Messages

Hallo Community,

ich habe heute einen Glasfaseranschluss mit einem 28er Netz bekommen. Ich habe das vlan07 angelegt und mit einem PPPoE-Device verknüpft und dieses wiederum mit dem WAN-Interface.

Ich bekomme auch sauber meine erste frei verfügbare Adresse zugewiesen und habe Zugriff ins Internet. Alles soweit fein.

Ich möchte nun einen weiteren physikalischen Netzwerkport der Firewall (LAN2) mit der zweiten öffentlichen IP aus dem Netz verbinden.

Der Hotliner sagte, dass man vlans anlegen soll, diese den IPs zuweisen und dann die Netzwerkports mit den vlans verknüpfen. So kennt er das von CISCO-Firewalls, weiß aber nicht wie es bei der Sense ist.

Wisst Ihr wie das geht?

Hintergrund: ich möchte einen Raum untervermieten und dem Mieter eine öffentliche IP anbieten mit einem eigenen internen IP-Bereich, der mit meinem nichts zu tun hat.


Gruß
Christoph

So, nun läufts.

Auf der Sense war schon das ACME-Plugin installiert. Ich habe über Services/ACME/Certificates ein neues Let's Encrypt-Zertifikat erzeugt und unter Services/Postfix dieses unter den Zertifikatseinstellungen ausgewählt.

Der Haken bei "Allow TLS only" setzt sich trotzdem immer noch selbständig zurück. Wenn ich aber über die Kommandozeile von OpenSSL eine Anfrage an den MX-Record stelle, dann wird mir das Zertifikat angeboten. Von daher alles gut.

Frage an die alten Hasen: Muß man nochmehr einstellen, wenn man verschlüsselten E-Mail-Verkehr will? Ist der Haken "Allow TLS only" für andere Dinge gut?

Ich habe die Kombi aus postfix/clamav/rspamd/redis bei einem Kunden mit nachgeschaltetem Exchange rudimentär am Laufen. Gestern sagte ein Kunde von denen, dass die externe Kommunikation unverschlüsselt auf Port 25 läuft. Das will ich natürlich abstellen.

Es gibt im Postfix-Plugin eine Checkbox "Allow TLS only". Wenn ich den setze, dann verschwindet der Haken von alleine wieder. Kann es sein, dass das nur geht, wenn ich die RootCA und das Server Certificate angebe?

Wie würde das mit Let's Encrypt auf der Sense funktionieren? Funktioniert das überhaupt?

Hallo Forum,

bei einem Kunden kommen seit der Einführung der OPNsense mit postfix/rspamd keine Mails an, die von einem seiner Kunden verschickt werden. Sein Kunde ist ein Immobilienmakler, der die Software OnOffice nutzt. Daraus schreiben die ihre Mails.

Im Log von Postfix sehe ich die Mail ankommen, aber diese wird nicht weitergeleitet an den internen Exchange-Server. Das Log sieht so aus. Woran kann das liegen? Oder wo muss ich eine Ausnahme eintragen? In Postfix oder in rspamd?

Vielen Dank im Voraus.

Gruß
Christoph

Hat das so niemand laufen?

Hallo,

ja, das steht sogar in der Kopfzeile wenn Du OpenVPN/Legacy aufrufst, sofern Du die aktuelle Firmware nutzt.

Es gibt ein paar Skripte von unterschiedlichen Leuten, die die Legacy-Profile in Instance-Profile umwandeln. Habe mich damit aber noch nicht beschäftigt.

Gruß
Christoph

Mach auf LAN (oder deinem dedizierten Admin-Netz falls vorhanden) ein Port-Forward für TCP Port 11334 nach 127.0.0.1.

Meinst Du So:

Und dann im Browser http://127.0.0.1:11334 aufrufen ?

... Blankopost für das spätere HoTo ...

Hallo Community,

ich möchte an dieser Stelle ein HoTo für das korrekte Einrichten eines Mailgateways auf der OPNsense schreiben.
Zum Einen, um selbst zu lernen, weil ich selbst zu wenig Ahnung habe und zum Anderen als Vorlage für die vielen Anderen,
denen es ähnlich geht wie mir. Vielleicht kann der Thread dann ja irgendwann mal angepinnt werden.

Dazu bin ich natürlich auf die Hilfe der Community und auf die Hilfe der alten Hasen angewiesen. Ich würde gerne
im obersten Thread diesen Text belassen und das eigentliche HoTo im zweiten Thread beschreiben.

Hintergrund: Ich löse gerade eine ganze Reihe SOPHOS-UTMs ab, die das Mailhandling aus meiner Sicht super gemacht hat. Diese
Funktionalität möchte ich möglichst gut mit der OPNsense abbilden.

Beginnen möchte ich mit der Annahme eines gängigen und klassichen Szenarios und mit einer offenen Sammlung an Fragen,
die sich dann nach und nach beantworten lassen.

Annahme:
Firma Max Meier GmbH hat einen VDSL oder FTTH-Anschluß bei irgendeinem Anbieter mit fester IPv4 und seine Domain bei einem
der gängigen Provider (IONOS, Strato, All Inkl. o.ä.) gehostet und ruft derzeit seine E-Mails per POP3 oder IMAP ab.
Ziel soll es sein, dass er OnPremise einen eigenen E-Mail-Server betreibt. Die Firewall soll eine OPNsense sein.
Die OPNsense ist bereits vorhanden und es soll zusätzlich das Mailgateway eingerichtet werden.

Deklarationen:
Feste IPv4:   80.90.100.110
Domain: max-meier.de
IP-Kreis LAN: 192.168.0.0/24
IP OPNsense: 192.168.0.1
IP Microsoft Windows-Server als DC: 192.168.0.10
IP Microsoft Exchange-Server: 192.168.0.20


Fragensammlung:
- Was benötigt mal alles auf der OPNsense an Plugins und wie sind diese einzurichten?

  a) Hier würde ich zunächst nach der Anleitung aus der Online-Hilfe der OPNsense vorgehen:
     https://docs.opnsense.org/manual/how-tos/mailgateway.html
   
    Installation der folgenden Plugins
    - ClamAV
    - Postfix
    - Redis
    - Rspamd
   
    und Standard-Einrichtung nach der Online-Hilfe. Wir können das ja später selbst schreiben, wenn es Abweichungen dazu geben wird.

  b) Postix-Plugin:
      Unter "System Hostname" den beim Provider festgelegten FQDN "gw.max-meier.de".
      Unter "System Domain" die Mail-Domäne. In diesem Falle "max-meier.de". Hier die Maildomäne nehmen und nicht die local-Domain der OPNsense.
   c) Rspamd
   d) ClamAV
   e) Redis

- Was ist beim Provider einzustellen?

- Was muss man alles im DNS des Providers umstellen?

  a) Anlegen eines A Records: gw.max-meier.de mit Verweis auf die feste IP 80.90.100.110
  b) Anlegen eines MX-Records als CNAME auf gw.max-meier.de

  Damit würden die eingehenden E-Mails schonmal nicht mehr beim Provider anklopfen, sondern
  am WAN-Interface der OPNsense.


- Wie stellt man den Reverse-Proxy ein? Muss man den überhaupt einstellen?

- Was ist spf?

- Was ist DKIM?

- Was ist DMARC?

- Greifen die spf und DMARC-Einträge beim Provider noch, wenn der MX-Record vom Mailserver des Providers auf
die feste IP der Firma umgestellt wird? Falls nein, wie sind die dann bei den Plugins einzustellen.

- Wie wird die OPNsense als Smarthost eingerichtet und konfiguriert, wenn der Exchange-Server die ausgehenden Mails
an die OPNsense sendet und diese wiederum die Mails beim Provider einliefert?

Ich greife das Thema nochmal auf, da der Kunde über "tonnenweise" SPAM-E-Mails klagt, seit wir die Sophos gegen die Sense getauscht haben.

Kann mir jemand mit vernünftigen Parametern für rspamd aushelfen, die gut funktionieren? Und ggfs. für die anderen Plugins, die für den Gateway-Betrieb notwendig sind (redis, postfix. clamav).

Besten Dank im Voraus.

Uups,

ich habe die Pulldown-Menüs übersehen. Da ist ja noch mehr :-). Dann werde ich mir mal die Doku von rspamd reinziehen und schauen, wie die Scores zu setzen sind.

Danke für's Augenöffnen :-).

Hallo Forum,

in der Onlinehilfe der Sense wird erklärt, wie man die Blocklisten von Spamhaus integriert. Ich habe das mal gemacht und fand nun auch Hinweise auf Firehol-Listen.

a) Ist das prinzipiell ähnlich oder sind das zwei paar Schuhe?
b) Nutzen die SPAM-Haus-Listen auch gegen SPAM-Mails? Gelistete E-Mailserver dürften doch theoretisch abgeblockt werden, oder?

Gruß
Christoph

Hallo Patrick,

vielen Dank für die Nachricht. Auf der Sense hat rspamd kein eigenes UI, außer den Einstellungen über das UI der Sense selber. Das gibt aber nicht viel her. Wie gesagt, habe ich z.B. nicht mal Greylisting gefunden.

Hallo Forum,

ich habe bei einem Kunden im internen Netz einen Exchange-Mailserver stehen. Der Kunde hatte vorher eine SOPHOS-UTM und nun eine OPNsense. Bei der SOPHOS habe ich das Mailfiltering aktiv gehabt.

Nun klagt der Kunde über ein stark gestiegenes SPAM-Aufkommen und dass einige seiner Kunden ihm keine Mails mehr schreiben können.

Ich habe das Mailgateway bei der OPNsense gemäß der Onlinehilfe postfix, clamav, rspamd und redis aufgesetzt und auf Standardeinstellungen gelassen.

Nun habe ich zwei Fragen dazu:

a) Was kann ich in den o.g. Plugins noch einstellen, damit weniger SPAM ankommt? Greylisting, DMARC, SPF usw. lassen sich ja nirgends einstellen.

b) Das einige seiner Kunden keine Mails schicken können, könnte vielleicht an einem fehlenden HELO oder so liegen? Oder fällt Euch da was Anderes zu ein?

Oder sollte ich pauschal eine VM (dort läuft auch Proxmox) mit dem Proxmox Mail-Gateway aufsetzen? Wobei ich die Lösung in der Firewall charmanter finde...


Vielen Dank im Voraus.

Gruß
Christoph

Ziehe mal bitte die Netzwerkkabel ab und boote einmal neu. Fährt die Box ohne gesteckte Netzwerkkabel sauber hoch?