Port 25 STARTTLS mit Authentifizierung will nicht wie ich will

KKolli · 14 Jan

Hallo zusammen,

ich habe die letzten Tage unseren in die Jahre gekommenen Mailserver beerdigt und eine Mailcow Instanz beim hetzner hochgezogen. Schöne Sache und alles gleich out-of-the-box. ️

Aber an einer Sache beiße ich mir bis jetzt die Zähne aus. Wir haben einige Kundensysteme da draußen welche bis dato an unseren alten Mailserver angebunden waren. Diese wollte ich quasi lautlos und ohne irgendeine Aktion auf den mailcow ‘übernehmen’.

Problem: die kundenseitige Einstellung steht auf Port 25 STARTTLS (mit Authentifizierung über die Anmeldedaten des betreffenden Postfachs).

Und diese Mails kommen nicht mehr an - Fehler:

postfix/smtpd: NOQUEUE: reject: RCPT from unknown[Sender-IP]: 454 4.7.1 <mail@mail.de>: Relay access denied

Auch nach langem recherchieren komme ich nicht dahinter wie ich das hinbekomme was zuvor viele Jahre so funktioniert hat. Das einzige was geht ist wenn der Mail-Empfänger gleich dem Konto entspricht was in den Anmeldedaten am Mail-Client hinterlegt ist.

Beispiel: Thunderbird
Server: mail.irgendwer.de
Port: 25
Sicherhheit: STARTTLS
Auth: Passwort, normal
Benutzer: test@irgendwer.de

Ergebnis:
test@irgendwer.de kann an sich selbst bzw. an test@irgendwer.de eine Mail senden, aber nicht an irgendeine sonstige Adresse (Relay access denied)

Einige hatten mit nachfolgenden Einstellungen Erfolg:

# Aktiviert die SASL-Authentifizierung
smtpd_sasl_auth_enable = yes
# Authentifizierung nur via TLS
smtpd_tls_auth_only = no

Bringt mir leider aber nichts. Sehe ich vor lauter Bäumen den Wald nicht mehr oder habe ich einen grundlegenden Gedankenfehler etc. ?
thx..!

esackbauer · 14 Jan

Aus Sicherheitsüberlegungen gibts keine Authentifizierung auf Port 25. Dafür ist der Port 587 gedacht. So kann man Traffic bei einem Angriff sauber trennen und die Maileinlieferung funktioniert weiter.

Wenn du eine supportete Lösung haben willst die auch ein mailcow Update übersteht würde ich dir empfehlen dass sich die Kundensysteme an den Standard (Port 587) halten.
Eine andere Alternative wäre die Authentifizierung im Kundenssystem abzuschalten und stattdessen die IP-Adresse des Kundensystems unter “Weiterleitungshosts” zu whitelisten. Wäre aber eher was für Statusmails von z.b. Nextcloud etc., nicht für persönliche Mails.

DocFraggle · 14 Jan

Hi, bei Mailcow musst Du Port 587 für die Client Authentifizierung nutzen, siehe auch:

Manuelle Konfiguration - mailcow: dockerized Dokumentation

docs.mailcow.email

Manuelle Konfiguration - mailcow: dockerized Dokumentation

None

Edit: da kam mir @esackbauer grade zuvor

KKolli · 15 Jan

vielen Dank für die schnellen Antworten!
Ok, dann werde ich mich von der 25er Port Geschichte verabschieden und den Aufwand betreiben die Kunden auf Port 587 einzustellen. Will aber nicht dumm sterben und eine Sache ist mir noch nicht ganz klar - was hat der Port 25 überhaupt dann noch für eine Daseinsberechtigung in der Mailcow Grundkonfiguration ? wie von @esackbauer beschrieben eben für Statusmails etc. welche keine Authentifizierung benötigen und man die Systeme einfach nur whitelisten muss ?

ich hab noch ein anderes kleines Problem und möchte dafür keinen Thread aufspannen bzw. könnt ihr mir bitte kurz Schützenhilfe geben. Auf dem Mailserver landet ein Absender immer in Quarantäne - obwohl dieser Absender in der Spamfilter-Whitelist eingetragen ist und auch die Bewertung von der Zahl her unter dem Spam-Score liegt. Und auch ein Spam Database Lookup

dnsbl.info

DNSBL Information - Spam Database Lookup

DNS-based block list information/database. Resource to find out information on DNS block lists and check IPs to see if the are block listed in over 100 blacklist in just seconds.

brachte kein negatives Ergebnis.

DocFraggle · 15 Jan

Kolli was hat der Port 25 überhaupt dann noch für eine Daseinsberechtigung in der Mailcow Grundkonfiguration

Na die externen Mailserver liefern ihre Mails darüber bei Deiner Mailcow ein

Kolli die Bewertung von der Zahl her unter dem Spam-Score liegt

Auf Deinem Screenshot hat die Mail aber 15,66 Punkte? Was hast Du denn als SPAM Score eingestellt?

KKolli · 15 Jan

DocFraggle Na die externen Mailserver liefern ihre Mails darüber bei Deiner Mailcow ein

verstehe bzw. hab’s gerade nachgelesen - jetzt wird mir einiges klar. Sorry für die Anfängerfrage - muss da noch tiefer rein.

DocFraggle Auf Deinem Screenshot hat die Mail aber 15,66 Punkte? Was hast Du denn als SPAM Score eingestellt?

20 ist der SPAM Score - hab aber soeben gesehen das die reject Einstellung in rspamd auf 15 steht und das dann wohl auch der Grund der Ablehnung ist.
thx!

DocFraggle · 15 Jan

Also wenn Du 20 als SPAM Score setzt wirst Du in Zukunft nicht unbedingt glücklich werden… ich habe 8 gesetzt, und auch da schummeln sich noch einige SPAM Mails mit <8 durch…

Die Rspamd Symbols in Deinem Screnshot lassen zudem auf eine ziemlich fehlerhafte Config des Absender-Mailservers schhliessen

KKolli · 15 Jan

DocFraggle Also wenn Du 20 als SPAM Score setzt wirst Du in Zukunft nicht unbedingt glücklich werden… ich habe 8 gesetzt, und auch da schummeln sich noch einige SPAM Mails mit <8 durch

ich hab es auch wieder auf den Standard gesetzt. Ich kann den Kunden jetzt damit konfrontieren das sein Mail-Server fehlerhaft ist, aber die Antwort kenne ich. Die Frage ist eher wie ich meiner Mailcow beibringen kann das die Mail von eben diesem Absender frei passieren darf. Das verstehe ich noch nicht ganz bzw. hab ich die Mail auf der Whitelist und auch schon als HAM gelernt. Und trotzdem landen diese danach wieder in der Quarantäne.

DocFraggle · 15 Jan

Hast Du die Domain unter

System -> Konfiguration -> Globale Filter-Maps -> Regex-Maps (Haken setzen) -> Header-From: Whitelist

ala

/.+example\.com/i

eingetragen?