vServer + POP3 + SMTP + Sicherheit

Guten Morgen zusammen!

ich habe seit knapp einem Monat einen vServer bei Netcup und ich bin eigentlich extrem zufrieden... bis jetzt konnte ich mich nicht beklagen.

Vorher war ich bei einem anderen anbieter, den ich privat kannte. Dort hatte ich schon jahrelang einen vServer der total instabil lief, aber wenn, dann lief auch alles bestens Ich war sehr zufrieden mit den Images die dort angeboten wurden an denen ich teilweise auch selbst mitgebastelt habe...
Leider stand mir dort Confixx zur verfügung welches ich hier ja nur in einer Demo bekomme und die lizenz möchte ich nicht zahlen.

nun nachdem der server bei netcup gut lief und es nie probleme gab dachte ich mir ich versuchs mal mit dem SysCP. ich hab viele tutorials gewelzt und auch die netcup-wiki studiert; alles nach den vorgaben eingestellt und soweit läuft auch alles. nagut es gab probleme mit dem einrichen der Virtualhosts von apache2 damit SysCP die webs automatisch erstellt, aber nach ein bisschen probieren funzt dies nun.

Nur scheitere ich am RICHTIGEN einstellen von Postfix und Dovecot. ich habe es hinbekommen, mails senden und auch empfangen zu können. gesendet habe ich testweise immer zu WEB.de. dieses schlägt seit 2 tagen fehl, da eine sicherheitseinstellung zu fehlen scheint. ich bekomme folgende meldung in den logs:

Nov 30 07:28:52 vXXXXXXXXXX postfix/smtp[3308]: 75A0582A0A1E: to=<XxXxXxX@web.de>, relay=mx-ha02.web.de[217.72.192.188]:25, delay=2196, delays=2196/0.01/0.04/0, dsn=4.0.0, status=deferred (host mx-ha02.web.de[217.72.192.188] refused to talk to me: 554 Transaction failed. For explanation visit http://freemail.web.de/reject/?ip=78.47.xxx.xx)

ich habe die angegebene seite besucht und bin deshalb auf die wohl noch nicht geschlossene sicherheitslücke gestoßen.

jetzt versuche ich vergebens SASL, TLS, SMTPAUTH und was es sonst noch so gibt in einklang zu bekommen.

ich hab in anderen Threads gesehn, dass fast immer nach den configs gefragt wird, deshalb nun diese auch noch:

/etc/postfix/main.cf:

myhostname = vXXXXXXXXXXXXXXX.yourvserver.net
myorigin = /etc/mailname
mydestination = $myhostname
mynetworks = 127.0.0.0/8




inet_protocols = ipv4
biff = no
append_dot_mydomain = no




alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases




smtpd_banner = $myhostname ESMTP Mailserver
smtpd_helo_required = yes
smtpd_recipient_restrictions =
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unverified_recipient,
        reject_unauth_destination,
        permit




strict_rfc821_envelopes = yes




smtp_use_tls=yes
smtpd_use_tls=yes
smtp_tls_note_starttls_offer = yes 
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s




smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_auth_only = yes




smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =




smtpd_enforce_tls = yes




smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_sasl_auth_enable = no
broken_sasl_auth_clients = yes
tls_random_source = dev:/dev/urandom




virtual_mailbox_base = /var/customers/mails/
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_domains =
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000




dovecot_destination_recipient_limit = 1
virtual_transport = dovecot

/etc/postfix/sasl/smtpd.conf:

pwcheck_method: auxprop
auxprop_plugin: sql
allowanonymouslogin: no
allowplaintext: yes
mech_list: plain login 
sql_engine: mysql
sql_hostnames: 127.0.0.1
sql_user: syscp
sql_passwd: <PASSWORD>
sql_database: syscp
sql_select: SELECT password FROM mail_users WHERE username='%u@%r' OR email='%u@%r'

Okay falls nocht etwas fehlen sollte, dann sagt einfach bescheid, wird dann nachgereicht.
Am liebsten hätte ich es so, dass ich einfach in Thunderbird oder ähnlichem angaben machen kann die dem hier ähneln:

Posteingang: pop(3).<MEINSERVER>.xxx
Postausgang: smtp.<MEINSERVER>.xxx

ich komme bis jetzt immer nur mit IMAP und smtp am ende raus.
desweiteren sollte mein server dem Mailprogramm schon mitteilen was er benötigt und andere methoden nicht zulassen ausser pop und smtp.

Okay ich hoffe jemand kann helfen...

bis dahin

Florian

Ich hoffe du meintest die öffentliche IP: 78.47.133.74

Zitat

set up a domain-wide alias database that aliases each user to user@that.users.mailhost.

was ist damit gemeint?

ich habs jetzt so:

myhostname = vXXXXXXXXX.yourvserver.net
mydomain = vXXXXXXXXXXX.yourvserver.net
myorigin = $mydomain
mydestination = $myhostname
mynetworks = 127.0.0.0/8

am ende steht doch das selbe in der variable... mydomain = myhostname ... warum dann eine änderung oder ein hinzufügen einer variable? würde es nicht genügen es so zu machen:

myhostname = vXXXXXXXXX.yourvserver.net
myorigin = $myhostname
mydestination = $myhostname
mynetworks = 127.0.0.0/8

ich habe keine domain bis jetzt...

ich wollte dass der server so funktioniert , und dann wollte ich die domains dann den usern zuweisen die ja dann per USER@DOMAIN.LTD die emails erstellen können...

das problem scheint ja zu sein, dass irgendwie keine sicherheit vom server kommt... jetzt im moment hab ichs kaputt gespielt glaub ich...

wie klappt das, dass der server dem emailprogramm vorgibt dass er TLS oder so nutzt? ich muss es jedes mal umstellen für den smtp ://

EDIT:::

Zitat

vielen Dank für Ihre Nachricht.

Ihr E-Mail-Server ist bei der Zustellung einer E-Mail in unser System abgewiesen worden, weil Ihr Server ein HELO geschrieben hat , das nicht rückwärts aufgelöst werden konnte ("vs177").

Dies ist eine Fehlkonfiguration (siehe RFC5321) und weist in der Regel auf ein mit schädlicher Software verseuchtes System hin.

Bitte überprüfen Sie Ihren Mailversand anhand der Logdateien Ihres E-Mail-Servers und seine Konfiguration.

Da diese Sperrung automatisiert vorgenommen wird, wird Ihre IP-Adresse erneut gesperrt werden, sobald sich das HELO wieder ändert. Bitte melden Sie sich in diesem Fall bei uns, damit wir Ihre IP-Adresse wieder freigeben können.

Alles anzeigen

Das bekam ich gerade von WEB.de auf anfrage was da los sei...

vs177 war eine änderung im OpenVCP bei Hostname...

warum muss netcup bei mir einen eintrag ändern? sollte nicht alles auf anhieb funktionieren?

ich habe einfach in der "/etc/hosts" den eintrag von vs177 auf den richtigen gestellt und schon gings irgendwie...

die mails die ich an WEB.de gesendet hatte kamen kurz nachdem ich die nochmal gefragt hatte ob sie das jetzt wieder freischalten...

thunderbird bietet jetzt auch von alleine STARTTLS an und es funktioniert so, wie ich es erwartet hatte...

nur frage ich mich nurnoch eins... wenn ich das emailpasswort nicht speichere beim erstellen des postfaches in thunderbird und dann abrufen möchte, dann wird mit immer mitgeteilt, dass das PW nicht stimmt :eek:

übrigens kann ich immernoch OHNE verschlüsselung zum server verbinden...

stimmt du hattest recht mit den gespeicherten passwörtern ...

ich ging davon aus dass beim löschen eines postfaches alles dazugehörige auch gelöscht wird -.-*

okay dann bedanke ich mich sehr bei dir :o am ende waren es nur kleinigkeiten die so große sorgen bereitet haben :mad: