Messages

1

24.7 Production Series / Postfix/rspamd

« on: November 11, 2024, 07:35:56 pm »

Hello,

I have configured Postfix on OPNsense 24.7.8-amd64 as a smarthost for my internal network devices. All devices send their mails to Postfix and via smarthost outside.

My config:
Postfix - General:
- Listen ip: all
- ListenPort:  25
- Trusted Networks: 192……../24
- TLS Server compatibility: intermediate
- TLS client compatibility: intermediate
- TLS wrapper mode: yes
- Smart Host: smtp.providername.de:465
- Server certificate: mycertificate
- RootCA: myrootCA
- Smtp client security: encrypt
- Smarthost: smtp.servername.de:465
- EnableSMTP Authentication: yes
- Authentication Username: user@domain.de
- Authentication Password: UserPW

Postfix - AntiSpam:
Enable Rspamd integration: yes
Milter default action: accept

One day I noticed that my E-mails were no longer passing through the smarthost. The postfix log shows:

Warning   postfix/smtpd   warning: milter unix:/var/run/rspamd/milter.sock: read error in initial handshake
Warning   postfix/smtpd   warning: milter unix:/var/run/rspamd/milter.sock: can't read SMFIC_OPTNEG reply packet header: Operation timed out
Warning   postfix/cleanup   warning: milter unix:/var/run/rspamd/milter.sock: can't read SMFIC_BODYEOB reply packet header: Operation timed out

I tried to connect rspamd: http://OPNSenseIP:11334  but it failed with a timeout-error.

I then unchecked „Enable Rspamd Integration“ and the smarthost worked fine again.

It looks weird to me. Any help would be appreciated.

2

23.7 Legacy Series / Re: Update 23.7.7 to 23.7.8_1 squid Proxy load error

« on: November 16, 2023, 08:26:00 pm »

Squid started after I removed the entrys in the white list section (Forward Proxy -> Access Control List)
Thanks for the hint.

3

23.7 Legacy Series / Update 23.7.7 to 23.7.8_1 squid Proxy load error

« on: November 16, 2023, 06:38:33 pm »

Hi all,
after update to 23.7.8_1 squid failed to start.
„Enable Transparent Proxy“, „Enable SSL Inspection“ and „Log Information only“ is aktivated.

Error Message:

Starting squid.
CPU Usage: 0.006 seconds = 0.000 user + 0.006 sys
Maximum Resident Size: 0 KB
Page faults with physical i/o: 0
2023/11/16 09:48:47| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2023/11/16 09:48:47| Starting Authentication on port 127.0.0.1:3128
2023/11/16 09:48:47| Disabling Authentication on port 127.0.0.1:3128 (interception enabled)
2023/11/16 09:48:47| Starting Authentication on port [::1]:3128
2023/11/16 09:48:47| Disabling Authentication on port [::1]:3128 (interception enabled)
2023/11/16 09:48:47| Starting Authentication on port 127.0.0.1:3129
2023/11/16 09:48:47| Disabling Authentication on port 127.0.0.1:3129 (interception enabled)
2023/11/16 09:48:47| Starting Authentication on port [::1]:3129
2023/11/16 09:48:47| Disabling Authentication on port [::1]:3129 (interception enabled)
2023/11/16 09:48:47| WARNING: empty ACL: acl bump_nobumpsites ssl::server_name "/usr/local/etc/squid/nobumpsites.acl"
2023/11/16 09:48:47| ERROR: configuration failure: POSIX regcomp(3) failure: (13) repetition-operator operand invalid
regular expression: *\.apps\.apple\.com
exception location: RegexPattern.cc(30) RegexPattern
2023/11/16 09:48:47| Not currently OK to rewrite swap log.
2023/11/16 09:48:47| storeDirWriteCleanLogs: Operation aborted.
2023/11/16 09:48:47| FATAL: Bungled /usr/local/etc/squid/squid.conf line 61: acl whiteList url_regex *\.apps\.apple\.com
2023/11/16 09:48:47| Squid Cache (Version 6.5): Terminated abnormally.
/usr/local/etc/rc.d/squid: WARNING: failed to start squid


Does anyone have an idea how to solve this?

4

German - Deutsch / Re: Synology NAS hinter OPNSense

« on: February 07, 2023, 08:05:29 pm »

das Tutorial von TheHellSite enthält alles was nötig ist. Kann man nicht besser dokumentieren.
https://forum.opnsense.org/index.php?topic=23339.0

5

German - Deutsch / Re: Nach Update auf 22.7.5 wird Google blockiert

« on: October 16, 2022, 11:55:51 am »

Hallo,
Entschuldigung, wenn meine Antwort etwas verspätet kommt, aber ich musste ein paar Tage Dienstreise dazwischen schieben. Mein beruflicher background liegt nun mal auf einem vollkommen anderen Gebiet.

Ich habe zwar gesehen, dass inzwischen mit 22.7.6 (Patch notes: ports: squid no-forgery patch fix) das Problem vermutlich behoben ist. Trotzdem habe ich zunächst mit opnsense-revert -r 22.7.4 squid die vorherige Version installiert und anschließend die Firwall-Regeln und Squid wieder aktiviert.
Damit läuft es wieder einwandfrei.

Danke für die Hilfe!

6

German - Deutsch / Re: Nach Update auf 22.7.5 wird Google blockiert

« on: October 10, 2022, 09:05:26 pm »

Hallo,
seltsam, nicht nur Google wird geblockt sondern auch diverse andere Webseiten. Ich habe jetzt die Firewallregeln für den Web-Proxy deaktiviert und anschließend auch den Web-Proy. Jetzt sind alle betreffenden Webseiten wieder erreichbar.

Es scheint tatsächlich an der Squid Version 5.7 liegen.

7

German - Deutsch / [Solved] Nach Update auf 22.7.5 wird Google blockiert

« on: October 09, 2022, 11:31:15 am »

Hallo
ich benötige etwas Hilfe nach dem Update der OpnSense auf 22.7.5.
Nach dem Update auf 22.7.5 kann ich Google und die weitereb Dienste Maps, Mail, etc. nicht mehr aufrufen.

Fehlermeldung Firefox: SSL_ERROR_RX_RECORD_TOO_LONG
Fehlermeldung Edge: ERR_SSL_PROTOCOL_ERROR
Fehlermeldung Safari: „Safari kann die Seite nicht öffnen … da Safari keine sichere Verbindung zum Server www.google.com aufbauen kann.“

Nach langer Suche bin ich auf den Web-Proxy gekommen. Es ist ein transparenter Web-Proxy eingerichtet. Unter Forward Proxy -> „General Forward Settings“ ist „Enable SSL Inspektion“ und „Log SNI Information only“ angehakt.

Testweise habe ich mal ein selbst signiertes Zertifikat bei CA to use hinterlegt und den Haken bei  „Log SNI Information“ entfernt, da konnte ich zumindest bei Safari nach Bestätigung der Ausnahme die Google-Webseite aufrufen.

Im cache log steht: kid1| SECURITY ALERT: on URL: www.google.de:443


Der Web-Proxy wurde beim Update 22.7.5 auf die Version 5.7 gebracht, kann der Fehler damit zusammenhängen?

8

German - Deutsch / Re: Einrichtung Postfix Plugin

« on: March 14, 2021, 08:22:59 pm »

Ok, Speichern von E-Mails auf der Firewall ist sicher nicht der richtige Weg. Meine Hardware wäre zwar geeignet, aber ich stelle mir das gerade mit einem APU-Board vor.... 
Würde denn der finnische Taubenschlag (Dovecot) auf einem Server genügen? Postfix filtert Spam etc raus, Dovecot speichert die E-Mails auf einem Server und Thunderbird ruft diese per IMAP von Dovecot ab?
Oder muss ich mich doch z.B. mit hMailserver beschäftigen?

9

German - Deutsch / Einrichtung Postfix Plugin

« on: March 11, 2021, 07:51:40 pm »

Hallo
ich habe zunächst den Laboraufbau wie im Layout dargestellt realisiert, um mit der OPNSense (Version 21.1.2) Erfahrung zu sammeln. Die beiden Clients holen sich die E-Mails mit dem Thunderbird E-Mail-Client direkt beim Provider Strato ab (SMTP/IMAP). Ich betreibe keinen eigenen E-Mailserver, das habe ich angesichts von 2 Clients auch nicht vor.

Daher wollte ich ein E-Mail-Gateway mit dem Postfix-Plugin einrichten, insbesondere wegen Rspamd. Strato ist nicht bekannt für einen guten Spamfilter. Also habe ich wie in https://docs.opnsense.org/manual/how-tos/mailgateway.html losgelegt.

Bei den erforderlichen Eintragungen im Plugin blicke ich nicht durch, da ich auch keine Erfahrung mit Mailservern habe.

Was trage ich aber im Plugin unter Domains ein ? Einen Mailserver habe ich nicht, also die IP des betreffenden Clients? Habe ich versucht, E-Mails kommen aber nicht durch.   

Immerhin kann ich E-Mails versenden, Rspamd ist aktiv, die WebUI zeigt die Anzahl der gesendeten Mails und der GTUBE Test zeigt reject in der WebUI.
 
Ist das dargestellte Layout mit 2 Clients ohne Mailserver dem Plugin überhaupt umsetzbar?

Ich würde mich über etwas Starthilfe freuen. Wenn Informationen fehlen bitte ich um Nachricht.

Gruß
Stefan