[Eisfair] [e64] mail extern

[Detlef Paschke]

Am 10.01.2022 um 09:45 schrieb Juergen Edner:
> Hallo Marcus,

Hallo Markus,
hallo Juergen,

> 
>>> Wie Du siehst, unterstützt der E-Mail-Server derzeit keine gesicherte
>>> Verbindung, da kein STARTTLS-Befehl angezeigt wird.
>>
>> Detlef hat SMTP_SERVER_TRANSPORT='both' gesetzt, womit geschützte
>> Verbindungen möglich sind.
>>
>> Fehlt hier vielleicht eine Angabe in SMTP_SERVER_TLS_ADVERTISE_HOSTS,
>> eventuell * um allen das zu avisieren?
> 
> ja, dieser Parameter scheint nicht gesetzt zu sein.

ich versuche mal zusammenzufassen.
Also Ja, ich habe ein letsencrypt-Zertifikat für schabau.eu.
Einen Link auf exim.pem hatte ich bewusst noch nicht gemacht, weil ich
bisher mein eigenes selbstsigniertes Zertifikat (eisfair64.home.lan.pem)
dafür verwendet habe. Das funktioniert von außen natürlich nicht, genau
wie das schabau.eu.pem nicht funktioniert wenn ich von innen aus
eisfeir64.home.lan den Server aufrufe.

Ich habe das vor Jahren nochmal komplett umgestellt, da ich es so besser
begriffen habe. Eisfair ist nicht mehr CA_HOME. Ich erstelle Zertifikate
jetzt mit XCA. Dort habe ich das Root-CA "home.lan" und damit signiert
die einzelnen Server Zertifikate (eisfair64, Laserjet, Supermicro-IPMI,
Proxmox...).

In SMTP_SERVER_TLS_ADVERTISE_HOSTS waren in der Tat bewusst nur
*home.lan:*fritz.box eingetragen da nur dort das eigene Zertifikat
angewendet werden kann.
Habe ich jetzt testweise auf '*' gesetzt.

Jetzt die Sache, wo ich nicht weiter komme.
Ich habe SMTP_SERVER_TLS_CERT_NAME='schabau.eu' angegeben, um testweise
das letsencrypt-Zertifikat für exim zu benutzen. Ich will schauen, wo
überall Probleme auftauchen.
Erstmal ist das für mich komisch:

Activate configuration now (y/n) [yes]? y
 * Stopping Dovecot daemon ...                             [  OK  ]
 * Stopping Fetchmail daemon ...                           [  OK  ]
 * Stopping SMTP server ...                                [  OK  ]

version: 1.15.7
IPv6 support: enabled
antispam support: enabled
eisfax support: disabled
mail-dovecot support: enabled
perl package: installed
checking settings of user 'exim' ...
checking pop3/imap/smtp services ...
checking pop3/imap/smtp tls certificates ...
- imap: /var/certs/ssl/certs/eisfair64.home.lan.pem
- smtp: /var/certs/ssl/certs/eisfair64.home.lan.pem
....

Wie so wird nun doch das eisfair64.home.lan.pem und nicht wie in der
Config angegeben, das schabau.eu.pem verwendet?
Führe ich auf einer lokalen Debian Maschine 'openssl s_client -starttls
smtp -connect schabau.eu:25' aus, wird mir auch das selbstsignierte
Zertifikat angezeigt und eben nicht das letsencrypt-Zertifikat.
Eine Nachricht "reinwärts" von einem gmail Konto, kam jetzt aber mit
X=TLS1.3:TLS_AES_256_GCM_SHA384:256 an, das war vorher nicht so.
Rauswärts war es sowieso immer verschlüsselt. Vom lokalen PC zum eisfair
über das eigene Zertifikat und vom Smarthost mail.smtp2go.com über ein
letsencrypt-Zertifikat, was dort automatisch für mich erstellt wird.

Die nächste Sache war...? Ach ja.

> PS: Die Konfiguration des Server sollte so angepasst werden, dass nach
>     dem EHLO-Befehl auch der korrekte externe Servername angezeigt wird
>     ;-)

Das ließe sich schon erledigen, wenn man SMTP_QUALIFY_DOMAIN und
SMTP_HOSTNAME entsprechen abändert, oder?

Ich hatte es Marcus auch schon gesagt, ich habe über die Jahre bei so
vielen lokalen Diensten, Geräten und allem möglichen Schei... im ganzen
Haus verteil, eisfair64.home.lan als Mailserver für Status- Fehler- und
weiß der Geier was für Mails eingetragen. Will man anfangen das zu
ändern, vergisst man ohnehin die Hälfte. Gibt es den so etwas wie Alias,
offiziell heißt es mail.schabau.eu, kann aber genau so mit
eisfair64.home.lan angesprochen werden? Die Alias Geschichte in Bind9
hat ja damit nichts zu tun, oder?

Ich glaube, jetzt habe ich diesen Seitenarm durch. ;-)

> Gruß Jürgen
> 

Viele Grüße
Detlef Paschke

-- 
Das "Zitat des Augenblicks" gibt es nur auf
http://schabau.eu
Meine "Merkzettel"
http://helpdesk.schabau.eu