Postfix Mail Gateway - Mail Server lehnt Emails ab / Untrusted TLS Connection

[daffmann84]

Liebe Community,

im Zuge meines Wunsches einen eigenen Mail Server zu betreiben und dies so sicher wie möglich zu gestalten, habe ich auf der OPNsense das Postfix Plugin zusammen mit Rspamd und ClamAV installiert. Für die Konfiguration nutzte ich das eBook zur OPNsense der m.a.x IT, welche in einem kurzen Abschnitt die Installation und grobe Erstkonfiguration des Plugins beschrieb. Leider scheint es an irgendeiner Stelle noch zu haken, denn obwohl die Domain und die IP-Adresse des internen Mailservers (Synology MailPlus Server) gepflegt ist, wird die Kommunikation vom Mail Gateway (Postfix) zum Mail Server via Port 465 von diesem mit "Client host reject: Access denied" abgelehnt. Ersichtlich ist an dieser Stelle im Log von Postfix auch, dass die Verbindung zum Mail Server als Untrusted TLS Connection aufgebaut wird / werden soll, obwohl ein TLS-Zertfikat in Postfix konfiguriert ist. Ein Test des Ändern des Kommunikationsports von 465 auf 25 brachte leider auch keine Abhilfe, sondern nur neue Fehlermeldung wie eine fehlerhafte SSL-Biblothek im Log von Postfix. Zudem war mein Ansatz die Kommunikation zum Mail Server ebenfalls so gut wie möglich abzusichern, weshalb ich mich für die TLS-Kommunikation entschied. Um diese sicherzustellen, habe ich via ACME ein TLS-Zertifikat erzeugt und dieses in Postfix eingebunden. Das selbe Zertfikat habe ich auf der Synology für die Nutzug des Mail Plus Servers konfiguriert.

Kurzer Netzwerkaufbau:
OPNsense (LAN-Schnittstelle: 10.10.10.1) -> Port 25 / 465 -> Synology Mail Server Plus (10.10.10.2)

Portfreigabe auf der OPNsense / Synology: 25 + 465

TLS-Zertifikat: ausgestellt auf mail.XXXXX.de (Subdomain für den MX-Record)

Einstellungen Synology Mail Server Plus: SPF, DKIM und Co. sind deaktiviert um Probleme vorzubeugen (zumindest erstmal, sofern es für eine spätere korrekte Funktion notwendig ist)

Habt Ihr eine Idee wo mein Fehler liegt?

Gruß David

[chemlud]

Ich habe eine opnsense, bei der bekomme ich mit Palemoon (aber nicht mir Firefox... irre...) folgendes, wenn ich versuche, auf die GUI zuzugreifen (von verschiedenen Rechnern):

Code Select Expand

Secure Connection Failed

An error occurred during a connection to 10.100.11.1.

SSL received a malformed Server Hello handshake message.

(Error code: SSL_ERROR_RX_MALFORMED_SERVER_HELLO)


Durch einen Tunnel funktioniert der Zugriff mit Palemoon auf die selbe opnsense.

Mit Wireshark sehe ich, dass die Sense ein "Server Hello" schickt (mit DOWNGRD drin...), auf das der Client ein "ACK" zurückgibt und im nächsten Paket ein

Code Select Expand

TLSv1.2 Record Layer: Alert (Level: Fatal, Description: Illegal Parameter)

In den Release Notes von Palemoon Palemoon v32.1.1 (2023-04-18) finde ich:

Code Select Expand

Some proxies and middleware boxes improperly handle the TLS 1.3 protocol handshake causing an insecure downgrade to TLS 1.2. With our recent update of NSS, Pale Moon no longer allows this kind of protocol downgrade when trying to establish a TLS 1.3 connection to a server. The resulting error is ssl_error_rx_malformed_server_hello with an inability to connect to the server. To enable users to still connect to the servers or devices in question, we've added an option to switch off the downgrade sentinel. To switch it off as a temporary workaround, set security.tls.hello_downgrade_check to false.

[mimugmail]

Das Problem ist, dass du im Postfix als Ziel eine IP angibst, dein Zertifikat aber auf einen Namen ausgestellt wurde, d.h. es matched nicht. Ist das Gleiche wie im Browser wenn du ein Zertifikat für meineopnsense.meinedomain.de hast und dann auf 10.10.10.1 surfst um die Admin UI zu öffnen.

Warum das Synology den Bounce abweist kann dir nur das Log von Synology sagen.

[chemlud]

Also ich hab jetzt in Palemoon

Code Select Expand

security.tls.version.min;4

statt 3 gesetzt und

Code Select Expand

security.tls13.aes_128_gcm_sha256;false

und damit funktioniert TLS wieder... oweia...

[daffmann84]

Vielen Dank für die Antworten!

@mimugmail: Das Zertifikat ist aktuell für Postfix ausgestellt, da es als Mail Gateway fungiert. Musst ich denn für die OPNsense, welche die IP 10.10.10.1 im lokalen LAN hat und für den Mail Server separat noch ein Zertifikat ausstellen oder kann die Synology das selbe Zertifikat wie Postfix verwenden?

[mimugmail]

Der Zertifikatsfehler hat eigentlich nichts mit dem Abweisen vom Synology zu tun. Was ist denn momentan dein Hauptproblem?

[daffmann84]

Mein Problem ist, dass ich außer dem Log von Postfix nichts wirklich aussagekräftiges habe, welches mir aufzeigt, warum die Zustellung der Emails von Postfix an den Mail Server von Synology nicht funktioniert. Meine Vermutung lag bis jetzt darin, dass eine Einstellung in Postfix ggf. nicht richtig gesetzt ist oder der Email Server nur TLS als Verbindung akzeptiert und ich daher die Verbindung geschützt aufbauen muss. Auf der Synology ist das Log nicht besonders aussagekräftig. Es besagt lediglich, dass die Email abgewiesen wurde.

Sollte ich denn für die Synology separat noch ein TLS-Zertfikat ausstellen, was zu deren Hostnamen passt und vom internen DNS-Server aufgelöst werden kann?

[chemlud]

Package capture auf der sense oder mit Wireshark... ;-)

[mimugmail]

Das kannst du machen, aber einen Rat in der Synology Community einholen macht glaube ich mehr Sinn