ubuntuusers.de

Hi zusammen,

ich bin gerade dabei einen Mail-Server aufzusetzen. Mit Dovecot + Postfix ... Nur Postfix funktioniert nicht und ich finde keine Anhaltspunkte warum ?

systemctl status postfix.service 
● postfix.service - Postfix Mail Transport Agent
   Loaded: loaded (/usr/lib/systemd/system/postfix.service; enabled; vendor preset: disabled)
   Active: active (running) since Mon 2018-01-22 22:12:07 CET; 11h ago
  Process: 14861 ExecStop=/usr/sbin/postfix stop (code=exited, status=0/SUCCESS)
  Process: 14878 ExecStart=/usr/sbin/postfix start (code=exited, status=0/SUCCESS)
  Process: 14876 ExecStartPre=/usr/libexec/postfix/chroot-update (code=exited, status=0/SUCCESS)
  Process: 14872 ExecStartPre=/usr/libexec/postfix/aliasesdb (code=exited, status=0/SUCCESS)
 Main PID: 14952 (master)
   CGroup: /system.slice/postfix.service
           ├─14952 /usr/libexec/postfix/master -w
           ├─18008 pickup -l -t unix -u -c
           └─18059 qmgr -l -t unix -u

Jan 23 09:30:44 mail postfix/master[14952]: warning: /usr/libexec/postfix/smtp: bad command startup -- throttling
Jan 23 09:31:45 mail postfix/smtp[23008]: fatal: Invalid TLS level "dane"
Jan 23 09:31:46 mail postfix/master[14952]: warning: process /usr/libexec/postfix/smtp pid 23008 exit status 1
Jan 23 09:31:46 mail postfix/master[14952]: warning: /usr/libexec/postfix/smtp: bad command startup -- throttling
Jan 23 09:32:46 mail postfix/smtp[23066]: fatal: Invalid TLS level "dane" 

Aber:

postconf -n
append_dot_mydomain = no
biff = no
bounce_queue_lifetime = 1h
config_directory = /etc/postfix
inet_interfaces = 127.0.0.1, ::1, 192.168.0.11
local_recipient_maps = $virtual_mailbox_maps
mailbox_size_limit = 0
maximal_backoff_time = 15m
maximal_queue_lifetime = 1h
message_size_limit = 52428800
milter_default_action = accept
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_protocol = 6
minimal_backoff_time = 5m
mua_client_restrictions = permit_mynetworks,permit_sasl_authenticated,reject
mua_relay_restrictions = reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_mynetworks,permit_sasl_authenticated,reject
mua_sender_restrictions = permit_mynetworks,reject_non_fqdn_sender,reject_sender_login_mismatch,permit_sasl_authenticated,reject
myhostname = gabel.net
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
non_smtpd_milters = inet:127.0.0.1:11332
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/postscreen_access
postscreen_blacklist_action = drop
postscreen_dnsbl_action = drop
postscreen_dnsbl_sites = ix.dnsbl.manitu.net*2 zen.spamhaus.org*2
postscreen_dnsbl_threshold = 2
postscreen_greet_action = drop
queue_run_delay = 5m
recipient_delimiter = +
smtp_helo_name = smtp.gabel.net
smtp_tls_CAfile = /etc/ssl/certs/ca-bundle.crt
smtp_tls_ciphers = high
smtp_tls_policy_maps = mysql:/etc/postfix/sql/tls-policy.cf
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_restrictions = permit_mynetworks check_client_access hash:/etc/postfix/without_ptr reject_unknown_client_hostname
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname
smtpd_milters = inet:127.0.0.1:11332
smtpd_recipient_restrictions = check_recipient_access mysql:/etc/postfix/sql/recipient-access.cf
smtpd_relay_restrictions = reject_non_fqdn_recipient reject_unknown_recipient_domain permit_mynetworks reject_unauth_destination
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.gabel.net/fullchain.pem
smtpd_tls_ciphers = high
smtpd_tls_key_file = /etc/letsencrypt/live/mail.gabel.net/privkey.pem
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_high_cipherlist = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA256:EECDH:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!IDEA:!ECDSA:kEDH:CAMELLIA128-SHA:AES128-SHA
virtual_alias_maps = mysql:/etc/postfix/sql/aliases.cf
virtual_mailbox_domains = mysql:/etc/postfix/sql/domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/sql/accounts.cf
virtual_transport = lmtp:unix:private/dovecot-lmtp
postconf: warning: /etc/postfix/main.cf: unused parameter: smtp_dns_support_level=dnssec

Soweit mir bekannt muss "smtp_dns_support_level=dnssec" aber gesetzt sein damit "dane" überhaupt funktioniert.
Und laut Postfix Doku ist das hier völlig legitim ! "smtp_tls_security_level = dane" ...

Jemand 'ne Idee ?

Hat niemand das Problem mal gehabt ? Benutzt keiner "dane" ?

Keiner 'ne Idee ?

Gibt's doch nicht ... keiner 'ne Idee ???

Ich habe beide Optionen so gesetzt und es funktioniert unter Ubuntu Server 18.04. Da ich das Problem noch nicht hatte, weiß ich auch nicht, woran es liegt. Was auffällt, dass "smtp_dns_support_level=dnssec" keine Leerzeichen um das = hat, die anderen Optionen aber schon. Glaube allerdings nicht, dass das Auswirkungen hat.

Vielleicht ist das Mailsetup von Thomas Leister was für dich:

https://thomas-leister.de/mailserver-unter-ubuntu-16.04/

Würde ich wenn aber mit Ubuntu Server und nicht mit Ubuntu Mate umsetzen.

Zitat aus den Postfix Configuration Parameters:

Each logical line is in the form "parameter = value". Whitespace around the "=" is ignored, as is whitespace at the end of a logical line.

Na ja ... genau das Tutorial hab ich ja benutzt. Leider existiert seine Email Adresse nicht mehr ...

In der neuen Anleitung, die eigentlich für Debian Stretch ist, schreibt er auch was von "mit der Fehlerbehebung beautragen", anscheinend ist der kostenlose Support (der auch schon umfangreich mit den vielen Erklärungen geleistet ist) zu seinen Anleitungen jetzt Geschichte.

Ich habe mich unter 18.04 daran orientiert:

https://thomas-leister.de/mailserver-debian-stretch/

War aber nicht ganz trivial, weil es noch keine Pakete für Rspamd gibt und das aus Xenial 2 Abhängigkeiten hat, die ich ziemlich in 18.04 reingefrickelt habe. Bezüglich früheren Ubuntu Serverversionen macht er darauf aufmerksam, dass Dovecot aus den offiziellen Paketquellen zu alt ist. Ich verstehe aber auch, wenn jemand keine noch in der Entwicklung befindliche Ubuntu Server Version verwenden möchte. Ich hatte 17.04 drauf und 17.10 gibt es schon solange, drum fand ich 18.04 für mich passender, habs bisher nicht bereut. Vielleicht meldet sich noch jemand anderes und hat konkrete Ansätze. Laut Web stehst du mit diesem dnssec/dane-Problem nicht alleine da.

Wollte das auch bei mir gerade optimieren, da stellte ich fest, dass ich bei meinem Hoster garkeine TLSA Records anlegen kann. ☹, also wie hier beschrieben:

https://thomas-leister.de/dane-tlsa-records-erklaert/

Hm ... na ja ... es scheint ja bei mir erst mal "nur" um die Postfix config betroffen zu sein.
Und Laut den Postfix Configuration Parameters hab ich keinen Fehler drinn ... zumindest keinen offensichtlichen.

Postfix sollte eigentlich überhaupt kein Problem darstellen da das Standard bei allen *NIX'en ist ...
Von daher habe ich gehofft das einer das Problem vielleicht kennt bzw. eine Alternative hat.