KeyHelp Community

Fixed the dovecot error 'Command output: doveconf: Fatal: Error in configuration file /etc/dovecot/conf.keyhelp.d/10-ssl.conf line 4: ssl_ca: Can't open file /etc/ssl/keyhelp/mail-ca.crt: Permission denied' by removing the ssl_ca configuration option from /etc/dovecot/conf.keyhelp.d/10-ssl.conf

mhagge wrote: ↑Thu 28. Sep 2023, 08:52 Dim Changelog ( https://www.keyhelp.de/changelog/ ) von Keyhelp 23.2 unter "Fixes" steht (unter anderem)

Fixed the dovecot error 'Command output: doveconf: Fatal: Error in configuration file /etc/dovecot/conf.keyhelp.d/10-ssl.conf line 4: ssl_ca: Can't open file /etc/ssl/keyhelp/mail-ca.crt: Permission denied' by removing the ssl_ca configuration option from /etc/dovecot/conf.keyhelp.d/10-ssl.conf

mhagge wrote: ↑Thu 28. Sep 2023, 08:52 Da muss es irgendwo bereits einen Bug-Report zu geben - im Changelog ( https://www.keyhelp.de/changelog/ ) von Keyhelp 23.2 unter "Fixes" steht (unter anderem)

Fixed the dovecot error 'Command output: doveconf: Fatal: Error in configuration file /etc/dovecot/conf.keyhelp.d/10-ssl.conf line 4: ssl_ca: Can't open file /etc/ssl/keyhelp/mail-ca.crt: Permission denied' by removing the ssl_ca configuration option from /etc/dovecot/conf.keyhelp.d/10-ssl.conf

Wenn es nicht eilig ist, hilft vielleicht auch einfach ein paar Tage warten, bis die neue Version draußen ist

tab-kh wrote: ↑Wed 4. Oct 2023, 15:52 Ist doch eigentlich eindeutig. Die Empfängeradresse existiert nicht auf dem Server, allerdings scheint die Domain (ratucloud.com) auf dem Server zu existieren und kann dort auch für Mail verwendet werden. Das DNS der Domain gibt zwar ratucloud-com.mail.protection.outlook.com. als MX an. Wenn allerdings die Domain lokal bekannt ist und auch für Mail(empfang) verwendet werden kann, dann wird ausgehende Mail für die Domain nicht an ...outlook.com geschickt, sondern es wird versucht sie lokal zuzustellen. Hier existiert aber offenbar das betreffende Postfach nicht, was die Fehlermeldung ja ganz klar sagt.

Luukullus wrote: ↑Wed 4. Oct 2023, 13:59
Zudem habe ich seit dem Update merkwürdige Meldungen im Log, siehe Bild. Kann ich die ignorieren?:

tab-kh wrote: ↑Wed 4. Oct 2023, 17:34

Luukullus wrote: ↑Wed 4. Oct 2023, 13:59
Zudem habe ich seit dem Update merkwürdige Meldungen im Log, siehe Bild. Kann ich die ignorieren?:

Ist ja offenbar immer die selbe IP 141.98.11.82. Sieht nach Litauen aus. Da scheint jemand zu versuchen, Zugangsdaten für SMTP, also Mailversand, herauszufinden. Seinen PTR hat er gefaked, der Name löst nicht auf seine IP auf, sondern auf 45.79.133.252, irgendein "Internet-Research-Project", was wohl sein Tun verharmlosen soll. Im Erfolgsfall kann er dann Spam über deinen Server versenden, was nicht so lustig wäre angesichts der DNS-Blocklisten. Typischerweise werden da irgendwelche Passwortlisten durchprobiert. Man kann auch herausfinden, welcher User und Passwort angegeben wurden. Das muss man aber erst in Dovecot einstellen, habe ich bei zwei Servern mal gemacht, da sehe ich dann User & Passwort im Log. Sobald aber mal Kunden auf dem Server sind, sollte das natürlich aus Datenschutzgründen deaktiviert werden.

Du kannst natürlich auch versuchen, die Versuche per fail2ban zu blocken. Aber wenn du Kunden auf dem Server hast und nicht bei jedem in deren Mailclient mal falsch eingegebenen Passwort die IP entsperren willst, kannst du die Versuche nur bremsen. Solange es bei der einen oder wenigen IPs bleibt, was erfahrungsgemäß nicht lange so sein wird, kannst du die IP natürlich auch in der Firewall sperren. Oder du vertraust auf die Passwörter, auf die du ja durch Mindestanforderungen Einfluss nehmen kannst, so dass keiner das beliebte "123456" benutzen kann .

Luukullus wrote: ↑Wed 4. Oct 2023, 17:51 Irgendetwas in diese Richtung habe ich mir schon gedacht und habe deshalb die IP Proforma bereits in der Firewall manuell geblockt.
Ich habe alle Passwörter mit 20 bis 32 Zeichen mindestens vierfach komplex. Da will ich auf jeden Fall auf Nummer sicher gehen.

Ralph wrote: ↑Thu 5. Oct 2023, 14:31

Luukullus wrote: ↑Wed 4. Oct 2023, 17:51 Irgendetwas in diese Richtung habe ich mir schon gedacht und habe deshalb die IP Proforma bereits in der Firewall manuell geblockt.
Ich habe alle Passwörter mit 20 bis 32 Zeichen mindestens vierfach komplex. Da will ich auf jeden Fall auf Nummer sicher gehen.

wenn es sehr viele Attacken sind sollte man Fail2ban etwas strikter konfigurieren eventl. maxretry = 2 ([keyhelp-postfix] + [keyhelp-dovecot]) ...
oder die f2b.postfix noch aktivieren mit mode aggressive etc.
solche attackierenden IP Adressen lassen ich leicht prüfen z.b.
https://www.abuseipdb.com/check/141.98.11.82

Luukullus wrote: ↑Mon 9. Oct 2023, 14:10 Ich habe die bestehenden Werte ergänzt:

[postfix]
# To use another modes set filter parameter "mode" in jail.local:
maxretry = 3
findtime = 1d
bantime = 1y
mode = more
port = smtp,465,submission
logpath = %(postfix_log)s
backend = %(postfix_backend)s

[dovecot]
port = pop3,pop3s,imap,imaps,submission,465,sieve
maxretry = 3
findtime = 1d
bantime = 1y
logpath = %(dovecot_log)s
backend = %(dovecot_backend)s