IPFire mit Mail-Proxyfunktion

Anregungen & Feature Requests
User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » May 9th, 2018, 5:24 am

Hi 5p9,

hatte schon gesucht aber kein Update der Linuxquellen gefunden, daher ist p7zip 16.02 mit dabei . Die 18.05 (ohne p) gibt es nur für Windows.
Falls diesbezüglich irgendwas auftaucht wären Downloadlinks von Interesse. :)

Grüße, gocart

User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 3rd, 2018, 12:37 pm

Hallo @all

Kleines Update auf die 35... Perl, Postfix und Clamav sind auf Stand gebarcht.

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1854
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 21st, 2018, 5:36 am

Hi,

danke für deine Arbeit...läuft soweit ganz gut.
Kleiner Hinweis, ggf. solltest/ könntest du diesen Part umbenennen, zu Pflichfelder:

Code: Select all

--------------------------------------------------------------------------------
-        Generate certificates for TLSv1.2 with ECDHE and ECDSA support        -
--------------------------------------------------------------------------------

 TLS RSA Certificate is not present...
 TLS ECDSA Certificate is not present...

 No subject file found. Please provide your individual data...
  County code 'DE'   : ***Pflicht***
  County name'       : ***Pflicht***
  City               : ***Pflicht***
  Orgnaisation       : ***Pflicht***
  Orgnaisation unit  : ***Pflicht***
  Extertnal hostname : ***Pflicht***
  Mail address       : ***Pflicht***

--------------------------------------------------------------------------------
Is this correct? [y/n]y
Generate RSA certificate... : done...
Generate ECDSA certificate... : done...
--------------------------------------------------------------------------------
-                      Postfix TLS DH parameter generation                     -
--------------------------------------------------------------------------------

 The dh_1024.pem file not found.
 The dh_2048.pem file not found.

All non-existent DH-files are recreated after quit this menu!
 Press '1' to remove current 1024 Bit DH group
 Press '2' to remove current 2048 Bit DH group
 Press '3' to write 2048bit DH-group file from package
 Press 'q' to quit this menu ------<< nicht quit sondern run oder action >>-----

--------------------------------------------------------------------------------
Alternativ könntest du auch sagen oder fragen ob ein backup gemacht werden will, so dass danach diese files von /etc/ssl/ in ein /etc/ssl/backup verschieben lassen:

Code: Select all

-rw-r--r--  1 root root  245 Aug 21 01:57 dh_1024.pem
-rw-r--r--  1 root root  424 Aug 21 02:01 dh_2048.pem
-rw-r--r--  1 root root  156 Aug 21 01:57 dh_512.pem
wie auch die /etc/ssl/certs/ in ein /etc/ssl/certs/ & privat/ backup der files:

Code: Select all

-rw-r--r-- 1 root root   1200 Aug 21 01:56 webapps-ecdsa.crt
-rw-r--r-- 1 root root   2346 Aug 21 01:56 webapps-rsa.crt
da du hier die Abhängigkeit geschaffen hast:

Code: Select all


    openssl req -new -x509 -sha256 -key ${CERTDIR}/private/webapps-rsa.key -out ${CERTDIR}/certs/webapps-rsa.crt -days 730 -subj "/C=${CCDE}/ST=${CTRY}/L=${CITY}/O=${ORGA}/OU=${UNIT}/CN=${HOST}/emailAddress=${MAIL}";

    openssl req -new -x509 -sha256 -key ${CERTDIR}/private/webapps-ecdsa.key -out ${CERTDIR}/certs/webapps-ecdsa.crt -days 730 -subj "/C=${CCDE}/ST=${CTRY}/L=${CITY}/O=${ORGA}/OU=${UNIT}/CN=${HOST}/emailAddress=${MAIL}";
 
wie auch ein backup verschieben lassen von /var/ipfire/mailgateway/:

Code: Select all

-rw-r--r--  1 root root  115 Aug 21 01:56 certs.conf
-rw-r--r--  1 root root   87 Aug 20 23:53 main.conf
-rw-r--r--  1 root root   71 Aug 20 23:53 relay.conf
Ich denke dies könnte helfen ;) nur wenn du wieder Zeit und Lust dazu hast. Aber ansonsten lief es gut durch, auch die neue Aufteilung ist genial!
GoodJob man :)

Ach ja, ich habe nur ein kleines Problem jetzt mit Guardian, ich weiß nicht ob dies mit deinen perls zusammenhängt oder an der Core121er Version. Hast du da Probleme feststellen können? Hab hier noch ein wenig dazu geschrieben:
viewtopic.php?f=51&t=21177&p=118302&hilit=121#p118302

Danke und viele Grüße,
5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 21st, 2018, 8:07 am

Hi 5p9,

solche Meldungen mit Pakfire habe ich nur wenn sich Unbound verabschiedet hat. Vielleich hift da ein Neustart von Unbound. Ich selbst benutze Unbound nicht mit originaler Konfiguration und mehr als 2 DNS Servern. Seit dem habe ich da Ruhe mit diesem Effekt. Hatte auch einen eigenen ISO's im Installer die "/" Partition auf 4 GB vergrößert. Bei meiner Umstellung auf 64Bit war dann gleich alles mit 4GB statt zwei installiert. Hatte jetzt also keine Problrme mit Core122. (wobei ich die originalen Core Updates auch nicht mehr nutze) Das Zusammenlegen der der / und der /var Partition halte ich übrigens für keine gute Idee. Hatte es schon mehrfach das /var mir Logs vollgelaufen ist. zum Mail Gateway: Danke für den Hinweis, mal schauen was ich da Umbaue. Aber eigentlich setzte ich mich gerade mit den WebIF CGI's und HTML auseinander und überlege ein richtiges Webinterface für den Mail Gateway zu bauen. Momentan ist allerdings das Ersetzen von ntpd durch chrony mein aktuelles Projekt inkl. neuer Zeitserver Seite (geht auch schon soweit).

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1854
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 21st, 2018, 11:07 am

Hi,

danke. Naja, ich werde mal sehen was so die Tage noch so zum Vorschein kommt. Reboot habe ich schon ein paar mehr heute hinter mir gebracht.
Du bist ja wirklich fleißig...ich hier nicht. Aber dafür in der Arbeit ;)

Eine Frage ab dem Postfix < 2.10 benötigt man wohl nciht mehr die relay_recipients, mit dem Hash:

Code: Select all

relay_recipient_maps = hash:/etc/postfix/relay_recipients
Jedoch konnte ich wieder jeden Schmarn rein lassen und einen bounce kassieren. Jetzt habe ich in der main.cf folgendes abgeändert:

Code: Select all

relay_recipient_maps = btree:$maps_dir/relay_recipients
und hier dann:

Code: Select all

smtpd_recipient_restrictions =
    reject_non_fqdn_recipient,
    permit_mynetworks,
    reject_unknown_recipient_domain,
    reject_unauth_destination,
    # activate recipient address verification
    # cheks the internal mailserver of valid addresses
    # postfix rejects mail itself if the recipient not exist
    check_recipient_access btree:$maps_dir/relay_recipients,
    reject_unverified_recipient,
    permit
Ist das jetzt schlecht, abgesehen davon das dann der bounce vom postfix kommt und nicht vom mailsserver selbst?

Code: Select all

Aug 21 12:54:54 ipfw postfix/smtp[8522]: F28B81CA02B: to=<hhhgf@MY-Domain>, relay=192.168.XXX.YYY[192.168.XXX.YYY]:25, delay=0.02, delays=0/0.02/0/0, dsn=2.1.5, status=deliverable (250 2.1.5 hhhgf@MY-Domain )
Aug 21 12:54:54 ipfw postfix/qmgr[8506]: F28B81CA02B: removed
Aug 21 12:54:56 ipfw postfix/smtpd[8516]: NOQUEUE: reject: RCPT from mout.gmx.de[212.227.15.18]: 550 5.1.1 <hhhgf@MY-Domain>: Recipient address rejected: User unknown in relay recipient table; from=<meinprivater@mail-account> to=<hhhgf@MY-Domain> proto=ESMTP helo=<mout.gmx.de>
Aug 21 12:55:17 ipfw postfix/smtpd[8516]: disconnect from mout.gmx.de[212.227.15.18] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7
Zuvor ging es natürlich ohne Muh & Mäh durch. ;)

Gut oder nicht gut?

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 21st, 2018, 6:13 pm

@5p9
weiß nicht so wirklich was du mit den relay_recipient_maps vor hast. Das ist ersetzt durch das reject_unverified_recipient welches direkt im Mailserver prüft ob die Adresse existiert. Postfix lernt quasi welche Adressen in deinem Server existieren. Zu sehen durch "status=deliverable" in deinem Log. Die relay_recipient_maps haben Vorrang (wenn ich das richtig sehe) vor reject_unverified_recipient. Wenn die Liste nicht passt macht er da natürlich Unsinn.

Müsste da die Frage stellen, was so dein Ziel ist...

Postfix Man...
http://www.postfix.org/postconf.5.html# ... pient_maps
"Optional lookup tables with all valid addresses in the domains that match $relay_domains"

Gruß, gocart

5p9
Mentor
Mentor
Posts: 1854
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 22nd, 2018, 11:56 am

Hi gocart,

ja theoretisch hast du schon recht damit wenn er es lernt und den Mailserver abfragt.
weiß nicht so wirklich was du mit den relay_recipient_maps vor hast. Das ist ersetzt durch das reject_unverified_recipient welches direkt im Mailserver prüft ob die Adresse existiert.
Nur ist es so, ich habe ein paar Mailadressen die nicht von extern penetriert werden sollen, sprich wie der Zufall so will gingen Sie ihren Weg auch irgendwann schon einmal ins große WWW hinaus. Jetzt sollen diese eben nicht mehr für extern zur Verfügung stehen, jedoch intern schon.
Daher meine Liste in der recipient_maps, zumal ich hier auch eine schöne Kontrolle über die Accounts habe und kein "Unfug" betrieben werden kann, so ohne weiteres.
Die relay_recipient_maps haben Vorrang (wenn ich das richtig sehe) vor reject_unverified_recipient. Wenn die Liste nicht passt macht er da natürlich Unsinn.
Genau, ich habe die einfach mal testweise davor gelegt, damit ich sehen kann ob diese auch wirklich greift. So gesehen könnte ich eigentlich auf die unverified_recipient verzichten?

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 23rd, 2018, 12:08 pm

@5p9
So gesehen könnte ich eigentlich auf die unverified_recipient verzichten?
Ja kannst du... Beides zusammen macht keinen Sinn. Musst halt deine Tabelle immer Pflegen und nach eine em Update deine Konfig wieder anpassen. Habe per Default halt das reject_unverified_recipient an.

Gruß, gocart

5p9
Mentor
Mentor
Posts: 1854
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » August 30th, 2018, 5:05 pm

Heo,

du gocart ich hab da noch etwas gefunden, jedoch kann ich nicht sagen woher dies jetzt genau kommt.

Code: Select all

/etc/init.d/amavisd restart
     Restarting AMaViS Daemon...Unescaped left brace in regex is deprecated here (and will be fatal in Perl 5.32), passed through in regex; marked by <-- HERE in m/ ( { <-- HERE } (?: / \* )? | \* ) / at (eval 77) line 830.
Unescaped left brace in regex is deprecated here (and will be fatal in Perl 5.32), passed through in regex; marked by <-- HERE in m/ ( { <-- HERE } (?: / \* )? | \* ) / at (eval 77) line 830.

Hast du dies auch schon gesehen bei dir?

VG, 5p9
Mail Gateway: mail proxy

Image

Image

User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » August 30th, 2018, 8:08 pm

Aloha...

habe erst nach dem Release der Version 35 eine Lösung für diese Meldung gefunden. Ein neuer Installer mit einer aktualisierten Version von Amavisd ist hochgeladen.

Grüße, gocart

Steven
Posts: 12
Joined: April 18th, 2018, 2:58 pm

Re: IPFire mit Mail-Proxyfunktion

Post by Steven » September 25th, 2018, 9:09 am

Hallo gocart,

bekomme im Install-Script einen MD5-Checksum-Fehler bei der aktuellen Version. Es wird die Version 34 heruntergeladen und wahrscheinlich mit der 35 verglichen, obwohl im Online-Pfad nur die 35er liegt?! Ich konnte mir helfen, indem ich die 35 manuell heruntergeladen habe und in 34 umbenannt und die Prüfung auskommentiert habe. Wollte nur mal Bescheid geben.

Gruß
Steven

User avatar
gocart
Posts: 554
Joined: December 16th, 2013, 4:43 pm
Location: Germany

Re: IPFire mit Mail-Proxyfunktion

Post by gocart » September 25th, 2018, 4:06 pm

Hallo@all
Die Version 36 ist auf die Welt losgelassen ;) mit TLSv1.3 Support :o

@Steven ist mit dem Update auf die 36 korrigiert...

@5p9 habe deinen Vorschlag entsprochenen. Bei den Zertifikaten werden jetzt keine leeren Eingaben mehr akzeptiert.
und Postfix hat wieder seine eigenen Zertifikate bekommen. Das komplette Skript ist überarbeitet.

Grüße, gocart

5p9
Mentor
Mentor
Posts: 1854
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » September 26th, 2018, 6:05 am

Hi & guten Morgen,

super. Werde beim nächsten Upgrade mit Freude darauf achten :)

VG, 5p9
Mail Gateway: mail proxy

Image

Image

Steven
Posts: 12
Joined: April 18th, 2018, 2:58 pm

Re: IPFire mit Mail-Proxyfunktion

Post by Steven » October 3rd, 2018, 4:39 pm

Hallo gocart,

habe heute mal das letzte Ipfire-Update gemacht und auch gleich deine 36er Version. Nun bekomme ich im Log folgende Warnung:

warning: run-time library vs. compile-time header version mismatch: OpenSSL 1.1.1 may not be compatible with OpenSSL 1.1.0

Habe ich etwas vergessen? :o

Danke für eine kurze Rückinfo.

Gruß, Steven

5p9
Mentor
Mentor
Posts: 1854
Joined: May 1st, 2011, 3:27 pm

Re: IPFire mit Mail-Proxyfunktion

Post by 5p9 » October 3rd, 2018, 5:53 pm

Jup, das hatte ich auch. Auf welcher Version bist du?
Laut 36 sollte diese ja schon dabei sein:
Änderungen Version 36 25.09.2018 (core 123)
- Das Openssl wird auf die 1.1.1 gehoben
- Postfix mit openssl 1.1.1 compiliert > TLSv1.3 Support
die Cipherlisten sind entsprechend angepasst
- Spamassassin 3.4.
aber in der Anpassung zur 36er dieses hier:
Aktueller Versionsstand: 36 25.09.2018
komplett mit GCC 7.3 kompiliert (Core 122)
ICU 60.2 (International Components for Unicode) Voraussetzung für Postfix Unicode Support!
Berkeley DB 6.2.32 für Postfix
Postfix 3.3.1 (mit TLSv1.3 support)
Amavisd 2.11.0 mit seinen Perl-Tools (amavisd-release)
Spamassassin 3.4.2
7zip 16.02 (primärer Archiventpacker für Amavisd)
ClamAV 0.100.1 Virenscanner
Smartmatch Warnungen sind deaktiviert.
Vielleicht war das openssl nicht dabei?
Musste auch mein backup wiederherstellen.

VG, 5p9

EDIT: Mal eine Frage zum Installer, ich habe ja die Möglichkeit fullinstall (default) zu wählen und fullinstall mit prüfung von Amavis vor dem queuen, was ist da der Unterschied?
Mail Gateway: mail proxy

Image

Image

Post Reply