Toon posts:

SMTP only server

Pagina: 1
Acties:

Vraag

maandag 29 juli 2024 18:37

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Mijn vraag
Hi, ik wil een SMTP only server bouwen waarbij men een account krijgt en enkel mail kan versturen. Dus niet ontvangen. Hoe kan ik dit voor elkaar krijgen?

Relevante software en hardware die ik gebruik
Ik heb een domein naam, VPS met Debian 12.

Wat ik al gevonden of geprobeerd heb
Ik heb een smtp server en imap server draaiende gekregen en dat werkt perfect middels deze guide. Echter dan heb je ook een inbound adres en dat wil ik eigenlijk niet. Liefst als men terugmailt dat men dan een reject melding krijgt OF dat het allemaal naar 1 account gaat die WEL kan inloggen (admin). Het enige probleem is dat ik issues heb met de tutorial zijn SSL issues. Het werkt wel maar enkel over TLS, SSL lukt niet helemaal als ik deze tutorial volg. Mijn oude Brother PSC kan er niet mee over weg en ook heb ik wat issues met Thunderbird mail dus wellicht ligt het aan de Tutorial die ik volg of aan mezelf. Krijg een SSL300 (volgens mij) fout. Anyway, ik weet ook niet of dit de juiste weg is want ik ben enkel op zoek naar een SMTP only server waar ik accounts op kan aanmaken en daarmee IOT devices kan voorzien van smtp accounts.

Wat is de benaming hiervan? Wellicht zoek ik verkeerd, ik zoek namelijk op smtp only mail server maar dan krijg ik local smtp servers als resultaat.

Beste antwoord (via ironheart op 30-07-2024 14:28)

dinsdag 30 juli 2024 12:15

  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

ironheart schreef op dinsdag 30 juli 2024 @ 08:00:
[...]


Vraag: als ik hem op loopback zet, kunnen andere machines er dan nog wel mee connecten en versturen?
Nee, de loopback interface is niet bereikbaar voor andere computers op je netwerk. Denk dat er hier ook wel wat verwarring is over de term lokaal. Zoals ik je begrijp wil je dat je SMTP-server wel degelijk luistert op de netwerkinterace(s) want je hebt andere apparaten in je netwerk die mail aan deze server moeten afleveren. Denk dat @Cyphax de term 'lokaal' interpreteert als dat alleen applicaties op dezelfde host je SMTP-server kunnen gebruiken. Vandaar het advies om hem te binden aan een netwerkinterface die niet van buiten de server benaderbaar is.

Verder moet je een SMTP-server misschien vergelijken met een webserver. Als je niet wilt dat deze van het internet bereikbaar (mail ontvangt) is dan is het misschien al voldoende om geen inkomend verkeer aan te nemen op je router of firewall en dat naar je SMTP-server te sturen. Dit even om het simpel te houden.

Punt is dan natuurlijk nog wel dat je een uitgaande SMTP-server hebt die standaard luistert op je interne netwerk. Dat betekent ook dat eventuele malware deze zou kunnen detecteren en gebruiken om spam naar buiten te sturen. Dat kan een reden zijn om nog iets verder te beperken exact welke hosts of sender addresses mail aan je server mogen afleveren, maar eerlijk gezegd is dat voor de gemiddelde thuis- of hobby-omgeving niet zo'n enorm probleem.

Wat zoektermen betreft, de gangbare term is relay server, of SMTP relay. Misschien helpt dat.

[ Voor 3% gewijzigd door Jazzy op 30-07-2024 12:17 ]

Exchange en Office 365 specialist. Mijn blog.

Alle reacties

maandag 29 juli 2024 18:58

Acties:
  • +3 Henk 'm!
  • Cyphax
  • Registratie: November 2000
  • Laatst online: 08:07

Cyphax

Moderator LNX
Is het niet een kwestie van een SMTP-server als Postfix opzetten en dan zo configureren dat ie alleen connecties accepteert van lokaal?
Hier wordt zoiets voorgesteld: https://superuser.com/que...d-i-disable-incoming-mail

Saved by the buoyancy of citrus

maandag 29 juli 2024 21:10

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Niet helemaal want hij mag ook berichten versturen die vanaf een andere VPS / printer-scanner-copier / RPi worden geinitieerd. Hopelijk begrijp je een beetje wat ik bedoel. Zoals ik lees in dat topic luistert hij enkel op de loopback ergo mag alleen hijzelf sturen, toch?

Edit:
Ik denk dat het deze wordt... morgen eens uitproberen https://www.linuxbabe.com...y-multiple-domains-ubuntu

[ Voor 22% gewijzigd door ironheart op 29-07-2024 21:35 ]

dinsdag 30 juli 2024 07:37

Acties:
  • 0 Henk 'm!
  • wschoonveld
  • Registratie: Maart 2021
  • Laatst online: 24-08 15:05

wschoonveld

Mooie tutorials zijn dat van linuxbabe, ik configureer mijn mailserver er ook mee en probeer hem daarna dicht te timmeren dmv internet.nl, die geeft haarfijn aan wat er nog ontbreekt aan beveiligingen.
In de regel klopt de tutorial wel, als je ssl fouten hebt, heb je vermoedelijk wat over het hoofd gezien. In de tutorial wordt standaard geconfigureerd met STARTTLS en dat werkt prima. Waarom zou je SSL willen?
Ik heb lokaal een nas (OMV) draaien en daarbij heb ik de gegevens van mijn mailbox ingevoerd en dat werkt als een trein.

Volgens mij kun jij je mailserver gewoon aanhouden zoals je die gebouwd hebt, in die tutorial van linuxbabe ook een stukje over postfixadmin waar je e-mail adressen en dergelijke kunt aanmaken. Ook kun je daarin mail doorsturen dmv aliassen. Achter de bestaande mailboxen heb je een knopje met alias, daarin kun je de mail doorsturen naar een andere mailbox.

Dan kun je gewoon mail uitsturen met een bestaande mailbox account en binnenkomende mail doorsturen naar 1 mailbox.

dinsdag 30 juli 2024 07:45

Acties:
  • 0 Henk 'm!
  • Compuchip87
  • Registratie: Februari 2021
  • Laatst online: 07:54

Compuchip87

Je kan inet_interfaces op loopback_only zetten. Je kan hem ook leeg laten maar dan krijg je waarschijnlijk problemen: zorg dat mail naar abuse@domein en postmaster@domein altijd afgeleverd wordt, ofwel lokaal ofwel doorgestuurd naar een andere mailbox!

Mogelijk moet je dan wel smtp_bind_address(6) even instellen om de smtp server wel bereikbaar te houden.

[ Voor 6% gewijzigd door Compuchip87 op 30-07-2024 07:46 ]

dinsdag 30 juli 2024 08:00

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Compuchip87 schreef op dinsdag 30 juli 2024 @ 07:45:
Je kan inet_interfaces op loopback_only zetten. Je kan hem ook leeg laten maar dan krijg je waarschijnlijk problemen: zorg dat mail naar abuse@domein en postmaster@domein altijd afgeleverd wordt, ofwel lokaal ofwel doorgestuurd naar een andere mailbox!

Mogelijk moet je dan wel smtp_bind_address(6) even instellen om de smtp server wel bereikbaar te houden.
Vraag: als ik hem op loopback zet, kunnen andere machines er dan nog wel mee connecten en versturen?

dinsdag 30 juli 2024 08:02

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
wschoonveld schreef op dinsdag 30 juli 2024 @ 07:37:
Mooie tutorials zijn dat van linuxbabe, ik configureer mijn mailserver er ook mee en probeer hem daarna dicht te timmeren dmv internet.nl, die geeft haarfijn aan wat er nog ontbreekt aan beveiligingen.
In de regel klopt de tutorial wel, als je ssl fouten hebt, heb je vermoedelijk wat over het hoofd gezien. In de tutorial wordt standaard geconfigureerd met STARTTLS en dat werkt prima. Waarom zou je SSL willen?
Ik heb lokaal een nas (OMV) draaien en daarbij heb ik de gegevens van mijn mailbox ingevoerd en dat werkt als een trein.

Volgens mij kun jij je mailserver gewoon aanhouden zoals je die gebouwd hebt, in die tutorial van linuxbabe ook een stukje over postfixadmin waar je e-mail adressen en dergelijke kunt aanmaken. Ook kun je daarin mail doorsturen dmv aliassen. Achter de bestaande mailboxen heb je een knopje met alias, daarin kun je de mail doorsturen naar een andere mailbox.

Dan kun je gewoon mail uitsturen met een bestaande mailbox account en binnenkomende mail doorsturen naar 1 mailbox.
Ja klopt, zijn hele fijne tutorials. Ik heb het stukje gezien van postfixadmin enz maar ik hoef dat eigenlijk niet. Ik hou meer van de commandline en wil het liefst daar zoveel mogelijk in doen. Met betrekking tot STARTTLS; op de iPhone en in Outlook werkte het perfect maar in mijn Brother printer en met Thunderbird kreeg ik issues. De Brother is omdat het waarschijnlijk een oudere TLS versie ondersteund, ben ik nog niet achter.

dinsdag 30 juli 2024 08:06

Acties:
  • 0 Henk 'm!
  • Compuchip87
  • Registratie: Februari 2021
  • Laatst online: 07:54

Compuchip87

ironheart schreef op dinsdag 30 juli 2024 @ 08:00:
[...]


Vraag: als ik hem op loopback zet, kunnen andere machines er dan nog wel mee connecten en versturen?
Lees even de documentatie, die had ik expres voor je gelinkt
The local network interface addresses that this mail system receives mail on.

...

When smtp_bind_address and/or smtp_bind_address6 are not specified, the inet_interfaces setting may constrain the source IP address for an outbound SMTP or LMTP connection as described below.

dinsdag 30 juli 2024 08:14

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Compuchip87 schreef op dinsdag 30 juli 2024 @ 08:06:
[...]


Lees even de documentatie, die had ik expres voor je gelinkt


[...]
Snap ik en waarvoor dank maar ik begrijp het niet helemaal;
Postfix will accept mail for user@[ip.address]
. Dit haal ik er wel uit maar niet als er loopback staat of andere machines ermee kunnen connecten. Ik zou verwachten van niet namelijk.

dinsdag 30 juli 2024 12:15

Acties:
  • Beste antwoord
  • +3 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

ironheart schreef op dinsdag 30 juli 2024 @ 08:00:
[...]


Vraag: als ik hem op loopback zet, kunnen andere machines er dan nog wel mee connecten en versturen?
Nee, de loopback interface is niet bereikbaar voor andere computers op je netwerk. Denk dat er hier ook wel wat verwarring is over de term lokaal. Zoals ik je begrijp wil je dat je SMTP-server wel degelijk luistert op de netwerkinterace(s) want je hebt andere apparaten in je netwerk die mail aan deze server moeten afleveren. Denk dat @Cyphax de term 'lokaal' interpreteert als dat alleen applicaties op dezelfde host je SMTP-server kunnen gebruiken. Vandaar het advies om hem te binden aan een netwerkinterface die niet van buiten de server benaderbaar is.

Verder moet je een SMTP-server misschien vergelijken met een webserver. Als je niet wilt dat deze van het internet bereikbaar (mail ontvangt) is dan is het misschien al voldoende om geen inkomend verkeer aan te nemen op je router of firewall en dat naar je SMTP-server te sturen. Dit even om het simpel te houden.

Punt is dan natuurlijk nog wel dat je een uitgaande SMTP-server hebt die standaard luistert op je interne netwerk. Dat betekent ook dat eventuele malware deze zou kunnen detecteren en gebruiken om spam naar buiten te sturen. Dat kan een reden zijn om nog iets verder te beperken exact welke hosts of sender addresses mail aan je server mogen afleveren, maar eerlijk gezegd is dat voor de gemiddelde thuis- of hobby-omgeving niet zo'n enorm probleem.

Wat zoektermen betreft, de gangbare term is relay server, of SMTP relay. Misschien helpt dat.

[ Voor 3% gewijzigd door Jazzy op 30-07-2024 12:17 ]

Exchange en Office 365 specialist. Mijn blog.

dinsdag 30 juli 2024 12:18

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Hey, thanks voor je fijne uitleg.

Doel is om op de VPS een smtp only te creëren waarbij andere servers / applicaties gebruik kunnen maken van deze SMTP server. Deze bevinden zich dus niet in hetzelfde netwerk. Er mag / moet dus wel degelijk worden geluisterd op de publieke interface. Echter, er hoeft geen 'ontvang' mailbox aan vast te hangen, enkel uitgaande mails.

dinsdag 30 juli 2024 12:19

Acties:
  • 0 Henk 'm!
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 15-09 09:10

alex3305

Waarom niet met Docker, bijvoorbeeld Docker mailserver of Mailu? En er zijn vast ook nog andere alternatieven.

Ik gebruik overigens een Postfix relay server die ik verbind naar de SMTP Relay van Google. De Postfix relay is beschikbaar vanaf mijn lokale netwerk. Daarmee heb ik ook netjes DMARC, DKIM en SPF mee in kunnen stellen zodat mail ook netjes bezorgd wordt.

dinsdag 30 juli 2024 13:21

Acties:
  • +1 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 08:26

ElCondor

Geluk is Onmisbaar

Ben je niet op zoek naar een SMTP-Relay dan? In principe moet iedere SMPT server in te richten zijn als relay.
Houdt je er wel rekening mee dat een open relay niet heel veilig is en al snel misbruikt zal worden voor spam?
Heb je daar over nagedacht?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

dinsdag 30 juli 2024 13:53

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
ElCondor schreef op dinsdag 30 juli 2024 @ 13:21:
Ben je niet op zoek naar een SMTP-Relay dan? In principe moet iedere SMPT server in te richten zijn als relay.
Houdt je er wel rekening mee dat een open relay niet heel veilig is en al snel misbruikt zal worden voor spam?
Heb je daar over nagedacht?
Dit is toch afgeschermd middels authenticatie?

dinsdag 30 juli 2024 14:15

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

ElCondor schreef op dinsdag 30 juli 2024 @ 13:21:
Ben je niet op zoek naar een SMTP-Relay dan? In principe moet iedere SMPT server in te richten zijn als relay.
Houdt je er wel rekening mee dat een open relay niet heel veilig is en al snel misbruikt zal worden voor spam?
Heb je daar over nagedacht?
Hoe is dat anders dan wat ik hierboven schreef?

Exchange en Office 365 specialist. Mijn blog.

dinsdag 30 juli 2024 14:20

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
en al snel misbruikt zal worden voor spam?
Heb je daar over nagedacht?
Misschien begrijp ik de vraag verkeerd maar misbruikt voor spam kan toch enkel mits je een geverifieerde user bent om in te loggen en mails te mogen versturen? Geen authenticatie is dus geen mogelijkheid tot verzenden. De opzet is een Postfix en Dovecot combinatie.

dinsdag 30 juli 2024 14:25

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

ironheart schreef op dinsdag 30 juli 2024 @ 13:53:
[...]


Dit is toch afgeschermd middels authenticatie?
Dat kan, maar dan loop je er weer tegenaan dat niet alle applicaties authenticatie met username en password ondersteunen. Dan kom je er al snel op uit om het gewoon op basis van IP-adres te doen. Of gewoon open laten, hangt een beetje af van je situatie en hoe groot je het risico inschat dat iemand buiten jouw goedkeuring je SMTP-relay gaat misbruiken.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 30 juli 2024 14:25

Acties:
  • 0 Henk 'm!
  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 15-09 09:10

alex3305

Jouw domain zal waarschijnlijk snel geflagd worden als spam omdat je deze niet of onjuist ondertekend.

En met een SMTP relay, zoals ook @ElCondor aangeeft, kun je eventueel ook de SMTP server van je provider gebruiken vanuit thuis. Of eventueel de SMTP server van de VPS provider.

dinsdag 30 juli 2024 14:26

Acties:
  • +1 Henk 'm!
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 08:51

pistole

Frutter

Het is misschien niet direct een antwoord op je vraag, maar ik gebruik de laatste tijd vaker Sendgrid voor het versturen van (SMTP-)mail. Dit vanwege het feit dat standaard SMTP steeds vaker nier meer geaccepteerd wordt (tcp/25 staat dicht) en modernere methodes voor mail sturen... moderner zijn :+

Ik frut, dus ik epibreer

dinsdag 30 juli 2024 16:42

Acties:
  • 0 Henk 'm!
  • silverball
  • Registratie: September 2013
  • Laatst online: 15-09 08:52

silverball

De wagen voor moderne mensen

pistole schreef op dinsdag 30 juli 2024 @ 14:26:
Het is misschien niet direct een antwoord op je vraag, maar ik gebruik de laatste tijd vaker Sendgrid voor het versturen van (SMTP-)mail. Dit vanwege het feit dat standaard SMTP steeds vaker nier meer geaccepteerd wordt (tcp/25 staat dicht) en modernere methodes voor mail sturen... moderner zijn :+
Wat denk je hoe die services e-mail versturen? :P
Maar goed een eigen mailserver is idd een klusje an sich.

3640 Wp ZO pvoutput | FOSS | Gasloos | Trabant 601 (kubel + kombi) | Simson s53e | Ford nugget '89

dinsdag 30 juli 2024 16:53

Acties:
  • 0 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 08:26

ElCondor

Geluk is Onmisbaar

Jazzy schreef op dinsdag 30 juli 2024 @ 14:15:
[...]
Hoe is dat anders dan wat ik hierboven schreef?
Hahaha, sorry, even een tldr gevalletje... O-)

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

dinsdag 30 juli 2024 21:35

Acties:
  • +1 Henk 'm!
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 08:51

pistole

Frutter

silverball schreef op dinsdag 30 juli 2024 @ 16:42:
[...]

Wat denk je hoe die services e-mail versturen? :P
Maar goed een eigen mailserver is idd een klusje an sich.
Ja, SMTP natuurlijk. Maar meestal hebben die een betere 'reputatie'. Daarnaast zie je dat SMTP op poort 25 gewoon geblokkeerd wordt op consumentennetwerken en sinds enige tijd op platforms als Azure.

Ik frut, dus ik epibreer

woensdag 31 juli 2024 08:28

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Hi,

Ik zie in mijn Journal de volgende dingen voorbij komen:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28

Jul 31 04:11:40 mail postfix/smtpd[117640]: connect from unknown[118.193.65.209]                                                                                                                                                     [17/490]
Jul 31 04:11:40 mail postfix/smtpd[117640]: improper command pipelining after CONNECT from unknown[118.193.65.209]: \026\003\002\001\237\001\000\001\233\003\002\332T\354\vk\024\376\201&\030\250T\323\304\222\374\314\357\315 \231\v\303z\33
1\225\330L\005^\346K \t\275T2\222v\243\3536\242*\277q[\034\237\vp=\331Ea\332\025eS\333\032\237\201\242X\000\212\000\026\0003\000g\300\236\300\242\000\236\0009\000k\300\237\300\243\000\237
Jul 31 04:11:41 mail postfix/smtpd[117640]: lost connection after CONNECT from unknown[118.193.65.209]
Jul 31 04:11:41 mail postfix/smtpd[117640]: disconnect from unknown[118.193.65.209] commands=0/0
Jul 31 04:11:41 mail postfix/smtpd[117610]: connect from unknown[118.193.65.209]
Jul 31 04:11:41 mail postfix/smtpd[117610]: improper command pipelining after CONNECT from unknown[118.193.65.209]: \026\003\001\001\254\001\000\001\250\003\003t\350\223aR\n\316\2347\021\377K\201\215t\337\213\246\nC\324\311p\220\247\270\
022y^D\356\b \272\334\020\260\317\326.Cf'\247\200\371\361\306\354(b\310\354\321\362\345UQ\272\347U\017\232S\005\000\212\000\026\0003\000g\300\236\300\242\000\236\0009\000k\300\237\300\243\000\237
Jul 31 04:11:41 mail postfix/smtpd[117610]: lost connection after CONNECT from unknown[118.193.65.209]
Jul 31 04:11:41 mail postfix/smtpd[117610]: disconnect from unknown[118.193.65.209] commands=0/0
Jul 31 04:11:41 mail postfix/smtpd[117640]: connect from unknown[118.193.65.209]
Jul 31 04:11:41 mail postfix/smtpd[117640]: improper command pipelining after CONNECT from unknown[118.193.65.209]: \026\003\001\001\254\001\000\001\250\003\003.\247\325\f\016e\276+&'\321A\373\2716\350rm*T\365\257xq\314x\214\n!"\213J \22
7\272@=?Rl\351\356k"\275T\363\037\214\354\016\202\270#~\252\360\320v\031Ynjs\310\000\212\000\005\000\004\000\a\000\300\000\204\000\272\000A\000\235\300\241\300\235\000=
Jul 31 04:11:42 mail postfix/smtpd[117640]: lost connection after CONNECT from unknown[118.193.65.209]
Jul 31 04:11:42 mail postfix/smtpd[117640]: disconnect from unknown[118.193.65.209] commands=0/0
Jul 31 04:11:42 mail postfix/smtpd[117610]: connect from unknown[118.193.65.209]
Jul 31 04:11:42 mail postfix/smtpd[117610]: improper command pipelining after CONNECT from unknown[118.193.65.209]: \026\003\001\001\242\001\000\001\236\003\003>\227\3034\256%\245e|\364\023\344\034\367\202\312\253\326M&\033\022h\000\252Z
\350\205C\366'~ ;\237 w]\252\246\371\364c!j\300_\333\246\322\311\200Q\212\372o)V\t\022\242/+\204\264\000\200\000\026\0003\000g\300\236\300\242\000\236\0009\000k\300\237\300\243\000\237
Jul 31 04:11:42 mail postfix/smtpd[117610]: lost connection after CONNECT from unknown[118.193.65.209]
Jul 31 04:11:42 mail postfix/smtpd[117610]: disconnect from unknown[118.193.65.209] commands=0/0
Jul 31 04:11:42 mail postfix/smtpd[117640]: connect from unknown[118.193.65.209]
Jul 31 04:11:42 mail postfix/smtpd[117640]: improper command pipelining after CONNECT from unknown[118.193.65.209]: \026\003\001\001\271\001\000\001\265\003\003\030!>\3016\274\203\005\271z\372r\263\345\031\363\240e\025\362F\016\337\323\2
61\2632\340\365\256a\216 \316\v]v\307\267\t\340\372%\230\220\263@\363\313\215=\262\226\016\275o\365\361\230m\005|\302\273\f\000\214\272\272\300\022\300\023\300\a\300'\314\024\300/\023\001\300\024\023\002\300(
Jul 31 04:11:43 mail postfix/smtpd[117640]: lost connection after CONNECT from unknown[118.193.65.209]
Jul 31 04:11:43 mail postfix/smtpd[117640]: disconnect from unknown[118.193.65.209] commands=0/0
Jul 31 04:15:03 mail postfix/anvil[117612]: statistics: max connection rate 15/60s for (smtp:118.193.65.209) at Jul 31 02:11:42
Jul 31 04:15:03 mail postfix/anvil[117612]: statistics: max connection count 2 for (smtp:118.193.65.209) at Jul 31 02:11:37
Jul 31 04:15:03 mail postfix/anvil[117612]: statistics: max cache size 1 at Jul 31 02:11:19


en ook deze:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Jul 31 02:14:23 mail postfix/smtpd[107077]: connect from unknown[178.215.236.91]
Jul 31 02:14:23 mail postfix/smtpd[107077]: NOQUEUE: reject: RCPT from unknown[178.215.236.91]: 454 4.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<WIN-4TTI4DH7SGH>
Jul 31 02:14:23 mail postfix/smtpd[107077]: disconnect from unknown[178.215.236.91] ehlo=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=4/5
Jul 31 02:17:43 mail postfix/anvil[107079]: statistics: max connection rate 1/60s for (smtp:178.215.236.91) at Jul 31 00:14:23
Jul 31 02:17:43 mail postfix/anvil[107079]: statistics: max connection count 1 for (smtp:178.215.236.91) at Jul 31 00:14:23
Jul 31 02:17:43 mail postfix/anvil[107079]: statistics: max cache size 1 at Jul 31 00:14:23
Jul 31 02:18:54 mail postfix/smtpd[107486]: connect from unknown[178.215.236.91]
Jul 31 02:18:54 mail postfix/smtpd[107486]: NOQUEUE: reject: RCPT from unknown[178.215.236.91]: 454 4.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<WIN-4TTI4DH7SGH>
Jul 31 02:18:54 mail postfix/smtpd[107486]: disconnect from unknown[178.215.236.91] ehlo=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=4/5
Jul 31 02:20:36 mail postfix/smtpd[107645]: connect from unknown[178.215.236.91]
Jul 31 02:20:36 mail postfix/smtpd[107645]: NOQUEUE: reject: RCPT from unknown[178.215.236.91]: 454 4.7.1 <spameri@tiscali.it>: Relay access denied; from=<spameri@tiscali.it> to=<spameri@tiscali.it> proto=ESMTP helo=<WIN-4TTI4DH7SGH>
Jul 31 02:20:36 mail postfix/smtpd[107645]: disconnect from unknown[178.215.236.91] ehlo=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=4/5
Jul 31 02:23:56 mail postfix/anvil[107488]: statistics: max connection rate 1/60s for (smtp:178.215.236.91) at Jul 31 00:18:54
Jul 31 02:23:56 mail postfix/anvil[107488]: statistics: max connection count 1 for (smtp:178.215.236.91) at Jul 31 00:18:54
Jul 31 02:23:56 mail postfix/anvil[107488]: statistics: max cache size 1 at Jul 31 00:18:54



Er proberen dus mensen in te loggen en malicious code door te geven zoals ik het interpreteer. Klopt dat?
Los van het feit dat het niet wensenlijk is en dat ik wellicht beter met whitelisting kan gaan werken --> is dit 'normaal' / 'acceptabel' gedrag?

woensdag 31 juli 2024 08:35

Acties:
  • 0 Henk 'm!
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 21:57

BCC

Als je enkel outbound wil, waarom pak je dan niet zoiets als Mailgun/Postmark/Sendgrid ? Dan kun je met 1 api call een email verzenden. Eventueel via je eigen relay server.


Oh Sendgrid is al genoemd :) #spuit11

[ Voor 16% gewijzigd door BCC op 31-07-2024 08:38 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

woensdag 31 juli 2024 08:38

Acties:
  • +2 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
BCC schreef op woensdag 31 juli 2024 @ 08:35:
Als je enkel outbound wil, waarom pak je dan niet zoiets als Mailgun/Postmark/Sendgrid ? Dan kun je met 1 api call een email verzenden. Eventueel via je eigen relay server.
Omdat ik het ook leuk vind om zelf te bouwen en te rommelen.

woensdag 31 juli 2024 08:47

Acties:
  • 0 Henk 'm!
  • BCC
  • Registratie: Juli 2000
  • Laatst online: 21:57

BCC

ironheart schreef op woensdag 31 juli 2024 @ 08:38:
[...]
Omdat ik het ook leuk vind om zelf te bouwen en te rommelen.
Cool - waar loop je tegenaan met de TLS config dan - snap je een stap niet, of werkt het niet? Wat zegt `tail -f /var/log/mail/.*` als je probeert te mailen ?

[ Voor 10% gewijzigd door BCC op 31-07-2024 08:49 ]

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

woensdag 31 juli 2024 08:55

Acties:
  • 0 Henk 'm!
  • bakvis
  • Registratie: Augustus 2004
  • Nu online

bakvis

Tweakers.Nerd

Tip, kijk eens naar SMTP2GO, wij gebruiken dit zakelijk als externe SMTP server. Kost in verhouding waarschijnlijk net zoveel of minder dan je VPS, accounts en quota's zijn mogelijk en tot 1000 mails per maand zelfs gratis.

https://www.smtp2go.com/

Mijn Specs

woensdag 31 juli 2024 08:57

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Ik ben nu bezig met het valideren van mijn certificaat via DNS ipv de challenge via een webserver te doen. Nadeel is dat de DNS laaaaaaaaaaang duurt om te propagaten... ik kom nog terug op het stukje tls, kan ook best zijn dat het wel goed werkt maar het aan mijn geklungel ligt.

woensdag 31 juli 2024 09:23

Acties:
  • 0 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 08:26

ElCondor

Geluk is Onmisbaar

ironheart schreef op woensdag 31 juli 2024 @ 08:57:
Ik ben nu bezig met het valideren van mijn certificaat via DNS ipv de challenge via een webserver te doen. Nadeel is dat de DNS laaaaaaaaaaang duurt om te propagaten... ik kom nog terug op het stukje tls, kan ook best zijn dat het wel goed werkt maar het aan mijn geklungel ligt.
Is de DNS in jouw beheer of is het de DNS van jouw provider?
Je kunt voor records van DNS de TTL (Time to Live) terug zetten van (standaard) 24 uur naar bijv 10 minuten. Dan gaat de propagatie sneller. Vergeet dit na testen weer terug te zetten naar 24 uur, ander wordt de DNS server overspoeld met requests.

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 31 juli 2024 09:35

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
ElCondor schreef op woensdag 31 juli 2024 @ 09:23:
[...]

Is de DNS in jouw beheer of is het de DNS van jouw provider?
Je kunt voor records van DNS de TTL (Time to Live) terug zetten van (standaard) 24 uur naar bijv 10 minuten. Dan gaat de propagatie sneller. Vergeet dit na testen weer terug te zetten naar 24 uur, ander wordt de DNS server overspoeld met requests.
TransIP maar loopt al sinds gisteren.... :/

woensdag 31 juli 2024 09:40

Acties:
  • 0 Henk 'm!
  • ElCondor
  • Registratie: Juni 2001
  • Laatst online: 08:26

ElCondor

Geluk is Onmisbaar

ironheart schreef op woensdag 31 juli 2024 @ 09:35:
[...]


TransIP maar loopt al sinds gisteren.... :/
Tsja, da's die 24 uur voor je. Zegt TransIP niet ergens wat hun default ttl is? Misschien record weghalen en opnieuw aanmaken met een nieuwe ttl?

Hay 365 dias en un año y 366 occasiones para festejar (Boliviaans spreekwoord)

woensdag 31 juli 2024 18:34

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:42

Hero of Time

Moderator LNX

There is only one Legend

ironheart schreef op woensdag 31 juli 2024 @ 09:35:
[...]

TransIP maar loopt al sinds gisteren.... :/
Bijzonder. Op m'n werk gebruiken we TransIP voor DNS en heb al regelmatig wijzigingen binnen enkele minuten bij de grootste DNS diensten (Cloudflare en Google) gezien terwijl de TTL op een uur of langer stond.

Er zijn online checks die meerdere DNS providers bevraagd voor je domein en toont of je record al aangepast is bij hen of nog niet.

Commandline FTW | Tweakt met mate

woensdag 31 juli 2024 18:41

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

ironheart schreef op woensdag 31 juli 2024 @ 08:28:
Er proberen dus mensen in te loggen en malicious code door te geven zoals ik het interpreteer. Klopt dat?
Los van het feit dat het niet wensenlijk is en dat ik wellicht beter met whitelisting kan gaan werken --> is dit 'normaal' / 'acceptabel' gedrag?
Waarom is je server bereikbaar van het internet? Hij was toch alleen maar nodig voor je devices in je eigen lokale netwerk?

[ Voor 8% gewijzigd door Jazzy op 31-07-2024 18:41 ]

Exchange en Office 365 specialist. Mijn blog.

woensdag 31 juli 2024 19:04

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:42

Hero of Time

Moderator LNX

There is only one Legend

Jazzy schreef op woensdag 31 juli 2024 @ 18:41:
[...]
Waarom is je server bereikbaar van het internet? Hij was toch alleen maar nodig voor je devices in je eigen lokale netwerk?
TS' eigen lokale netwerk, die verbinden met de VPS waar de mail relay op draait. ;)

Commandline FTW | Tweakt met mate

woensdag 31 juli 2024 19:29

Acties:
  • 0 Henk 'm!
  • rjong5
  • Registratie: Juni 2003
  • Nu online

rjong5

?

Tsja, als het voor mijn eigen lokale netwerk zou zijn zou ik alles behalve een VPS hiervoor inrichten.
Pak een raspberry pi oid en configureer het daarop.

Dan heb je ook het probleem van extern openzetten niet

donderdag 1 augustus 2024 11:01

Acties:
  • +1 Henk 'm!
  • 4hvm
  • Registratie: Oktober 2012
  • Laatst online: 31-08 21:39

4hvm

Als TS alleen mail wil versturen vanaf eigen devices, dan is de vraag of die allemaal op het lokale netwerk zitten. Zo ja, is dit misschien een oplossing :

- ingaande IP-restrictie op 25/TCP of 587/TCP met iptables/nftables (firewall) op de VPS. Zo kan een vreemde ook geen kwetsbaarheden in je mailserver misbruiken. Geeft wat meer tijd om te patchen als zo'n kwetsbaarheid ooit opduikt.

- Postfix alleen mail laten aannemen vanaf het LAN-IP via main.cf. Makkelijker dan de oplossing hierboven, maar je logs staan vol met weigeringen dan.

Transportbeveiliging:
Als je mail over het internet gaat, dan is versleuteling van het transport wel prettig. Oplossing: let's encrypt of ander certificaat in Postfix zetten.

Als TS alleen eigen mail wil versturen, is het een idee om te kijken of alle clients ook submission (587/TCP) ondersteunen. Op poort 25 (SMTP) is TLS optioneel. Iemand moet tijdens de sessie STARTTLS doen. Op poort 587 kan meestal worden afgedwongen dat alleen versleutelde en geauthenticeerde verbindingen zijn toegestaan.

SPF, DMARC, DKIM, netblockreputatie.

Als je geen gebruik maakt van bovenstaande afkortingen, dan is er een grotere kans dat de ontvangende partij de mail als spam zit. Ook als je het wel goed instelt, kan het zijn dat ontvangende partijen je mail als spam zien, omdat het netwerk waar je VPS in zit niet vertrouwd wordt. Je kan natuurlijk je eigen mailserver bouwen en beheren, en toch de mail via een partij als smtp2go wegzetten.

donderdag 1 augustus 2024 15:59

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Alright, even een update en wat onduidelijkheden wegnemen:

Het is een VPS bij TransIP die aan het publieke internet hangt.
Ik heb de tutorial van Linuxbabe gevolgd en kwam halverwege tot de conclusie dat Dovecot eigenlijk enkel nodig is voor IMAP en inkomend traffic. Maar dat wil ik eigenlijk niet. Daarnaast wordt Dovecot gebruikt voor authenticatie maar er zijn ook andere methodes. Ik heb dus getracht om enkel Postfix te configureren ZONDER Dovecot alleen loop ik vast bij de configuratie van Postfix. Er mag dus wél een (geauthenticeerde) verbinding worden gelegd met de mailserver en enkel om mails te versturen vanaf mijn domeinnaam. Dat krijg ik niet voor elkaar zonder Dovecot. Heb het nu draaiend MET Dovecot en dan via IPTABLES de poorten dichtgezet behalve 587. Het liefste zou ik het dus werkend zien zonder Dovecot maar ik ben nog zoekende naar documentatie hierover. Op zich wel een leuke en leerzaam projectje maar er gaat wel flink wat tijd inzitten.

donderdag 1 augustus 2024 16:19

Acties:
  • +1 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

Dank voor je toelichting. Gebruik de firewall dan ook even om alleen verkeer aan te nemen van je bekende IP-adressen. Anders blijven je log files volstromen met allerlei pogingen om mail af te leveren.

Exchange en Office 365 specialist. Mijn blog.

donderdag 1 augustus 2024 16:26

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Ik heb een Brother MFP staan die zijn stats kan mailen. Daarvoor moet ik smtp credentials invullen. Echter bij het testen ervan gaat het mis. De mailserver geeft aan;

code:
1
2
3

Aug 01 16:24:40 mail postfix/submission/smtpd[43903]: SSL_accept error from 77-171-X.fixed.kpn.net[77.171.X]: -1
Aug 01 16:24:40 mail postfix/submission/smtpd[43903]: warning: TLS library problem: error:0A0000C1:SSL routines::no shared cipher:../ssl/statem/statem_srvr.c:2220:
Aug 01 16:24:40 mail postfix/submission/smtpd[43903]: lost connection after STARTTLS from 77-171-X.fixed.kpn.net[77.171.X]


Hoe kan ik achterhalen wat er precies misgaat? Hebben jullie een idee?

donderdag 1 augustus 2024 16:30

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09:15

pennywiser

ironheart schreef op maandag 29 juli 2024 @ 21:10:
Niet helemaal want hij mag ook berichten versturen die vanaf een andere VPS / printer-scanner-copier / RPi worden geinitieerd.
Toch wel helemaal, want je lan ip reeks kan je in Postfix ook limiteren naar 1 of slechts 3 bv.

donderdag 1 augustus 2024 16:32

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09:15

pennywiser

ironheart schreef op donderdag 1 augustus 2024 @ 15:59:
Alright, even een update en wat onduidelijkheden wegnemen:

Het is een VPS bij TransIP die aan het publieke internet hangt.
Ik heb de tutorial van Linuxbabe gevolgd en kwam halverwege tot de conclusie dat Dovecot eigenlijk enkel nodig is voor IMAP en inkomend traffic. Maar dat wil ik eigenlijk niet. Daarnaast wordt Dovecot gebruikt voor authenticatie maar er zijn ook andere methodes. Ik heb dus getracht om enkel Postfix te configureren ZONDER Dovecot alleen loop ik vast bij de configuratie van Postfix. Er mag dus wél een (geauthenticeerde) verbinding worden gelegd met de mailserver en enkel om mails te versturen vanaf mijn domeinnaam. Dat krijg ik niet voor elkaar zonder Dovecot. Heb het nu draaiend MET Dovecot en dan via IPTABLES de poorten dichtgezet behalve 587. Het liefste zou ik het dus werkend zien zonder Dovecot maar ik ben nog zoekende naar documentatie hierover. Op zich wel een leuke en leerzaam projectje maar er gaat wel flink wat tijd inzitten.
Postfix met SASL en bv. een lokale user die mag authenticeren.

Je hebt dit zo te lezen nu ook ingericht, maar dit proces kennelijk door Dovecot laten doen. Sloop die er af en zoek een Postfix SASL tutorial.

[ Voor 5% gewijzigd door pennywiser op 01-08-2024 16:34 ]

donderdag 1 augustus 2024 16:44

Acties:
  • +1 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Je hebt dit zo te lezen nu ook ingericht, maar dit proces kennelijk door Dovecot laten doen. Sloop die er af en zoek een Postfix SASL tutorial.
Precies dát ga ik nu proberen!

[ Voor 4% gewijzigd door ironheart op 01-08-2024 16:45 ]

donderdag 1 augustus 2024 16:49

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09:15

pennywiser

ironheart schreef op donderdag 1 augustus 2024 @ 16:44:
[...]


Precies dát ga ik nu proberen!
Limiteer meteen Postfix op welke IP 's er mogen relayen doe dit niet via een firewall. Doe dit waar het hoort, in main.cf bij mynetworks voeg je een /32 ip toe, of een reeks, of 3 stuks /32, of 50, wat je maar wilt. Ook lokale reeksen hier expliciet vermelden en net zo subnetten.

[ Voor 6% gewijzigd door pennywiser op 01-08-2024 16:51 ]

donderdag 1 augustus 2024 16:53

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Gewoon uit leergierigheid, waarom niet via IPTABLES?

donderdag 1 augustus 2024 17:07

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09:15

pennywiser

ironheart schreef op donderdag 1 augustus 2024 @ 16:53:
Gewoon uit leergierigheid, waarom niet via IPTABLES?
Omdat dan Postfx zelf ook beperkt wordt voor ongeoorloofd relayen Je kunt wel een ook nog firewall er voor zetten om het aantal requests te verlagen, maar in principe leeft een mailserver daarvan. Mail doorsturen of bouncen, vanaf wereldwijd. Vergeet je de firewall een keer is Postfix nog steeds dicht en geeft ie gewoon netjes een relay access denied. Heb je dat niet komt jouw mailservertje vrijwel meteen op een of meerdere blacklists.

Je kan ook zen.spamhaus.org in de config verwerken of een ipset firewall entry toepassen om geo locaties en bekende scam ip adressen meteen te blokkeren. Veel dingen mogelijk maar begin ook al te beveiligen op het niveau van de service zelf.

https://github.com/trick77/ipset-blacklist
https://www.spamhaus.org/blocklists/zen-blocklist/

[ Voor 21% gewijzigd door pennywiser op 01-08-2024 17:14 ]

donderdag 1 augustus 2024 17:13

Acties:
  • +1 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

Vind op zich een prima overweging, maar zie het niet direct als zwaarwegende reden om niet niet op je firewall te doen. Lijkt me sowieso om die te configureren als je first line of defense, alles wat daar niet meer doorgelaten wordt hoef je je aan de applicatiekant alvast niet meer druk over te maken.

Het omgekeerde argument geldt namelijk ook. Eén misconfiguratie op Postfix en je creëert een open relay, die nu opeens bereikbaar is voor het internet.

Exchange en Office 365 specialist. Mijn blog.

donderdag 1 augustus 2024 17:16

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09:15

pennywiser

Jazzy schreef op donderdag 1 augustus 2024 @ 17:13:
Vind op zich een prima overweging, maar zie het niet direct als zwaarwegende reden om niet niet op je firewall te doen. Lijkt me sowieso om die te configureren als je first line of defense, alles wat daar niet meer doorgelaten wordt hoef je je aan de applicatiekant alvast niet meer druk over te maken.

Het omgekeerde argument geldt namelijk ook. Eén misconfiguratie op Postfix en je creëert een open relay, die nu opeens bereikbaar is voor het internet.
Daarom moet je Postfix dus ook goed configureren en niet verkeerd. Doe je dat dan mag de hele wereld komen proberen of er gerelayed kan worden.

donderdag 1 augustus 2024 19:07

Acties:
  • 0 Henk 'm!
  • 4hvm
  • Registratie: Oktober 2012
  • Laatst online: 31-08 21:39

4hvm

pennywiser schreef op donderdag 1 augustus 2024 @ 17:07:
[...]

Omdat dan Postfx zelf ook beperkt wordt voor ongeoorloofd relayen Je kunt wel een ook nog firewall er voor zetten om het aantal requests te verlagen, maar in principe leeft een mailserver daarvan. Mail doorsturen of bouncen, vanaf wereldwijd. Vergeet je de firewall een keer is Postfix nog steeds dicht en geeft ie gewoon netjes een relay access denied. Heb je dat niet komt jouw mailservertje vrijwel meteen op een of meerdere blacklists.

Je kan ook zen.spamhaus.org in de config verwerken of een ipset firewall entry toepassen om geo locaties en bekende scam ip adressen meteen te blokkeren. Veel dingen mogelijk maar begin ook al te beveiligen op het niveau van de service zelf.

https://github.com/trick77/ipset-blacklist
https://www.spamhaus.org/blocklists/zen-blocklist/
Anders gezegd: je moet Postfix gewoon goed configureren. Daarnaast kan je de firewall gebruiken om Postfix alleen voor jou toegankelijk te maken. Scheelt in de haast met patchen als er ooit een kwetsbaarheid in Postfix zit, en in de hoeveelheid bagger in de logs. Gelaagde beveiliging enzo.

donderdag 1 augustus 2024 19:35

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Dom dom dom dom dom, om geen webserver op te hoeven zetten heb ik het Lets Encrypt certificaat laten genereren via een DNS challenge. Werkt op zich best goed echter na de zoveelste herinstallatie ben ik nu blijkbaar tegen het limiet aangelopen van het aantal aan te vragen certificaten. Mag het pas morgen na 20:30 nog een keer proberen :-( ik HAD natuurlijk gewoon ook die certificaten kunnen opslaan voor hergebruik, toch??? stupid me.

donderdag 1 augustus 2024 20:15

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 22:42

Hero of Time

Moderator LNX

There is only one Legend

ironheart schreef op donderdag 1 augustus 2024 @ 16:26:
Ik heb een Brother MFP staan die zijn stats kan mailen. Daarvoor moet ik smtp credentials invullen. Echter bij het testen ervan gaat het mis. De mailserver geeft aan;

code:
1
2
3

Aug 01 16:24:40 mail postfix/submission/smtpd[43903]: SSL_accept error from 77-171-X.fixed.kpn.net[77.171.X]: -1
Aug 01 16:24:40 mail postfix/submission/smtpd[43903]: warning: TLS library problem: error:0A0000C1:SSL routines::no shared cipher:../ssl/statem/statem_srvr.c:2220:
Aug 01 16:24:40 mail postfix/submission/smtpd[43903]: lost connection after STARTTLS from 77-171-X.fixed.kpn.net[77.171.X]


Hoe kan ik achterhalen wat er precies misgaat? Hebben jullie een idee?
Je kan met o.a. nmap icm specifieke scripts ervoor (Debian heeft er een aardig aantal ingebouwd) zien welke ciphers er aangeboden worden. Dan kan je in je MFP kijken welke het zelf wil doen. Mogelijk dat alleen TLS 1.2 of beter wordt toegestaan en je MFP dat niet kan of uit staat.

En wat betreft je certificaten via Let's Encrypt, Certbot heeft een ingebouwde webserver, dus als je wilde, had je die gewoon kunnen gebruiken ipv heel nginx of apache optuigen. Met als extra voordeel dat het alleen beschikbaar is wanneer het een cert aanvraagt/verlengt.

Commandline FTW | Tweakt met mate

vrijdag 2 augustus 2024 11:48

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
pennywiser schreef op donderdag 1 augustus 2024 @ 16:32:
[...]

Postfix met SASL en bv. een lokale user die mag authenticeren.

Je hebt dit zo te lezen nu ook ingericht, maar dit proces kennelijk door Dovecot laten doen. Sloop die er af en zoek een Postfix SASL tutorial.
Ik heb twee tuturials gevonden waarbij ik wel denk dat het gaat lukken:

https://wiki.archlinux.org/title/Postfix_with_SASL en https://think.unblog.ch/e...tfix-sasl-authentication/.

Nou draai ik zelf Debian en hier spreekt men over Arch dus ik loop eigenlijk al vast bij het installeren van de Cyrus package.

Kan iemand mij aub terug op het juiste spoor zetten?

code:
1
2
3
4
5

root@mail:~# apt install cyrus-sasl
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
E: Unable to locate package cyrus-sasl

vrijdag 2 augustus 2024 12:08

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 09:15

pennywiser

Zoek even meerdere tutorials voor de Debian van jouw versie dus Postfix SASL Debian 12 of iets dergelijks. En vergelijk wat ze zeggen. Dus Debian only. Volgens mij was het sasl2-bin, libsasl en/of saslauthd. Dat zijn inderdaad Cyrus packages.

vrijdag 2 augustus 2024 12:11

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 12-09 16:29

Jazzy

Moderator SSC/PB

Moooooh!

ironheart schreef op vrijdag 2 augustus 2024 @ 11:48:
Kan iemand mij aub terug op het juiste spoor zetten?
Net als bij een topicstart is het wel handig om ook even uit te leggen wat je zelf al uitgezocht en geprobeerd had. Ik weet dat je echt wel zelf moeite doet, maar een beetje om te voorkomen dat we met zo'n topic eindigen waar gewoon allerlei random vragen gedumpt worden. ;)

Exchange en Office 365 specialist. Mijn blog.

vrijdag 2 augustus 2024 12:47

Acties:
  • 0 Henk 'm!
  • DjoeC
  • Registratie: November 2018
  • Laatst online: 23:31

DjoeC

ironheart schreef op vrijdag 2 augustus 2024 @ 11:48:
[...]


Ik heb twee tuturials gevonden waarbij ik wel denk dat het gaat lukken:

https://wiki.archlinux.org/title/Postfix_with_SASL en https://think.unblog.ch/e...tfix-sasl-authentication/.

Nou draai ik zelf Debian en hier spreekt men over Arch dus ik loop eigenlijk al vast bij het installeren van de Cyrus package.

Kan iemand mij aub terug op het juiste spoor zetten?

code:
1
2
3
4
5

root@mail:~# apt install cyrus-sasl
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
E: Unable to locate package cyrus-sasl
Ik gebruik altijd deze link: https://www.debian.org/distrib/packages waar bij het invullen van cyrus een paar packages tevoorschijn komen....

Waarna bij cyrus-sasl2.doc dit staat: This is the Cyrus SASL API implementation, version 2.1. See package libsasl2-2 and RFC 2222 for more information. En als je daar op zoekt krijg je https://packages.debian.org/bookworm/libsasl2-2 This is the Cyrus SASL API implementation, version 2.1.

vrijdag 2 augustus 2024 14:09

Acties:
  • +1 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Jazzy schreef op vrijdag 2 augustus 2024 @ 12:11:
[...]
Net als bij een topicstart is het wel handig om ook even uit te leggen wat je zelf al uitgezocht en geprobeerd had. Ik weet dat je echt wel zelf moeite doet, maar een beetje om te voorkomen dat we met zo'n topic eindigen waar gewoon allerlei random vragen gedumpt worden. ;)
Snap ik, doe ik ook echt wel. Hierbij een nieuwe lading :)

Heb het gevoel dat ik er bijna ben.

Alright, inmiddels POSTFIX draaiend en geconfigureerd met SASL en Cyrus. Bij het testen ervan gaat het toch niet helemaal lekker.

Log journal;


code:
1
2
3
4
5
6
7
8
9
10
11
12

Aug 02 13:31:03 mail postfix/submission/smtpd[25469]: connect from ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]
Aug 02 13:31:04 mail postfix/submission/smtpd[25469]: Anonymous TLS connection established from ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: TLSv1.2 with cipher ECDHE-ECDSA-AES128-GCM-SHA256 (128/128 bits)
Aug 02 13:31:04 mail postfix/submission/smtpd[25469]: warning: SASL authentication failure: unable to canonify user and get auxprops
Aug 02 13:31:04 mail postfix/submission/smtpd[25469]: warning: ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: SASL SCRAM-SHA-256 authentication failed: authentication failure, sasl_username=tweakers@testdomein.nl
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: SASL authentication failure: unable to canonify user and get auxprops
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: SASL SCRAM-SHA-1 authentication failed: authentication failure, sasl_username=tweakers@testdomein.nl
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: SASL CRAM-MD5 authentication failed: authentication failure, sasl_username=tweakers@testdomein.nl
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: SASL authentication failure: unable to canonify user and get auxprops
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: SASL DIGEST-MD5 authentication failed: authentication failure, sasl_username=tweakers@testdomein.nl
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: SASL authentication failure: Password verification failed
Aug 02 13:31:05 mail postfix/submission/smtpd[25469]: warning: ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: SASL PLAIN authentication failed: authentication failure, sasl_username=tweakers@testdomein.nl
Aug 02 13:31:06 mail postfix/submission/smtpd[25469]: warning: ec2-54-212-131-181.us-west-2.compute.amazonaws.com[54.212.131.181]: SASL LOGIN authentication failed: authentication failure, sasl_username=tweakers@testdomein.nl


De user bestaat én heeft het wachtwoord. Getest via
code:
1

sasldblistusers2


master.cf
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

submission     inet     n    -    y    -    -    smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_wrappermode=no
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o smtpd_sasl_type=cyrus
  -o smtpd_sasl_path=private/auth

smtps     inet  n       -       y       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o smtpd_sasl_type=cyrus
  -o smtpd_sasl_path=private/auth


Een test SMTP server geeft aan login error, eigenlijk ook wat in mijn eigen log staat:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

>> AUTH SCRAM-SHA-256 biwsbj1yaWNhcmRvQG5lcmRieXRlcy5ubCxyPWFyR3dhOE1VR0JKRVJQNlc2NTRyLzVITA==
<< 535 5.7.8 Error: authentication failed: authentication failure
>> AUTH SCRAM-SHA-1 biwsbj1yaWNhcmRvQG5lcmRieXRlcy5ubCxyPXkxaDM3Y1FpcExxTTBaSk9yS2o3Uldtbg==
<< 535 5.7.8 Error: authentication failed: authentication failure
>> AUTH CRAM-MD5
<< 334 PDIyMTM0NTkxMDYuMTEzMjQxMDJAbWFpbC5uZXJkYnl0ZXMubmw
>> cmljYXJkb0BuZXJkYnl0ZXMubmwgNzNlZmZhOGI1MTVlODI2NDgwYTlkOGY2NDIyMjE4NTU=
<< 535 5.7.8 Error: authentication failed: authentication failure
>> AUTH DIGEST-MD5
<< 334 bm9uY2U9IkFCeUFBZjFET09Ja1BlVDYwMFM3VDJZb0d4QUF1VllDd1J2Sm9LZnBHQWs9IixyZWFsbT0ibWFpbC5uZXJkYnl0ZXMubmwiLHFvcD0iYXV0aCIsY2hhcnNldD11dGYtOCxhbGdvcml0aG09bWQ1LXNlc3M=
>> dXNlcm5hbWU9InJpY2FyZG9AbmVyZGJ5dGVzLm5sIixyZWFsbT0ibWFpbC5uZXJkYnl0ZXMubmwiLG5vbmNlPSJBQnlBQWYxRE9PSWtQZVQ2MDBTN1QyWW9HeEFBdVZZQ3dSdkpvS2ZwR0FrPSIsY25vbmNlPSJpaUFtSkxwamsyRlA2WmtTWHd2QSIsbmM9MDAwMDAwMDEscW9wPSJhdXRoIixkaWdlc3QtdXJpPSJzbXRwL21haWwubmVyZGJ5dGVzLm5sIixyZXNwb25zZT05Y2NhZGUzN2E1YWVkZTViMDVjYmQxYzViZGU4MTA0ZixjaGFyc2V0PXV0Zi04LGFsZ29yaXRobT1tZDUtc2Vzcw==
<< 535 5.7.8 Error: authentication failed: authentication failure
>> AUTH PLAIN AHJpY2FyZG9AbmVyZGJ5dGVzLm5sAEhpam9kZXBlcnJhczEh
<< 535 5.7.8 Error: authentication failed: authentication failure
>> AUTH LOGIN
<< 334 VXNlcm5hbWU6
>> cmljYXJkb0BuZXJkYnl0ZXMubmw=
<< 334 UGFzc3dvcmQ6
>> SGlqb2RlcGVycmFzMSE=
<< 535 5.7.8 Error: authentication failed: authentication failure
ERROR: 535: 5.7.8 Error: authentication failed: authentication failure


Meerdere google hits leveren me nog geen goede resultaten op.
StackExchange

vrijdag 2 augustus 2024 14:51

Acties:
  • 0 Henk 'm!
  • 4hvm
  • Registratie: Oktober 2012
  • Laatst online: 31-08 21:39

4hvm

Ik zou deze als basis nemen en nog eens stap voor stap doornemen: http://www.postfix.org/SASL_README.html

En dan bijvoorbeeld eerst pwcheck_method en mech_list controleren. Is https://unix.stackexchang...tp-authentication-failing hetzelfde issue?

vrijdag 2 augustus 2024 23:27

Acties:
  • 0 Henk 'm!
  • ironheart
  • Registratie: September 2022
  • Laatst online: 09-09 08:34

ironheart

Topicstarter
Ok, I give up. Ik krijg het niet voor elkaar, ergo, ik snap het niet. Denk dat ik toch maar voor de Dovecot optie ga als authenticatie. Die kan ik volgen. Voelt een beetje als failure.

maandag 5 augustus 2024 17:17

Acties:
  • 0 Henk 'm!
  • 4hvm
  • Registratie: Oktober 2012
  • Laatst online: 31-08 21:39

4hvm

ironheart schreef op vrijdag 2 augustus 2024 @ 23:27:
Ok, I give up. Ik krijg het niet voor elkaar, ergo, ik snap het niet. Denk dat ik toch maar voor de Dovecot optie ga als authenticatie. Die kan ik volgen. Voelt een beetje als failure.
Je kan altijd nog processen gaan stracen, maar de vraag is wel of je niet liever wat anders doet met je tijd :-)

maandag 2 september 2024 21:01

Acties:
  • 0 Henk 'm!
  • RoestVrijStaal
  • Registratie: Juli 2012
  • Laatst online: 09-09 23:40

RoestVrijStaal

ironheart schreef op vrijdag 2 augustus 2024 @ 23:27:
Ok, I give up. Ik krijg het niet voor elkaar, ergo, ik snap het niet. Denk dat ik toch maar voor de Dovecot optie ga als authenticatie. Die kan ik volgen. Voelt een beetje als failure.
Is het je inmiddels gelukt?

Sowieso vind ik je use case vaag. Wat wil je bereiken?

Van wat ik uit je posts kan opmaken is dat je een soort "informatiekanaal" voor jezelf wilt hebben waarin je domotica-spullen hun dingen in sturen en dat jij daar inzicht in hebt.

Dat kan inderdaad met SMTP / e-mail. Maar eigenlijk is e-mail een reliek uit het verleden wat nog niet ten grave ligt omdat er geen off-the-shelve drop-in replacement is. En daarom haal je voor jezelf erg veel werk op de hals. En weer een golf aan mailtjes.

Beter is dat je domotica-spullen hun informatie naar een Message Broker sturen en dat die het weer stuurt naar bijvoorbeeld je eigen Telegram/Discord bot op je VPS of naar een zelfgemaakte endpoint naar Zapier (of alternatief) toe met legio mogelijkheden.

woensdag 11 september 2024 13:41

Acties:
  • 0 Henk 'm!
  • drm
  • Registratie: Februari 2001
  • Laatst online: 09-06 13:31

drm

f0pc0dert

* drm maakt nog even van de topic-kick gebruik om nogmaals aan te raden gewoon een VPN op te zetten.

Music is the pleasure the human mind experiences from counting without being aware that it is counting
~ Gottfried Leibniz

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq