Debian Wheezy Mailserver (postfix, dovecot) - dovecot Konfiguration fehlerhaft

[overflow]

Die Feiertage nutze ich gerade zum Aufsetzen eines Mailservers und habe einige Probleme bisher gehabt.
Im Netz habe ich ein sehr transparentes Tutorial entdeckt. Nach diesem Muster bin ich strikt vorgegangen:

https://thomas-leister.de/internet/mailserver-ubuntu-server-dovecot-postfix-mysql/

Leider erhalte ich beim Start von dovecot folgende Fehlermeldung:
doveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 21: Unknown setting: ssl_prefer_server_ciphers
[....] Restarting IMAP/POP3 mail server: dovecotdoveconf: Fatal: Error in configuration file /etc/dovecot/conf.d/10-ssl.conf line 21: Unknown setting: ssl_prefer_server_ciphers

Spoiler: dovecot/conf.d/10-ssl.conf

##
## SSL settings
##

# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>
#ssl = yes

# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
#ssl_cert = </etc/dovecot/dovecot.pem
#ssl_key = </etc/dovecot/private/dovecot.pem

ssl = required
ssl_cert = </etc/dovecot/dovecot.pem
ssl_key = </etc/dovecot/private/dovecot.pem

ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:SSLv3:!aNULL:!e
NULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA
ssl_protocols = !SSLv2 !SSLv3
ssl_prefer_server_ciphers = yes

# If key file is password protected, give the password here. Alternatively
# give it when starting dovecot with -p parameter. Since this file is often
# world-readable, you may want to place this setting instead to a different
# root owned 0600 file by using ssl_key_password = <path.
#ssl_key_password =

# PEM encoded trusted certificate authority. Set this only if you intend to use
# ssl_verify_client_cert=yes. The file should contain the CA certificate(s)
# followed by the matching CRL(s). (e.g. ssl_ca = </etc/ssl/certs/ca.pem)
#ssl_ca =

# Require that CRL check succeeds for client certificates.
#ssl_require_crl = yes

# Request client to send a certificate. If you also want to require it, set
# auth_ssl_require_client_cert=yes in auth section.
#ssl_verify_client_cert = no

# Which field from certificate to use for username. commonName and
# x500UniqueIdentifier are the usual choices. You'll also need to set
# auth_ssl_username_from_cert=yes.
#ssl_cert_username_field = commonName

# How often to regenerate the SSL parameters file. Generation is quite CPU
# intensive operation. The value is in hours, 0 disables regeneration
# entirely.
#ssl_parameters_regenerate = 168

# SSL protocols to use
#ssl_protocols = !SSLv2

# SSL ciphers to use
#ssl_cipher_list = ALL:!LOW:!SSLv2:!EXP:!aNULL

# SSL crypto device to use, for valid values run "openssl engine"
#ssl_crypto_device =

Bisher habe ich noch keinen Mailserver aufgesetzt, daher bin ich etwas hilflos.

Bedanke mich im voraus bei euch...

Frohe Weihnachten und Festtage an die komplette Habo-Gemeinschaft.

 

[bitmuncher]

Welche Dovecot-Version setzt du ein?

 

[overflow]

2.1.7

 

[bitmuncher]

Dieser Konfigurationsparameter steht erst ab Version 2.2.x zur Verfügung. Du wirst ihn also entfernen und nur ssl_cipher_list verwenden müssen.

 

[overflow]

Das hatte ich mir auch gedacht, konnte jedoch die Mails danach nicht abrufen.
Dachte das mein dovecot-config fehlerhaft wäre.

Anscheinend gibt es doch ein anderes Problem.
Die Verbindung zum Server kann irgendwie nicht hergestellt werden.
Mehr kann ich dazu leider nicht sagen...
Eventuell gibt es Probleme mit den postfix-config oder mx-records/hostname?:

Anbei paar Infos:

MX / DNS Einstellungen im Kontrollsystem vom Provider:
MX-Records
1. Präfix: mail
1. Hostname/IP: 217.115.140.60
2. Präfix:
2. Hostname/IP: mail.domain123.de

DNS Eintrag
Hostname: imap.domain123.de
Zeigt auf: A
217.115.140.60

Hostname: smtp.domain123.de
Zeigt auf A:
217.115.140.60

Spoiler: tcpdump port 148 (Beim Versuch sich per Client einzulogen)

14:39:12.624849 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags , seq 3556414153, win 14600, options [mss 1452,sackOK,TS val 56434 ecr 0,nop,wscale 6], length 0
14:39:12.624871 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [S.], seq 3275356973, ack 3556414154, win 14480, options [mss 1460,sackOK,TS val 148216503 ecr 56434,nop,wscale 6], length 0
14:39:12.638960 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags [.], ack 1, win 229, options [nop,nop,TS val 56437 ecr 148216503], length 0
14:39:12.645470 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [P.], seq 1:116, ack 1, win 227, options [nop,nop,TS val 148216509 ecr 56437], length 115
14:39:12.659479 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags [.], ack 116, win 229, options [nop,nop,TS val 56439 ecr 148216509], length 0
14:39:12.663458 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags [P.], seq 1:36, ack 116, win 229, options [nop,nop,TS val 56439 ecr 148216509], length 35
14:39:12.663470 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [.], ack 36, win 227, options [nop,nop,TS val 148216513 ecr 56439], length 0
14:39:12.663559 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [P.], seq 116:304, ack 36, win 227, options [nop,nop,TS val 148216513 ecr 56439], length 188
14:39:12.682709 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags [P.], seq 36:69, ack 304, win 245, options [nop,nop,TS val 56441 ecr 148216513], length 33
14:39:12.682790 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [P.], seq 304:358, ack 69, win 227, options [nop,nop,TS val 148216518 ecr 56441], length 54
14:39:12.705249 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags [P.], seq 69:141, ack 358, win 245, options [nop,nop,TS val 56443 ecr 148216518], length 72
14:39:12.705456 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [P.], seq 358:365, ack 141, win 227, options [nop,nop,TS val 148216524 ecr 56443], length 7
14:39:12.705499 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [F.], seq 365, ack 141, win 227, options [nop,nop,TS val 148216524 ecr 56443], length 0
14:39:12.726340 IP xdsl-87-78-251-83.netcologne.de.50581 > domain123.de.imap2: Flags [F.], seq 141, ack 366, win 245, options [nop,nop,TS val 56445 ecr 148216524], length 0
14:39:12.726358 IP domain123.de.imap2 > xdsl-87-78-251-83.netcologne.de.50581: Flags [.], ack 142, win 227, options [nop,nop,TS val 148216529 ecr 56445], length 0

Spoiler: /var/log/mail.info

Dec 27 14:53:39 server-deb dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=87.78.251.83, lip=217.115.140.60, TLS handshaking: SSL_accept() failed: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher, session=<IZrx9zILmQBXTvtT>

Spoiler: /etc/hosts

127.0.0.1 localhost
::1 localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
217.115.140.60 domain123.de

Spoiler: /etc/hostname

server-deb

Spoiler: /etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP $mail_name
biff = no

append_dot_mydomain = no

readme_directory = no

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mydestination =
mailbox_size_limit = 51200000
message_size_limit = 51200000
recipient_delimiter =
inet_interfaces = all
myorigin = server-deb
inet_protocols = all

##### TLS parameters ######
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

###### SASL Auth ######
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

###### Use Dovecot LMTP Service to deliver Mails to Dovecot ######
virtual_transport = lmtp:unixrivate/dovecot-lmtp

##### Only allow mail transport if client is authenticated or in own network (PHP Scripts, ...) ######
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

###### MySQL Connection ######
virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps

Spoiler: /etc/postfix/master.cf

#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
#smtp inet n - - - 1 postscreen
#smtpd pass - - - - - smtpd
#dnsblog unix - - - - 0 dnsblog
#tlsproxy unix - - - - 0 tlsproxy
#submission inet n - - - - smtpd
# -o syslog_name=postfix/submission
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
submission inet n - - - - smtpd -v
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
-o smtpd_sasl_security_options=noanonymous
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps inet n - - - - smtpd
# -o syslog_name=postfix/smtps
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}

PS: meine Domain lautet nicht domain123.de, ich habs in den Logs und Configs hier umbenannt.

 

[bitmuncher]

Dein Mailserver lauscht nur an localhost. Siehe deine mynetworks in der main.cf.

 

[overflow]

Ich habe in den letzten Tag sehr viel ausprobiert.
Bisher hat es leider nicht funktioniert.

mynetworks = domain123.de

und verschiedene andere Konstellation habe ich versucht; alles ohne Erfolg. Muss der Server nicht auf dem localhost lauschen? Der Mailserver ist schließlich lokal...

 

[bitmuncher]

In mynetworks gehören die IP-Adressen, an die sich der Mailserver binden soll. Neben den üblichen Adressen für das Loopback-Device muss dort auch die IP deiner Netzwerk-Karte rein, wenn der Mailserver über diese Emails empfangen soll. Sofern diese nicht identisch zur öffentlichen IP des Mailservers ist, solltest du die öffentliche dort auch noch mit eintragen.

Trägt man hingegen nur die Loopback-IPs (127.0.0.1 etc.) ein, wird der Prozess nur an's Loopback-Device gebunden und der Mailserver kann keine Emails vom Internet empfangen oder zustellen.

Deine Domain gehört übrigens in mydestination.

 

[mime]

Trägt man hingegen nur die Loopback-IPs (127.0.0.1 etc.) ein, wird der Prozess nur an's Loopback-Device gebunden und der Mailserver kann keine Emails vom Internet empfangen oder zustellen.

Klar kann der Mails zustellen auch wenn er nur an 127.0.0.1 lauscht. Warum sollte das nicht gehen. Solange der Host eine Route ins Internet hat...

 

[bitmuncher]

Klar kann der Mails zustellen auch wenn er nur an 127.0.0.1 lauscht. Warum sollte das nicht gehen. Solange der Host eine Route ins Internet hat...

Dann muss aber auch eine entsprechende Port-Weiterleitung haben damit er Mails empfangen kann, da sonst der Port 25 nach aussen nicht verfügbar ist.

 

[mime]

Dann muss aber auch eine entsprechende Port-Weiterleitung haben damit er Mails empfangen kann, da sonst der Port 25 nach aussen nicht verfügbar ist.

Damit würde EMPFANGEN gehen, ja. Es ging mir aber um das SENDEN/ZUSTELLEN. Auch wenn der MTA nur auf 127.0.0.1 lauscht, kann er natürlich Mails an einen remote Mailserver zustellen. Route ins Internet vorausgesetzt.