/4137-schwache-ciphers-entfernen/41 ist er gerade wieder aktuell für mich geworden. Hab es bei mir so in der extra.cf eingetragen und was soll ich sagen, jetzt hab ich wieder bei internet.nl 100% und die Mails vom Kontowecker kommen auch noch an. Jetzt bin ich zufrieden und das Thema ist für mich gelöst. 🙂