Proxmox - Homeserver - Postfix , Relay

  • Hey zusammen,


    würde gerne für meinen Proxmox Homeserver Postfix via Relay nutzen, als Email dient ein Webspace hier bei Netcup.


    Meine main.cf:


    Postfix service neugestartet usw.

    via echo "Test mail from postfix" | mail -s "Test Postfix" meine@email.tld ein test geschickt


    im mail log sehe ich allerdings dann, dass die ip meines anschluss bei spamhaus geblockt ist - ist ja auch verständlich, da "dialup ip" :D

    frage ist allerdings, krieg ichs irgendwie hin, dass ich den email dienst von proxmox aus dem home bereich trotzdem nutzen kann ?:/

    Mein Ziel ist, dass Status Emails von Proxmox mir per email zugestellt werden, wenn ich zb unterwegs bin :)

    falls relevant: telekom (dial up IP)


    alternativ besteht noch ein gmail account - falls google nicht so "pingelig" sein sollte:D

  • Naja, du authentifizierst dich nicht beim Relay, sondern stellst dich als Server vor.


    Wie lautet denn er Inhalt der Klartext sasl_passwd ohne Zugangsdaten?

    Hast du die Datei nach der Bearbeitung durch postmap behandelt?


    Probiere mal auch Port 587 - das ist der Submission Port, bei dem nur Clients reintelefonieren.

  • hab nach einer passwortänderung vergessen neu zu hashen also dein punkt "durch postmap behandelt" - nun funktioniert es :D


    wegen dem port, würdest du eher 587 oder 465 nutzen?


    aber um deine frage noch zu beantworten:


    Code
    1. nano /etc/postfix/sasl_passwd
    2. [mx2ea2.netcup.net]:465 meine@email.tld:meinpw

    hab jetzt via header_checks noch den "send from" abgeändert da sonst alles unter "Root <meine@email.tld" reinkam :D


    Code
    1. root# nano /etc/postfix/header_checks
    2. /^From:[[:space:]]+(.*)/ REPLACE From: "Proxmox-Home" <[email='meine@email.tld'][/email]>
    3. root# cd /etc/postfix
    4. root# postconf -e 'smtp_header_checks = regexp:/etc/postfix/header_checks'

    danach noch postfix neugestartet

    nun scheint alles zu klappen, emails kommen an :)

  • Ich würde eher 587 nutzen (StartTLS) - aber wie heißt es so schön: never change a running system.

    Da es jetzt funktioniert, würde ich den Port so lassen.

    hat es im home Bereich (nichts produktives) irgendwelche sicherheitsnachteile direkt 465 statt startTLS zu nutzen? habe den unterschied zwischen den beiden varianten noch nicht so ganz kapiert :) ind en meisten Anleitungen nutze ich direkt 465 statt 587 - bisher ohne für mich erkennbare nachteile


    edit:

    hab mal testweise auf 587 gestellt und via postmap bearbeiten lassen (die passwd) sowie neustart


    Code
    1. Aug 10 13:28:19 proxmox postfix/smtp[87653]: warning: TLS library problem: error:1408F10B:SSL routines:ssl3_get_record:wrong version number:../ssl/record/ssl3_record.c:331:
    2. Aug 10 13:28:19 proxmox postfix/smtp[87653]: D28913E1173: to=<meine@email.tld>, relay=mx2ea2.netcup.net[91.204.46.162]:587, delay=0.05, delays=0.01/0.01/0.03/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)

    kriege aber jetzt nen handshake error (rein zum "testen" gerade mal probiert)

  • Bei 587 wirst du evtl. Parameter in der main.cf anpassen müssen.

    z.B. den smtp_tls_wrappermode abschalten.

    hat geklappt!!! :D

    ich danke euch beiden herzlichst x)

    weiß zwar immer noch nicht, was für vorteile ich von 587 vs 465 habe, aber wird schon seine gründe haben - müsste ich mal nach googeln was die unterschiede genau sind haha

  • Also unter 465 wird direkt eine TLS Verbindung aufgebaut.

    Unter 587 wird eine unverschlüsselte Verbindung aufgebaut, die nach der Vorstellung des Mailservers durch den Client aufgewertet wird mit dem SMTP Kommando "StartTLS".


    465 wird direkt durch den SMTP Daemon bedient, manchmal wird hier auch nur TLS terminiert und direkt mir Port 25 verbunden.

    Für den Server können hier andere Server und auch Clients ankommen.


    Port 587 ist für den Submission Dienst, ein vom SMTP Daemon getrennter Dienst, der explizit für die Einlieferung von E-Mails von Client-PCs vorgesehen ist.

    Als Administrator kann man diese Unterscheidungen ganz gut nutzen.


    Wenn ich weiß, dass unter 465 / 25 nur Server mit mir telefonieren, kann ich mit der IP der TCP Verbindung bereits Nachforschungen bei Blacklisten durchführen. Schlägt eine Blacklist positiv an, brauche ich mich nicht als Server vorstellen oder Energie darauf verwenden, eine TLS Verbindung herzustellen. Ich kann direkt mit den TCP Handshake entscheiden, dass ich von dem keine Mails haben möchte.


    Wären hier Clients und Server gemischt, müsste ich erst den TCP Handshake und TLS Handshake abwarten und dann entscheiden, wenn ich eine Authentifizierung bekomme.


    Auf dem Port 587 kann ich es lockerer zugehen lassen. Hier erwarte ich DSL Anschlüsse, also brauche ich Teile von Spamhaus nicht abfragen und kann auf dem Kanal eine Authentifizierung erwarten. Ich kann den Spamfilter anders ansprechen.


    Siehe auch: https://serverfault.com/a/605730

  • Wenn ich weiß, dass unter 465 / 25 nur Server mit mir telefonieren […]

    Gibt es irgendeinen Mailserver, der wirklich über Port 465 eine Zustellung versucht? Meines Wissens wurde die Zuordnung für SMTPS so schnell widerrufen, dass es nie real zum Einsatz kam. Insofern ist die (nicht ganz standardkonforme) Verwendung als reiner Port für authentifizierte Clients unkritisch.

  • Gibt es irgendeinen Mailserver, der wirklich über Port 465 eine Zustellung versucht? Meines Wissens wurde die Zuordnung für SMTPS so schnell widerrufen, dass es nie real zum Einsatz kam. Insofern ist die (nicht ganz standardkonforme) Verwendung als reiner Port für authentifizierte Clients unkritisch.

    Das scheint sich alle Jahre mal zu ändern. Einer meiner anderen Webhoster hat die letzten Jahre 465 für Clients empfohlen, jetzt 587. Aber funktioniert beides. Manche supertollen Hard- und Softwarehersteller machen auch gaanz tolle Mailclients, die angeblich nur Port 465 können, so z.B. die Android Outlook App. Wobei Outlook selbst auf dem Desktop definitiv auch Port 587 mit STARTTLS kann.