Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Djigzo bzw Ciphermail eMail Gateway Postfix verweigert Annahme von eMails

Mitglied: ukulele-7

ukulele-7 (Level 2) - Jetzt verbinden

05.02.2015 um 14:50 Uhr, 1855 Aufrufe, 6 Kommentare

Wir bieten unserer Kundschaft seit mehreren Jahren E-Mail Verschlüsselung an. Da sich sowohl PGP als auch S/MIME einfach nicht durchsetzen gibt es eine leider nur sehr überschaubare Anzahl von ~25 Empfängern an die wir derzeit auch nur verschlüsselte PDFs verschicken. In sofern betreiben wir derzeit nur verschlüsselten Versand. Die PDF Variante hat sich dennoch als Einstieg und aus anderen Gründen bewährt. Auch wenn der Aufwand hier noch in keinem Verhältnis steht.

Vor geraumer Zeit sind wir dann von unserer veralteten, meiner Meinung nach schlechteren und sehr sehr teuren Gateway Lösung auf das Djigzo E-Mail Gateway umgestiegen (mittlerweise wurde es in Ciphermail umbenannt). Ich bin damit eigentlich hoch zufrieden und fand es immer ein gelungenes Produkt, auch wenn es leider keine große Verbreitung findet und ich keine Community kenne. Es werden zwar mittlerweile Supportverträge angeboten aber da wir noch keinen haben kann ich nicht sagen wie diese gestrickt sind.



Und nun zum eigentlichen Problem:

Mein Gateway steht zwischen Exchange (2003) und E-Mail Server des Providers. Eingehende sowie ausgehende E-Mails laufen über das Gateway. Vor dem Auftritt des Fehlers lief alles Problemlos. Ab Zeitpunkt X hört das Gateway, im Besonderen der MTA (mail transfer agent) des Postfix Dienstes auf, E-Mails des Providers entgegen zu nehmen. Log:

Feb 4 12:35:01 djigzo postfix/smtpd[3268]: connect from unknown[<provider-ip>]
Feb 4 12:35:01 djigzo postfix/smtpd[3268]: lost connection after CONNECT from unknown[<provider-ip>]
Feb 4 12:35:01 djigzo postfix/smtpd[3268]: disconnect from unknown[<provider-ip>]

Das tritt nicht sporadisch auf sondern ab Zeitpunkt X immer. Der MTA nimmt weitere E-Mails des internen Exchange an und leitet sie an den externen Provider, ohne jegliche Abbrüche.

Lt. Aussage Provider wurde nichts am E-Mail System verändert. Des Weiteren soll das Gateway zwar die Verbindung einleiten und sich zur Annahme der E-Mail bereit erklären, beim Aufbau der Datenverbindung die E-Mail dann aber abweisen.

An unserem System wurde etwas ganz anderes geändert. Es existiert neben der produktiven Umgebung eine neue Testdomäne (unterschiedliche FQDN und unterschiedliche NetBIOS Namen) und ein Exchange 2013 Testsystem, da wir umsteigen möchten. Der Fehler im Gateway tritt auf, seit ich die IP des neuen Exchange auf die Liste der vertrauenswürdigen Quellen (in der Gateway Konfiguration) gesetzt habe. Es wurden noch keine E-Mails oder dergleichen verschickt, lediglich diese eine IP aufgenommen. Ziel- und Quellserver des E-Mail Verkehrs wurden nicht verändert. Ich beschreibe diesen Umstand auch nur, weil ich absolut keine Erklärung für das Verhalten des MTA habe, nicht weil ich glaube, dass irgendeine Beeinflussung des Gateways durch den neuen Exchange statt gefunden hat.

Um den Fehler beizukommen habe ich bereits die Testsysteme abgeschaltet und das Gateway aus einer Sicherung vor der Einrichtung dieser Systeme zurück gesichert, jedoch tritt der Fehler sofort in gleicher Form auf. Leitet der Provider die E-Mails direkt an unseren produktiven Exchange, nimmt dieser sie klaglos an. Nur mein Gateway versagt mir die Annahme der Mails des Providers, nicht der des Exchange.

Alle E-Mails wurden zwischenzeitlich zugestellt. Setze ich die ursprüngliche Konfiguration ein, finden erst bei Versand einer Testmail neue Verbindungsaufbauversuche statt. Es sollte also nicht an einer "problematischen" Mail liegen.

Ich bin wirklich Ratlos.
Mitglied: AndiEoh
05.02.2015 um 16:05 Uhr
Hallo,

Postfix ist normalerweise sehr auskunftsfreudig bei Problemen. Kannst du mal ein "grep" nach error, panic etc. in den /var/log/mail.* Dateien machen?
Ist das die VM Appliance die du verwendest?

Gruß

Andi
Bitte warten ..
Mitglied: ukulele-7
05.02.2015, aktualisiert um 16:31 Uhr
Ja, ist die VM Appliance.

Also der Log Auszug Oben ist aus dem Webinterface des Gateways. In var/log/mail.log steht aber exakt das Selbe. Das Log-Level steht auf Info, ich bin mir nicht sicher ob Trace oder Debug als Log-Level mehr liefern würden. Habe damit expirimentiert aber keine neuen Informationen gewonnen. Das wird aber auch in ~500 Module untergliedert und meine Linux Mail Server Kenntnisse sind doch irgendwie bescheiden. An denen habe ich versucht mehr Informationen zu loggen:

mitm.application.djigzo.ws.impl.PostfixConfigManagerWSImpl
mitm.application.djigzo.ws.impl.PostfixLogManagerWSImpl
mitm.application.djigzo.ws.impl.PostfixSpoolManagerWSImpl


PS: Weder error noch panic kommen in der Log vor.
Bitte warten ..
Mitglied: AndiEoh
05.02.2015 um 17:10 Uhr
Hallo,

dh. also kein Shell Zugang...
Die Log Information ist je nach Distribution auf mail.info, mail.err etc. verteilt, deshalb such ich lieber direkt
Desweiteren sollte man/Frau sich auch um die Updates kümmern, besonders bei Sicherheits-Software. Wenn das gezeigte tatsächlich alles ist wo du dran kommst, wäre es wahrscheinlich sinnvoller jemanden zu beauftragen der sich damit auskennt z.b. von hier http://www.in-put.de/software/index.html .
Die Appliance ist meines Wissen nach nicht so eingestellt das man sie "produktiv" ohne weiteren Wartungsaufwand betreiben kann. Nach der Postfix Ausgabe zu urteilen gibt es schon in einer sehr frühen Phase Probleme, d.h. es sollte irgendwo ein panic,fatal,error zu finden sein.

BTW: Wir haben Ciphermail für ca. 60 Benutzer im Einsatz und korrekt eingestellt funktioniert es wirklich zuverlässig.

Gruß

Andi
Bitte warten ..
Mitglied: ukulele-7
06.02.2015 um 08:19 Uhr
Also ich gucke mir die Logs über Fast-SCP an. Ich habe noch eine mail.err die ist allerdings leer. Auch in den anderen Logs kann ich nichts zu error und panic finden.

Bisher hat es bei uns auch sehr gut Out-of-the-Box gearbeitet. Darf ich fragen ob ihr einen Supportvertrag für das Gateway habt und was der ca. kostet?

Ich werde auf jedenfall die neuste VM aufsetzten, damit muss ich aber aus Zeitgründen noch warten. Derzeit ist ja nur der Maileingang betroffen und wir haben leider niemanden der uns verschlüsselte Mails schickt.
Bitte warten ..
Mitglied: AndiEoh
06.02.2015 um 13:07 Uhr
Hallo,

also im Zweifelsfall nehm ich tcpdump auf Port 25 und schau mir genau an was passiert...
Da noch nicht mal TLS ausgehandelt wird sollte das kein Problem sein, womöglich ist das auch genau der Punkt das euer Provider per TLS einliefern will und das Postfix auf der Djigzo VM nicht entsprechend eingerichtet ist.

Wir haben zur Zeit keinen Supportvertrag, was aber daran liegt das wir ausreichend Kompetenz in Linux/E-Mail/DNS/PKI haben und auch die Zeit uns darum zu kümmern.

Wie gesagt vielleicht einfach mal Anfragen, geht auch direkt bei https://www.ciphermail.com/support.html.

Gruß

Andi
Bitte warten ..
Mitglied: ukulele-7
06.02.2015 um 13:42 Uhr
Also die Zeit mich zu kümmern bekomme ich auch, bei mir scheitert es etwas an Linux Kenntnissen. Bei akzeptablen Kosten wäre sicherlich auch einen Supportvertrag eine gute Wahl aber der derzeitigen Zahl von ca. 25 E-Mail Adressen an die verschlüsselt wird muss sich das schon in einem Rahmen bewegen.

TLS wird denke ich nicht das Problem sein. Im Moment glaube ich dem Provider das er nichts verändert hat, TLS wurde bisher nicht vorausgesetzt. Macht auch bei der Art von Provider kein Sinn, die E-Mails laufen schon über VPN rein.

Bevor ich jetzt mit TCP-Dumps anfange werde ich das Ding neu aufsetzen, der Aufwand ist sehr überschaubar. Ich bin aber erstmal im Urlaub, davor werde ich mich da nicht mehr rein hängen
Bitte warten ..
Ähnliche Inhalte
Linux
Postfix: Annahme von Mails
Frage von schneerunzelLinux

Hallo zusammen, ich habe seit über eine Jahr ein Zarafa Server mit einem Postfix dadrunter. Bisher hatten wir nur ...

Linux

Emails - komplette Domain über Postfix an Exchange(DynDNS) weiterleiten

Frage von insiderlaLinux2 Kommentare

Hallo Leute, ich habe einen Postfix-Server mit statischer IPv4 und möchte nun diesen als Spamfilter und Virenscanner (Spamasassin + ...

Linux

Postfix - Emails an bestimmte Domain über anderen SMTP zustellen

Frage von EvilmachineLinux1 Kommentar

Hallo, folgendes Problem. Unser Mailserver kann Emails nicht mehr an Google zustellen. Wir stehen auf keiner Blackliste und die ...

E-Mail

Exchange im lokalen Netzwerk - Email-Server (Postfix) im Internet

Frage von DestEE-Mail6 Kommentare

Hallo zusammen, meine Firma möchte gernen einen Exchnage 2013 im eigenen Netzwerk betreiben. Wir benötigen 5 E-Mail Adressen sowie ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall10 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Voice over IP
Vodafone IP Anlagenanschluss - TK-Anlage einrichten
Frage von BytedreherVoice over IP8 Kommentare

Moin Zusammen, wir hatten gestern bei uns die Umstellung auf den neuen IP Anschluss bei Vodafone. Vodafone IP Anlagenanschluss ...