Hallo Gruppe, ich habe einen Mailserver mit Postfix, Fetchmail, Amavis, Clamav, Spamassasin (Sieve, Razor) und Cyrus. Auf der client side läuft Thunderbird. Der Relayhost ist smtp.ish.de. Was funktioniert bereits bei mir: 1. Fetchmail mit Tls 2. Smtp mit sasl_auth via realyhost (Thunderbird > Postfix > Relayhost) 3. Abholen der Mails vom Imapserver mit Tls (Cyrus > Thunderbird) 4. Senden der Mails via Relayhost mit Tls (Thunderbird > Relayhost) Was nicht funktioniert: 1. Senden der Mails mit TLS via Postfix (Thunderbird > Postfix). Ich bekomme immer TLS ist nicht kompatibel zu EHLO. 2. Das weiterleiten der Mails an den Relayhost mit TLS (Postfix > Relayhost). Angenommen, die Zertifikate für: 1. Cyrus liegen in ~/ssl/cyrus und 2. für den smtp.ish.de in ~/ssl/ish Wo bzw. wie kann ich Tls für die beiden Verbindungen einschalten? Vielen Dank im Voraus MfG Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy schrieb:
1. Senden der Mails mit TLS via Postfix (Thunderbird > Postfix). Ich bekomme immer TLS ist nicht kompatibel zu EHLO.
Also smtpd habe ich hinbekommen. Es verschlüsselt mit TLS und benutzt saslauthd. Jetzt noch smtp. Mit meinen Tls-Einstellungen kann ich zwar über den relayhost senden, abe wie kann ich sicher sein, dass Tls auch eiingesetzt wird? Thx Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy schrieb:
1. Senden der Mails mit TLS via Postfix (Thunderbird > Postfix). Ich bekomme immer TLS ist nicht kompatibel zu EHLO.
Also smtpd habe ich hinbekommen. Es verschlüsselt mit TLS und benutzt saslauthd. Jetzt noch smtp....
Es läuft. Dennoch es hat schon lange gedauert bis ich das: 'smtp_tls_per_site = hash:/etc/postfix/tls/tls_sites' in Kombination mit: 'smtp_use_tls = yes' gefunden habe, und noch länger, bis ich herausgefunden habe, dass es auch umgekehrt geht: 'smtp_tls_per_site = hash:/etc/postfix/tls/tls_sites' in Kombination mit: 'smtp_use_tls = no' Die erste Variante wollte bei mir nicht funktionieren. Entweder lag es na meiner FQDN (dyndns) nämlich hostname.domain.selfip.com oder halt an Postfix, oder an mir... Aber egal. Es läuft ziemlich sauber, soweit ich es überhaupt beurteilen kann. Für interessierte hier die relevante Daten aus der /etc/postfix/main.cf .... mydomain = domain.selfip.com myhostname = hostname.domain.selfip.com mydestination = $myhostname,localhost.$mydomain, $mydomain program_directory = /usr/lib/postfix inet_interfaces = all masquerade_domains = defer_transports = mynetworks_style = subnet disable_dns_lookups = no mailbox_command = mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp strict_8bitmime = yes disable_mime_output_conversion = no strict_rfc821_envelopes = no smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_client_restrictions = smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_sasl_local_domain = domain.selfip.com smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_tls_cert_file = /etc/postfix/ssl/imap_postfix/server_cert.pem smtpd_tls_key_file = /etc/postfix/ssl/imap_postfix/server_plain.pem smtpd_tls_ca_file = /etc/postfix/ssl/imap_postfix/cacert.pem smtpd_tls_ca_path = /etc/postfix/ssl/imap_postfix smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom relayhost = smtp.ish.de smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_use_tls = no smtp_tls_cert_file = /etc/postfix/ssl/tls/smtp-client.pem smtp_tls_key_file = $smtp_tls_cert_file smtp_tls_CAfile = /etc/postfix/ssl/tls/CAcert.pem smtp_sasl_tls_security_options = $smtp_sasl_security_options smtp_sasl_tls_verified_security_options = $smtp_sasl_security_options smtp_tls_loglevel = 3 smtp_tls_per_site = hash:/etc/postfix/ssl/tls/tls_sites alias_maps = hash:/etc/aliases mailbox_size_limit = 0 message_size_limit = 10240000 content_filter=smtp:[127.0.0.1]:10024 max_use=10 Nichtsdestotrotz, jegliche Verbesserungsvorschläge sind herzlich willkommen. Danke Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy wrote:
Jan Tiggy schrieb:
1. Senden der Mails mit TLS via Postfix (Thunderbird > Postfix). Ich bekomme immer TLS ist nicht kompatibel zu EHLO.
Also smtpd habe ich hinbekommen. Es verschlüsselt mit TLS und benutzt saslauthd. Jetzt noch smtp....
Es läuft. Dennoch es hat schon lange gedauert bis ich das: 'smtp_tls_per_site = hash:/etc/postfix/tls/tls_sites' in Kombination mit: 'smtp_use_tls = yes'
Ab Postfix 2.3 ist folgende Syntax empfohlen: smtp_tls_security_level = may
gefunden habe, und noch länger, bis ich herausgefunden habe, dass es auch umgekehrt geht: 'smtp_tls_per_site = hash:/etc/postfix/tls/tls_sites' in Kombination mit: 'smtp_use_tls = no'
Die erste Variante wollte bei mir nicht funktionieren. Entweder lag es na meiner FQDN (dyndns) nämlich hostname.domain.selfip.com oder halt an Postfix, oder an mir...
Aber egal. Es läuft ziemlich sauber, soweit ich es überhaupt beurteilen kann. Für interessierte hier die relevante Daten aus der
/etc/postfix/main.cf .... mydomain = domain.selfip.com myhostname = hostname.domain.selfip.com mydestination = $myhostname,localhost.$mydomain, $mydomain
program_directory = /usr/lib/postfix inet_interfaces = all masquerade_domains = defer_transports = mynetworks_style = subnet disable_dns_lookups = no mailbox_command = mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp strict_8bitmime = yes
Damit können Mails mit falscher Kodierung abgewiesen werden. Dies passiert häufiger als man denkt. Insbesondere Servicemails von Ebay oder Amazon sind nicht immer ganz korrekt aufgebaut.
disable_mime_output_conversion = no strict_rfc821_envelopes = no
Dann schon eher dies auf "yes" setzen.
smtpd_sender_restrictions = hash:/etc/postfix/access
Dies heisst ausgeschrieben: smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access Da du kein entschärfendes permit_mynetworks oder permit_sasl_authenticated davorgesetzt hast, gilt dies jeden, auch deine internen User.
smtpd_client_restrictions = smtpd_helo_required = no
Das sollte auf "yes" stehen.
smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,reject_unauth_destination
Wenn der Server direkt im Netz steht, dann sollte er noch einige Antispam-einstellungen mehr mitbekommen.
smtpd_sasl_auth_enable = yes smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_sasl_local_domain = domain.selfip.com smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_tls_cert_file = /etc/postfix/ssl/imap_postfix/server_cert.pem smtpd_tls_key_file = /etc/postfix/ssl/imap_postfix/server_plain.pem smtpd_tls_ca_file = /etc/postfix/ssl/imap_postfix/cacert.pem smtpd_tls_ca_path = /etc/postfix/ssl/imap_postfix smtpd_tls_loglevel = 3 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
relayhost = smtp.ish.de smtp_sasl_auth_enable = yes smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd smtp_sasl_security_options = noanonymous smtp_use_tls = no smtp_tls_cert_file = /etc/postfix/ssl/tls/smtp-client.pem smtp_tls_key_file = $smtp_tls_cert_file smtp_tls_CAfile = /etc/postfix/ssl/tls/CAcert.pem smtp_sasl_tls_security_options = $smtp_sasl_security_options smtp_sasl_tls_verified_security_options = $smtp_sasl_security_options smtp_tls_loglevel = 3
Viel zuviel, höchstens auf 1 setzen für normalen Betrieb!
smtp_tls_per_site = hash:/etc/postfix/ssl/tls/tls_sites
alias_maps = hash:/etc/aliases mailbox_size_limit = 0 message_size_limit = 10240000 content_filter=smtp:[127.0.0.1]:10024
Das hier kann den Rechner zum Platzen bringen, wenn mal viele auf einmal eine Mail einliefern. Besser die Zahl der Filterprozesse auf eine für den Server akzeptable Zahl begrenzen (hängt von CPU und RAM ab). -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic schrieb: Hallo Sandy und danke für dein Replay!
smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,reject_unauth_destination
Wenn der Server direkt im Netz steht, dann sollte er noch einige Antispam-einstellungen mehr mitbekommen.
Was meinst du damit? Könntest du die Aussage ein bißchen vertiefen? Ein amavis samt clamav und spamassasin sind bereits in der Schleife integriert.
alias_maps = hash:/etc/aliases mailbox_size_limit = 0 message_size_limit = 10240000 content_filter=smtp:[127.0.0.1]:10024
Das hier kann den Rechner zum Platzen bringen, wenn mal viele auf einmal eine Mail einliefern. Besser die Zahl der Filterprozesse auf eine für den Server akzeptable Zahl begrenzen (hängt von CPU und RAM ab).
Was würdest du empfehlen für einen AM2 3800+ EE und 2GB DDR2? Gruß Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy schrieb:
Sandy Drobic schrieb:
Hallo Sandy und danke für dein Replay!
smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,reject_unauth_destination
Wenn der Server direkt im Netz steht, dann sollte er noch einige Antispam-einstellungen mehr mitbekommen.
so was in der Richting: smtpd_recipient_restrictions = reject_non_fqdn_sender reject_non_fqdn_recipient permit_sasl_authenticated permit_mynetworks reject_unauth_destination reject_invalid_hostname reject_non_fqdn_hostname reject_unknown_sender_domain reject_unknown_recipient_domain reject_unauth_pipelining MfG Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy wrote:
Jan Tiggy schrieb:
Sandy Drobic schrieb:
Hallo Sandy und danke für dein Replay!
smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,reject_unauth_destination
Wenn der Server direkt im Netz steht, dann sollte er noch einige Antispam-einstellungen mehr mitbekommen.
so was in der Richting:
smtpd_recipient_restrictions = reject_non_fqdn_sender reject_non_fqdn_recipient permit_sasl_authenticated permit_mynetworks reject_unauth_destination reject_invalid_hostname reject_non_fqdn_hostname reject_unknown_sender_domain reject_unknown_recipient_domain reject_unauth_pipelining
Damit kann man auf jeden Fall anfangen. Ich würde aber das reject_unknown_recipient_domain weglassen. Nach reject_unauth_destination kannst du damit nur noch deine eigenen Domains mit diesem Check abweisen. Das nennt man auch "sich selbst in den Fuß schießen". (^-^) Es gibt jedoch noch einige andere Checks, die sinnvoll sind. Dies richtet sich jedoch nach deinen Anforderungen (Firmenserver/ISP/Privatserver etc.) -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ok Sandy, letzte Frage. Wieso brauch er so lange? /var/log # mailq -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 177B529DA1* 1507 Wed Jun 20 15:41:05 xxxx@domain.selfip.com xxxx@gmx.net /var/log # tail mail Jun 20 15:41:06 server postfix/smtp[5495]: SSL_connect:error in SSLv3 read finished A Jun 20 15:41:06 server postfix/smtp[5495]: read from 80071AE8 [8007B80D] (40 bytes => 40 (0x28)) Jun 20 15:41:06 server postfix/smtp[5495]: 0000 aa 2a d8 1e e0 77 37 ac|5a 8a 18 45 b4 6c 8b 1e .*...w7. Z..E.l.. Jun 20 15:41:06 server postfix/smtp[5495]: 0010 c2 8c 90 6f 4e 49 56 b0|66 33 7a 3c 32 28 7f 2f ...oNIV. f3z<2(./ Jun 20 15:41:06 server postfix/smtp[5495]: 0020 7a 15 82 8b 72 a9 e9 10| z...r... Jun 20 15:41:06 server postfix/smtp[5495]: SSL_connect:SSLv3 read finished A Jun 20 15:41:06 server postfix/smtp[5495]: Verified: subject_CN=*.ish.de, issuer=Comodo Class 3 Security Services CA Jun 20 15:41:06 server postfix/smtp[5495]: TLS connection established to smtp.ish.de: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Jun 20 15:44:36 server postfix/smtp[5495]: 177B529DA1: to=<xxxx@gmx.net>, relay=smtp.ish.de[80.69.98.100]:25, delay=211, delays=0.94/0/0.42/210, dsn=2.0.0, status=sent (250 116557443 Nachricht zum Versand akzeptiert. Message accepted for delivery.) Jun 20 15:44:36 server postfix/qmgr[5475]: 177B529DA1: removed Die Mails kommen an, aber 4 Minuten bis es gesendet wird?? Thx Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy wrote:
Ok Sandy, letzte Frage. Wieso brauch er so lange?
/var/log # mailq -Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient------- 177B529DA1* 1507 Wed Jun 20 15:41:05 xxxx@domain.selfip.com xxxx@gmx.net
/var/log # tail mail Jun 20 15:41:06 server postfix/smtp[5495]: SSL_connect:error in SSLv3 read finished A Jun 20 15:41:06 server postfix/smtp[5495]: read from 80071AE8 [8007B80D] (40 bytes => 40 (0x28)) Jun 20 15:41:06 server postfix/smtp[5495]: 0000 aa 2a d8 1e e0 77 37 ac|5a 8a 18 45 b4 6c 8b 1e .*...w7. Z..E.l.. Jun 20 15:41:06 server postfix/smtp[5495]: 0010 c2 8c 90 6f 4e 49 56 b0|66 33 7a 3c 32 28 7f 2f ...oNIV. f3z<2(./ Jun 20 15:41:06 server postfix/smtp[5495]: 0020 7a 15 82 8b 72 a9 e9 10| z...r... Jun 20 15:41:06 server postfix/smtp[5495]: SSL_connect:SSLv3 read finished A Jun 20 15:41:06 server postfix/smtp[5495]: Verified: subject_CN=*.ish.de, issuer=Comodo Class 3 Security Services CA Jun 20 15:41:06 server postfix/smtp[5495]: TLS connection established to smtp.ish.de: TLSv1 with cipher DES-CBC3-SHA (168/168 bits) Jun 20 15:44:36 server postfix/smtp[5495]: 177B529DA1: to=<xxxx@gmx.net>, relay=smtp.ish.de[80.69.98.100]:25, delay=211, delays=0.94/0/0.42/210, dsn=2.0.0, status=sent (250 116557443 Nachricht zum Versand akzeptiert. Message accepted for delivery.) Jun 20 15:44:36 server postfix/qmgr[5475]: 177B529DA1: removed
Die Mails kommen an, aber 4 Minuten bis es gesendet wird??
Das ist der %§!+# Server von Ish. Als Relay ist er manchmal grausam langsam. Keine Fehlkonfiguration deinerseits. Der Server ist schlicht ab und zu überlastet. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy schrieb:
Das ist der %§!+# Server von Ish. Als Relay ist er manchmal grausam langsam. Keine Fehlkonfiguration deinerseits. Der Server ist schlicht ab und zu überlastet.
Hehe, wenn es so ist, dann stimmt's. Der Server ist wirklich %§!+#. Vielen Dank Sandy für deine Unterstützung. Gruß JAn -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy wrote:
Sandy Drobic schrieb:
Hallo Sandy und danke für dein Replay!
smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,reject_unauth_destination
Wenn der Server direkt im Netz steht, dann sollte er noch einige Antispam-einstellungen mehr mitbekommen.
Was meinst du damit? Könntest du die Aussage ein bißchen vertiefen? Ein amavis samt clamav und spamassasin sind bereits in der Schleife integriert.
Das grundsätzliche Bestreben jedes Postmasters ist es, nur die Mails anzunehmen, welche man auch haben möchte.Amavis ist üblicherweise als content_filter eingebunden, welcher Mails erst scannt, nachdem sie angenommen wurden. Das ist im Falle von Spam und Viren natürlich suboptimal. Deshalb sollte man schon direkt bei der Annahme der Mails versuchen, soviel Spam wie möglich abzuweisen. Das ist jedoch ein Prozess, der sich nach deinen Begebenheiten richtet. Die übliche Reihenfolge ist: - Mails an ungültige Empfänger abweisen (nur zustellbare Mails annehmen) Dies ist absolut unverzichtbar - Mails mit eindeutigen Spam-Merkmalen abweisen dies gestaffelt nach - verdächtigen Clients-IP - Clientnamen - Absenderadressen - HELO Dann werden externe Mittel und Policyserver hinzugefügt - Blacklists, denen man vertraut als harter Block in Postfix - Greylisting, Policyd-weight zum Aussieben von Zombierechnern Als letztes kommt danach dann die Inhaltsanalyse der kompletten Mail. Dies geschieht einmal durch ein paar gute Header/Bodychecks in Postfix [Bis hierhin wird die Mail direkt abgewiesen, wenn die Checks anschlagen] und erheblich verfeinert dann in Amavisd-new. Hier darf nicht mehr abgewiesen werden, denn die Mail ist bereits angenommen. Sonst wird man die Mail nur an die meist gefälschte Absenderadresse bouncen und wird so selber zur Backscatter-Quelle, die Spam verbreitet. Dies alles geht davon aus, dass die Mails direkt empfangen werden und nicht erst vom Provider um dann mit Fetchmail gepollt zu werden.
alias_maps = hash:/etc/aliases mailbox_size_limit = 0 message_size_limit = 10240000 content_filter=smtp:[127.0.0.1]:10024
Das hier kann den Rechner zum Platzen bringen, wenn mal viele auf einmal eine Mail einliefern. Besser die Zahl der Filterprozesse auf eine für den Server akzeptable Zahl begrenzen (hängt von CPU und RAM ab).
Was würdest du empfehlen für einen AM2 3800+ EE und 2GB DDR2?
Läuft sonst noch irgendetwas auf dem Server, wie Webserver, Imapserver, SQL? Was für ein Mailvolumen hast du grob pro Tag bzw in der Geschäftszeit? Jedenfalls kannst du ohne jede Bedenken mit 15 Amavisd-new-Prozessen anfangen und wenn nötig bestimmt auch noch mehr konfigurieren. Postfix selbst braucht recht wenig Resourcen, die Fresser sind Amavis und Imap und, wenn vorhanden, Webmail. Sehr wichtig ist die Kontrolle, welche Mails abgewiesen wurden und wie der Zustand des Servers ist. Dafür dienen Tools wie pflogsumm, logreport, aber auch graphische Tools wie mailgraph und queuegraph. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy schrieb: Noch eins Sandy,
Ab Postfix 2.3 ist folgende Syntax empfohlen: smtp_tls_security_level = may
Wenn ich aber mit 100%-ger Sicherheit weiß, daß ich nur den Relayhost von der Ish benutzen werde und unter Berücksichtigung des Hashfiles: smtp_tls_per_site = hash:/etc/postfix/ssl/tls/tls_sites mit dem Eintrag: smtp.ish.de MUST_NOPEERMATCH macht die Eintragung: smtp_tls_security_level = no für mich viel mehr Sinn. Ansonsten, würde ein 'may' für mich bedeuten, daß auch lokal eine Tls-Verbindung zumindest geprobt wird, was aber ein Zeit- und Rechenleistungverlust bedeuten würde?! MfG Jan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Jan Tiggy wrote:
Sandy schrieb:
Noch eins Sandy,
Ab Postfix 2.3 ist folgende Syntax empfohlen: smtp_tls_security_level = may
Wenn ich aber mit 100%-ger Sicherheit weiß, daß ich nur den Relayhost von der Ish benutzen werde und unter Berücksichtigung des Hashfiles:
smtp_tls_per_site = hash:/etc/postfix/ssl/tls/tls_sites mit dem Eintrag: smtp.ish.de MUST_NOPEERMATCH
macht die Eintragung: smtp_tls_security_level = no für mich viel mehr Sinn.
Ansonsten, würde ein 'may' für mich bedeuten, daß auch lokal eine Tls-Verbindung zumindest geprobt wird, was aber ein Zeit- und Rechenleistungverlust bedeuten würde?!
Das kommt natürlich auf den Traffic an, den dein Server produzieren wird. Wenn du jedoch über die Krücke von Ish relayest, dann ist der Aufwand für TLS verschwindend gering gegenüber den miesen Übertragungszeiten zum Relayserver. :-/ Und bei deiner Hardware sollte das wirklich kein Problem sein. Es wäre etwas anderes, wenn du einen Server betreibst, auf dem eine Mailingliste etliche Tausend Mails innerhalb kurzer Zeit verschicken soll und dafür dann 1000 smtp-Prozesse gleichzeitig bei Verfügbarkeit eine TLS-Session aufbauen. Aber solange du einen Relayserver verwendest, wird das nie ein Problem sein. Dies kommt nur ins Spiel, wenn du direkt sendest und dann große Mengen an kleinen Mails zu vielen unterschiedlichen Servern. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy schrieb:
Das kommt natürlich auf den Traffic an, den dein Server produzieren wird. Wenn du jedoch über die Krücke von Ish relayest, dann ist der Aufwand für TLS verschwindend gering gegenüber den miesen Übertragungszeiten zum Relayserver. :-/
Ja ich weiß, der ist nicht so berauschend. Dennoch der Postfix ist eigentlich nur meine persönliche Machbarkeitsstudie. Wenn er vom Netz eingewählt wird, dann aber nur von mir, da er sich normalerweise auf einem hohen Port befindet. Normalerweise benutze ich die Relays von gmx.net wo auch meine Netz-Domain hängt. Dessen smtp wird direkt von meinen Clients angepeilt. Den Relayserver habe ich nur pro Forma eingerichtet. Verstehe mich bitte nicht falsch, aber ich habe Postfix nur eingerichtet, um zu wissen, ob ich es überhaupt einzurichten schaffe.
Und bei deiner Hardware sollte das wirklich kein Problem sein. Es wäre etwas anderes, wenn du einen Server betreibst, auf dem eine Mailingliste etliche Tausend Mails innerhalb kurzer Zeit verschicken soll und dafür dann 1000 smtp-Prozesse gleichzeitig bei Verfügbarkeit eine TLS-Session aufbauen.
Nein, das tue ich definitiv nicht! Nochmals danke Sindy für dein Input.Ich glaube viel gelernt zu haben in Anbetracht meiner vorgegebenen kognitiven Fähigkeiten. MfG Jan der Linux liebt, obwohl er nur ein BWL'er ist und Windows leider für sein DTP-Zeug einsetzen muß. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Jan Tiggy -
Sandy Drobic