Unverschlüsseltes SMTP deaktivieren

[Toorms]

Guten Morgen Community,

gibt es einen offizielleren Weg Port 25 (unverschlüsselter SMTP) zu deaktivieren in Keyhelp außer einfach die IP-Tables Rule zu deaktivieren? Falls es nur die Iptables-Option gibt, stellst sich mir die Frage ob die 25-er Regel nach einem Neustart durch ein Keyhelp Script wiederhergestellt wird?

Falls es das nicht gibt, eventuell ein Feature wert?

Beste Grüße und Cheers
Toorms

[Jolinar]

gibt es einen offizielleren Weg Port 25 (unverschlüsselter SMTP) zu deaktivieren

Code: Select all

smtpd_tls_security_level = enforce

[Toorms]

Perfekt, besten Dank!

Gibt es sowas schon in Keyhelp integriert oder kann es integriert werden?

[Jolinar]

Gibt es sowas schon in Keyhelp integriert oder kann es integriert werden?

Nein.
Ich persönlich bin bei diesem Thema sehr zwiegespalten...Auf der einen Seite befürworte ich natürlich eine durchgehende Verschlüsselung. Auf der anderen Seite ist man heutzutage immer noch gezwungen, unverschlüsselte Mailkommunikation als Fallback zuzulassen, da es immer noch genügend falsch bzw. unsauber konfigurierter Mailserver gibt und man mit einer solchen Einschränkung einen sicher nicht unbedeutenden Teil der Mailkommunikation ausschließen würde.
Das Letztere ist auch der Grund, warum ich diese Option eigentlich nicht im Panel haben wollen würde, denn viele (Mail-)Serverbetreiber wissen nicht genug über die Hintergründe und würden so potentiell wichtigen Mailverkehr ausschließen. Und dann wäre das Gejammer groß, weil Keyhelp angeblich nicht richtig funktionieren würde...

[Toorms]

Gibt es sowas schon in Keyhelp integriert oder kann es integriert werden?

Nein.
Ich persönlich bin bei diesem Thema sehr zwiegespalten...

Na toll, nun bin ich auch zwiegespalten ... - vielleicht kann man es ja integrieren aber mit einem dicken Hinweis, dass man dies nur aktivieren sollte, wenn man weiß, was man tut. Wäre quasi ein Kompromiss.

[Jolinar]

Na toll, nun bin ich auch zwiegespalten ... - vielleicht kann man es ja integrieren aber mit einem dicken Hinweis, dass man dies nur aktivieren sollte, wenn man weiß, was man tut. Wäre quasi ein Kompromiss.

Vielleicht mal noch als ergänzender Gedankengang...
Eine Mail kann ja auf dem Weg vom Sender zum Empfänger durchaus mehrere Mailserver durchlaufen. Wenn auf diesem Weg nur ein einziger dieser Mailserver unverschlüsselt überträgt, nutzt dir die beste Verschlüsselung auf deinem Server genau garnichts.

[Toorms]

Na toll, nun bin ich auch zwiegespalten ... - vielleicht kann man es ja integrieren aber mit einem dicken Hinweis, dass man dies nur aktivieren sollte, wenn man weiß, was man tut. Wäre quasi ein Kompromiss.

Vielleicht mal noch als ergänzender Gedankengang...
Eine Mail kann ja auf dem Weg vom Sender zum Empfänger durchaus mehrere Mailserver durchlaufen. Wenn auf diesem Weg nur ein einziger dieser Mailserver unverschlüsselt überträgt, nutzt dir die beste Verschlüsselung auf deinem Server genau garnichts.

Stimmt absolut!

[24unix]

Wenn auf diesem Weg nur ein einziger dieser Mailserver unverschlüsselt überträgt, nutzt dir die beste Verschlüsselung auf deinem Server genau garnichts.

Eben. Dafür gibt es PGP, alles andere ist quasi eine Postkarte …

[andromeda]

Falls es nur die Iptables-Option gibt, stellst sich mir die Frage ob die 25-er Regel nach einem Neustart durch ein Keyhelp Script wiederhergestellt wird?

Ports welche geschlossen wurden, werden durch KeyHelp nicht automatisch geöffnet.

Der Rest.... Jolinar hat alles schon gesagt, und so ist es auch

[@ITS]

Habe das Topic hier gefunden, und habe dazu eine Frage.
Nämlich genau im umgekehrten Sinne.

Eigentlich bin ich hier auch zwiegespalten aber wie schon erwähnt wurde als Fallback wenn SSL mal Probleme macht, wäre es eine gute Alternative auch noch unverschlüsselten Mailversand anzubieten.

Das soll ja laut den Postings hier funktionieren (oder ist das nicht mehr aktuell ? )

Denn aktuell benötigt dies ein Privat-User, weil er leider noch einen alten POP3 Connector für sein Home-Exchange nutzt, der wohl kein SSL/TLS unterstützt.
Musste aber feststellen, auch bei direkten Versuch bei mir, eine POP3 Verbindung zum Server nur mehr mit Verschlüsselung möglich ist.

Es wurden keine individuellen Settings getätigt beim Mailserver, so wie es Keyhelp angelegt hat - 110/25 Port sind aktiv.
Eine Option im Interface gibt es hierzu ja nicht, dies explizit zu aktivieren/deaktivieren (sowie beim FTP Server).

Wenn ich die Postfix Config ändere, wird diese wohl überschrieben bei Update ?
Sollte ja auch nicht nötig sein, wenn dies angeblich Standardmäßig auch ohne TLS/SSL möglich wäre.

[Florian]

Hallo,

das Ganze wird gesteuert durch

Code: Select all

ssl = required

in der /etc/dovecot/conf.keyhelp.d/10-ssl.conf

Um das zu überschreiben legt man sich, wie hier schon mehrfach beschrieben, ins Verzeichnis /etc/dovecot/ eine Datei namens local.conf, siehe letzte Zeile in dovecot.conf:

Code: Select all

# Include cunstom configurations.
# Put your own custom settings in the following file, it will remain untouched by KeyHelp updates.
!include_try local.conf

Dort kann man dann eigene Einstellungen tätigen.

Der Schalter ssl = kann laut Dovecot Doku die Werte no, yes und required haben, hier sollte also ein Setzen auf yes den Zwang zur Verschlüsselung deaktivieren.

Ggf muss man sich auch den Schalter disable_plaintext_auth anschauen, dieser steht standardmäßig auf yes

Alles Wissenswerte dazu steht hier:

https://doc.dovecot.org/configuration_m ... iguration/

[@ITS]

OK OK Danke !
Es hat mich nur verwirrt, weil ich bei meiner Suche auf dieses Topic gekommen bin, und hier gings darum dies zu "deaktivieren".
Also hat man das wohl mit einen Update mal verändert und wäre es nun selbst zu konfigurieren u. wieder zu "aktivieren"

[Florian]

Hallo,

nein da wurde nie etwas geändert. TLS war schon immer zwingend bei den Maildiensten.