[Eisfair] [e64] mail extern

[Marcus Röckrath]

Hallo Detlef,

Detlef Paschke wrote:

>> Warum nur den Port 25 für eingehende Mails öffnen? Was ist mit
>> Gegenstellen, die auf den anderen SMTP-Ports (587/465) Mails einliefern
>> wollen?
> 
> Ich will so wenig wie möglich öffnen und soweit ich finden konnte, soll
> Port 25 wohl immer das Backup sein, das immer funktioniert.

Wie Jürgen schon schrieb, ist das auch so korrekt.

>> Aus Sicherheitsgründen sollte der Connect verschlüsselt sein:
>> 
>> SMTP_SERVER_TRANSPORT='tls'
> 
> Steht derzeit noch auf 'both'.
> 
>> Wie sieht das übrigens mit deinem SMTP-(exim)-Zertifikat aus? Selbst
>> erstelltes Zertifikat?
>> 
>> Das sollte dann aber ein echtes weltweit gültiges sein, wenn du
>> verschlüsselt Mails empfangen willst, sonst können die Gegenstellen dein
>> Zertifikat nicht verifizieren, also z. B. letsencrypt.
> 
> Und da geht das Durcheinander mit den Zertifikaten los, bei dem ich wohl
> nie durchsteigen werde. Ich habe inzwischen ein letsencrypt Zertifikat
> für schabau.eu und die Subdomains. Das benutze ich für meine Webseiten.
> Das ist kein Problem, da jeder VHOST ein Zertifikat zugewiesen werden
> kann. Seiten die nur lokal verwendet werden, haben ein selbst signiertes
> Zertifikat für home.lan.

Auf welche Domain ist das letsencrypt-Zertifikat ausgestellt? Nicht auf
schabau.eu?

Hast du in /var/cets/ssl/certs einen Link exim.pem, der auf das
letsencrypt-Zertifikat zeigt.

> Bei Mail hänge ich aber fest. Mail benutze ich als *@home.lan wie auch
> als *.schabau.eu.

Für home.lan kannst du natürlich letsencrypt vergessen, denn das wäre als
Domain wie auch IPs nicht möglich.

> Hatte ich das schabau.eu letsencrypt Zertifikat unter 
> SMTP_TLS_CERT_NAME eingetragen, kam keine lokale Veränderungsmail von
> der Fritte mehr an.

Wie hast du die SMTP-Einstellungen in der Fritz vorgenommen?

Idee: Nicht direkt die IP im lokalen Netz als Ziel sondern schabau.eu; dann
kommt so von außen.

> Weiter habe ich gar nicht probiert. Ich nehme an, 
> über home.lan oder fritz.box wäre nix gegangen, weil das letsencrypt
> Zertifikat home.lan und fritz.box natürlich nicht kennt.

Genau.
 
> Okay, dann habe ich es in der Doku falsch verstanden.
> Meine Annahme war, dass bei SMTP_AUTH_TYPE='user' (auch von außen)
> zunächst einmal nur Nachrichten angenommen werden, deren Domain auf dem
> Server konfiguriert sind, bei SMTP_AUTH_TYPE='user_light' aber auch
> Nachrichten an eine auf dem Server nicht bekannte Domain.

Du betreibst doch nun einen eigenen Mailserver und nimmst somit Mail direkt
an. Mailserver in aller Welt stellen üblicherweise Mails direkt an den
Zielhost zu; wie sollte es mit Anmeldung überhaupt funktionieren.

Natürlich wird der Mailserver nur Mailds annehmen, die als To-Domain
schabau.eu haben; aber dann von jedem - du willst doch auch alle Mails
haben, die dich betreffen.

eis # telnet schabau.eu 25
Trying 91.45.50.227...
Connected to schabau.eu.
Escape character is '^]'.
220 eisfair64.home.lan ESMTP Exim 4.94.2 Sun, 09 Jan 2022 15:48:19 +0100

Sieht IMHO auch offen aus.

-- 
Gruß Marcus
[eisfair-Team]