rincewind0803
-
Posts
20 -
Joined
-
Last visited
Posts posted by rincewind0803
-
-
Ich probiere das aus, Danke für die Hilfe !
-
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_cert_file = /etc/ssl/froxlor-custom/mail.mein-server.de_fullchain.pem
smtpd_tls_key_file = /etc/ssl/froxlor-custom/mail.mein-server.de.key
smtpd_tls_CAfile = /etc/ssl/froxlor-custom/mail.mein-server.de_CA.pem
smtpd_tls_security_level = may
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes -
Ich habe ja nichts verändert, mail Empfang läuft ja nach wie vor, bis auf mittlerweile 2 Firmen die plötzlich keine mail mehr an mich verschicken können.
23 hours ago, d00p said:Welche protokolle sind denn aktiv?
postconf | grep smtpd_tls_protocolsroot@mail:~# postconf | grep smtpd_tls_protocols
smtpd_tls_protocols = !SSLv2, !SSLv3
tlsproxy_tls_protocols = $smtpd_tls_protocols
14 hours ago, d00p said:Probier doch einfach alle? 25, 587, 465...
marcus@marcus-desktop:~$ openssl s_client -starttls smtp -crlf -connect mein-server.de:587 CONNECTED(00000003) depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = R3 verify return:1 depth=0 CN = mail.mein-server.de verify return:1 --- Certificate chain 0 s:CN = mail.mein-server.de i:C = US, O = Let's Encrypt, CN = R3 a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256 v:NotBefore: Mar 9 22:02:11 2024 GMT; NotAfter: Jun 7 22:02:10 2024 GMT 1 s:C = US, O = Let's Encrypt, CN = R3 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1 a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Sep 4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT --- Server certificate -----BEGIN CERTIFICATE----- MIIEaTCCA1GgAwIBAgISBEnvZDItomrNNZQs+zuNr/J0MA0GCSqGSIb3DQEBCwUA MDIxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD EwJSMzAeFw0yNDAzMDkyMjAyMTFaFw0yNDA2MDcyMjAyMTBaMCExHzAdBgNVBAMT Fm1haWwuYW53YWx0LWNhc3Ryb3AuZGUwdjAQBgcqhkjOPQIBBgUrgQQAIgNiAATi XdjyHLJCGbTn0Kt8tSl7DCdkjFp6C8t8xxuy9FzgkQG8GCfSnGyGikY+vNLM3hY5 v3ZQeprTqlb8+QvogHbWKHvu0Bwn4AiFxCYIr9Hx11qQ/Y25sH4X7xjf5FujCc2j ggI2MIICMjAOBgNVHQ8BAf8EBAMCB4AwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsG AQUFBwMCMAwGA1UdEwEB/wQCMAAwHQYDVR0OBBYEFMYRNbOt1P1WPAD6a22eqjKr 5qu2MB8GA1UdIwQYMBaAFBQusxe3WFbLrlAJQOYfr52LFMLGMFUGCCsGAQUFBwEB BEkwRzAhBggrBgEFBQcwAYYVaHR0cDovL3IzLm8ubGVuY3Iub3JnMCIGCCsGAQUF BzAChhZodHRwOi8vcjMuaS5sZW5jci5vcmcvMD0GA1UdEQQ2MDSCFm1haWwuYW53 YWx0LWNhc3Ryb3AuZGWCGnd3dy5tYWlsLmFud2FsdC1jYXN0cm9wLmRlMBMGA1Ud IAQMMAowCAYGZ4EMAQIBMIIBBgYKKwYBBAHWeQIEAgSB9wSB9ADyAHcAO1N3dT4t uYBOizBbBv5AO2fYT8P0x70ADS1yb+H61BcAAAGOJXPV0QAABAMASDBGAiEA8NTr nGsJzlH+SJ4/gbC+Z6lqXMqwU4qJMTBrVPHFH5ICIQCzKzY1A2DzzFwa1J2ca/7A l6cqo4eUwUVMncK+0AKF6wB3AO7N0GTV2xrOxVy3nbTNE6Iyh0Z8vOzew1FIWUZx H7WbAAABjiVz1dgAAAQDAEgwRgIhAIw+BcyCG7nz3VcZospnlyrrJ5IBQGV6SS2l CaEUUaT0AiEAoxfb+6rHUAAGHtzF6+pvx05FfDc4jnbl7Vhttg45OrAwDQYJKoZI hvcNAQELBQADggEBAIW/TZwCvWFpyswjcZMg1Pd9ZmEnvd4OJvtS+7ssWJ135k4f gXof9didIU+BeZ7mCuVd3weeICBgZ6N1y0NV7mCkbipUTHh6Oq8+Ge9eCJCWihN1 W6oTBDsZlUjRxZSblqHOdgIKjLA7iuHwphyA2cOxa3vO+YZPHGqqVw47nlJNj+PP HDS9UPeAlISmly7gVKtDDSntB6/FBK3YmYftsz5D4mgj8xoOkkaQ3v0i3jEkKq7l 7qSEeobxTLY1y9vJ0DOEtBaPoMdXuaYPix1B4QcWmytrqssoKMqV4lY0AJp96ukC OxtE3hYT8gUnbUKSL+jxtnCBVfnHKBFisW+dN5s= -----END CERTIFICATE----- subject=CN = mail.mein-server.de issuer=C = US, O = Let's Encrypt, CN = R3 --- No client certificate CA names sent Peer signing digest: SHA384 Peer signature type: ECDSA Server Temp Key: X25519, 253 bits --- SSL handshake has read 3068 bytes and written 432 bytes Verification: OK --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 384 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- 250 DSN --- Post-Handshake New Session Ticket arrived: SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: 88AFD7EC65487372738552E7C079955E8BB11B8429473008F3BA5533112C2378 Session-ID-ctx: Resumption PSK: 4FD14209543187DAC7D78E504D402E36DF9C9C0E9FFFB2857714D1EDD5C1A2AC69F9E2918A3E549A57852A9EFDDC9D3D PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 7200 (seconds) TLS session ticket: 0000 - 29 a0 cc ab bc 95 9f 11-2c 7b f1 d9 78 a4 f4 b5 ).......,{..x... 0010 - 7a 7f f9 b3 e3 69 c0 26-45 da fd c0 8d 9c dc 66 z....i.&E......f 0020 - 7d b8 c6 1d 1d b1 db d9-c8 55 da d4 c6 c2 11 93 }........U...... 0030 - e8 3a 23 6e 14 a5 0f 13-5f 66 1d 45 70 44 46 5c .:#n...._f.EpDF\ 0040 - 95 ed 0f 7c 6f 70 19 1d-ad 9d a1 a7 7e a2 68 17 ...|op......~.h. 0050 - 64 e7 4a 53 1b 26 89 c6-1d ba a3 f9 96 b2 d9 c5 d.JS.&.......... 0060 - c9 4e 29 fd 22 e3 6d a0-a2 59 28 01 5d 29 9e db .N).".m..Y(.]).. 0070 - 2b c7 de 9e 2b e9 3f ee-70 b9 78 c0 51 b0 1a 82 +...+.?.p.x.Q... 0080 - 78 5c a5 1a e6 17 3c 6e-f1 9e d8 db e3 65 93 8d x\....<n.....e.. 0090 - 1e 96 8e fd d5 d7 79 73-75 ee da 53 c7 86 03 5c ......ysu..S...\ 00a0 - 92 d0 37 fb d6 dc cf d1-0c bc 36 3c 2b c1 7e 0a ..7.......6<+.~. 00b0 - 9b 6a 6d 2c 47 49 5a 5d-2d 9f 34 35 47 a8 f4 84 .jm,GIZ]-.45G... 00c0 - a7 45 27 dc 69 b3 1a de-c0 1f b6 02 3f 09 f4 8a .E'.i.......?... Start Time: 1710663731 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Max Early Data: 0 --- read R BLOCK ^C marcus@marcus-desktop:~$ marcus@marcus-desktop:~$ openssl s_client -starttls smtp -crlf -connect mein-server.de:25 CONNECTED(00000003) depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = R3 verify return:1 depth=0 CN = mail.mein-server.de verify return:1 --- Certificate chain 0 s:CN = mail.mein-server.de i:C = US, O = Let's Encrypt, CN = R3 a:PKEY: id-ecPublicKey, 384 (bit); sigalg: RSA-SHA256 v:NotBefore: Mar 9 22:02:11 2024 GMT; NotAfter: Jun 7 22:02:10 2024 GMT 1 s:C = US, O = Let's Encrypt, CN = R3 i:C = US, O = Internet Security Research Group, CN = ISRG Root X1 a:PKEY: rsaEncryption, 2048 (bit); sigalg: RSA-SHA256 v:NotBefore: Sep 4 00:00:00 2020 GMT; NotAfter: Sep 15 16:00:00 2025 GMT --- Server certificate -----BEGIN CERTIFICATE----- MIIEaTCCA1GgAwIBAgISBEnvZDItomrNNZQs+zuNr/J0MA0GCSqGSIb3DQEBCwUA MDIxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MQswCQYDVQQD EwJSMzAeFw0yNDAzMDkyMjAyMTFaFw0yNDA2MDcyMjAyMTBaMCExHzAdBgNVBAMT Fm1haWwuYW53YWx0LWNhc3Ryb3AuZGUwdjAQBgcqhkjOPQIBBgUrgQQAIgNiAATi XdjyHLJCGbTn0Kt8tSl7DCdkjFp6C8t8xxuy9FzgkQG8GCfSnGyGikY+vNLM3hY5 v3ZQeprTqlb8+QvogHbWKHvu0Bwn4AiFxCYIr9Hx11qQ/Y25sH4X7xjf5FujCc2j ggI2MIICMjAOBgNVHQ8BAf8EBAMCB4AwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsG AQUFBwMCMAwGA1UdEwEB/wQCMAAwHQYDVR0OBBYEFMYRNbOt1P1WPAD6a22eqjKr 5qu2MB8GA1UdIwQYMBaAFBQusxe3WFbLrlAJQOYfr52LFMLGMFUGCCsGAQUFBwEB BEkwRzAhBggrBgEFBQcwAYYVaHR0cDovL3IzLm8ubGVuY3Iub3JnMCIGCCsGAQUF BzAChhZodHRwOi8vcjMuaS5sZW5jci5vcmcvMD0GA1UdEQQ2MDSCFm1haWwuYW53 YWx0LWNhc3Ryb3AuZGWCGnd3dy5tYWlsLmFud2FsdC1jYXN0cm9wLmRlMBMGA1Ud IAQMMAowCAYGZ4EMAQIBMIIBBgYKKwYBBAHWeQIEAgSB9wSB9ADyAHcAO1N3dT4t uYBOizBbBv5AO2fYT8P0x70ADS1yb+H61BcAAAGOJXPV0QAABAMASDBGAiEA8NTr nGsJzlH+SJ4/gbC+Z6lqXMqwU4qJMTBrVPHFH5ICIQCzKzY1A2DzzFwa1J2ca/7A l6cqo4eUwUVMncK+0AKF6wB3AO7N0GTV2xrOxVy3nbTNE6Iyh0Z8vOzew1FIWUZx H7WbAAABjiVz1dgAAAQDAEgwRgIhAIw+BcyCG7nz3VcZospnlyrrJ5IBQGV6SS2l CaEUUaT0AiEAoxfb+6rHUAAGHtzF6+pvx05FfDc4jnbl7Vhttg45OrAwDQYJKoZI hvcNAQELBQADggEBAIW/TZwCvWFpyswjcZMg1Pd9ZmEnvd4OJvtS+7ssWJ135k4f gXof9didIU+BeZ7mCuVd3weeICBgZ6N1y0NV7mCkbipUTHh6Oq8+Ge9eCJCWihN1 W6oTBDsZlUjRxZSblqHOdgIKjLA7iuHwphyA2cOxa3vO+YZPHGqqVw47nlJNj+PP HDS9UPeAlISmly7gVKtDDSntB6/FBK3YmYftsz5D4mgj8xoOkkaQ3v0i3jEkKq7l 7qSEeobxTLY1y9vJ0DOEtBaPoMdXuaYPix1B4QcWmytrqssoKMqV4lY0AJp96ukC OxtE3hYT8gUnbUKSL+jxtnCBVfnHKBFisW+dN5s= -----END CERTIFICATE----- subject=CN = mail.mein-server.de issuer=C = US, O = Let's Encrypt, CN = R3 --- No client certificate CA names sent Peer signing digest: SHA384 Peer signature type: ECDSA Server Temp Key: X25519, 253 bits --- SSL handshake has read 3111 bytes and written 432 bytes Verification: OK --- New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Server public key is 384 bit Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated Early data was not sent Verify return code: 0 (ok) --- 250 DSN --- Post-Handshake New Session Ticket arrived: SSL-Session: Protocol : TLSv1.3 Cipher : TLS_AES_256_GCM_SHA384 Session-ID: B0FA5370185DD9F1F98B49E9F52DA8D4C1966C6D48F9121A5D3A5EE524E6F344 Session-ID-ctx: Resumption PSK: F7704271E7EB00A87AA9DDE56A3F16B4B555A1562ABC77202CF37298C08BF29766B20EF345B1EE86E3617B2EAB7BD83D PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 7200 (seconds) TLS session ticket: 0000 - 29 a0 cc ab bc 95 9f 11-2c 7b f1 d9 78 a4 f4 b5 ).......,{..x... 0010 - 31 59 fc f5 64 e8 1d fb-eb d9 a1 e4 98 97 c9 d2 1Y..d........... 0020 - e6 98 3b af 2a 49 f0 66-53 e2 3a b8 b9 5b 8b 47 ..;.*I.fS.:..[.G 0030 - 6a 42 1e 7a f7 14 fe 7c-be 2c 2c 53 8e 82 73 ee jB.z...|.,,S..s. 0040 - 29 c4 fe b8 e3 8f 72 81-45 b0 ae 17 a3 16 60 87 ).....r.E.....`. 0050 - 46 8b ed 9f 51 cf 56 71-d9 6b 5b ac 2c 08 15 1f F...Q.Vq.k[.,... 0060 - 61 51 ef 72 e6 a5 81 3b-cc b8 6d 7c 73 c5 3a 37 aQ.r...;..m|s.:7 0070 - 09 77 cc 87 b0 60 ca 8b-26 5e e4 5c 19 63 cd 2a .w...`..&^.\.c.* 0080 - 08 e1 3d 73 9b 4e 19 dd-02 03 07 bd 8d 30 85 50 ..=s.N.......0.P 0090 - 13 a5 4f 35 df 7a f6 94-7a 57 39 03 40 98 b3 ee ..O5.z..zW9.@... 00a0 - 25 bb 3f 27 5d 1c e1 84-bb 07 3e eb cf ae df d6 %.?'].....>..... 00b0 - 01 d8 1b bc 16 7d 20 34-28 c9 f5 bb 19 6f 96 d3 .....} 4(....o.. 00c0 - 19 3a 3c 6e 24 75 76 ef-6c c1 62 3c 85 c1 02 38 .:<n$uv.l.b<...8 Start Time: 1710663755 Timeout : 7200 (sec) Verify return code: 0 (ok) Extended master secret: no Max Early Data: 0 --- read R BLOCK -
So sah eine mailzustellung bis vor kurzem aus(leider nur loglevel1):
Feb 26 10:20:40 mail postfix/smtpd[27702]: D7BABC00B2: client=IPMAIL1.FremderMailserver.de[fre.mde.ip.adr] Feb 26 10:20:40 mail postfix/cleanup[27710]: D7BABC00B2: message-id=<197633.32352.240226102034.000000196@absen.der> Feb 26 10:20:40 mail opendkim[549]: D7BABC00B2: IPMAIL1.FremderMailserver.de [fre.mde.ip.adr] not internal Feb 26 10:20:40 mail opendkim[549]: D7BABC00B2: not authenticated Feb 26 10:20:40 mail postfix/qmgr[898]: D7BABC00B2: from=<noreply@absen.der>, size=5280, nrcpt=1 (queue active) Feb 26 10:20:44 mail postfix/pickup[27079]: C67DDC0429: uid=2002 from=<noreply@absen.der> Feb 26 10:20:44 mail postfix/pipe[27712]: D7BABC00B2: to=<meine@email.de>, relay=spamassassin, delay=10, delays=6.2/0/0/3.9, dsn=2.0.0, status=sent (delivered via spamassassin service) Feb 26 10:20:44 mail postfix/qmgr[898]: D7BABC00B2: removed Feb 26 10:20:44 mail postfix/cleanup[27710]: C67DDC0429: message-id=<197633.32352.240226102034.000000196@absen.der> Feb 26 10:20:44 mail opendkim[549]: C67DDC0429: no signing table match for 'noreply@absen.der' Feb 26 10:20:44 mail postfix/qmgr[898]: C67DDC0429: from=<noreply@absen.der>, size=5677, nrcpt=1 (queue active) Feb 26 10:20:44 mail dovecot: lda(meine@email.de)<27717><1PdWMuxX3GVFbAAAgFDlXQ>: msgid=<197633.32352.240226102034.000000196 @absen.der>: saved mail to INBOX
und das ist die aktuelle version:
Mar 15 14:54:51 mail postfix/smtpd[526021]: initializing the server-side TLS engine Mar 15 14:54:51 mail postfix/smtpd[526021]: connect from IPMAIL2.FremderMailserver.de[fre.mde.ip.adr] Mar 15 14:54:52 mail postfix/smtpd[526021]: setting up TLS connection from IPMAIL2.FremderMailserver.de[fre.mde.ip.adr] Mar 15 14:54:52 mail postfix/smtpd[526021]: IPMAIL2.FremderMailserver.de[fre.mde.ip.adr]: TLS cipher list "aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH" Mar 15 14:54:52 mail postfix/smtpd[526021]: SSL_accept:before SSL initialization Mar 15 14:54:52 mail postfix/smtpd[526021]: read from 5575CD4F68E0 [5575CD4FD273] (5 bytes => -1 (0xFFFFFFFFFFFFFFFF)) Mar 15 14:54:52 mail postfix/smtpd[526021]: read from 5575CD4F68E0 [5575CD4FD273] (5 bytes => 5 (0x5)) Mar 15 14:54:52 mail postfix/smtpd[526021]: 0000 16 03 01 00 b3 ..... Mar 15 14:54:52 mail postfix/smtpd[526021]: read from 5575CD4F68E0 [5575CD4FD278] (179 bytes => 179 (0xB3)) Mar 15 14:54:52 mail postfix/smtpd[526021]: 0000 01 00 00 af 03 03 3e c5|66 00 b8 40 36 fc 88 6b ......>. f..@6..k Mar 15 14:54:52 mail postfix/smtpd[526021]: 0010 8f c1 02 68 b3 96 35 9c|87 14 6f 1f 52 a3 fe f3 ...h..5. ..o.R... Mar 15 14:54:52 mail postfix/smtpd[526021]: 0020 e7 b0 0c cf 71 a1 00 00|36 c0 2c c0 30 c0 2b c0 ....q... 6.,.0.+. Mar 15 14:54:52 mail postfix/smtpd[526021]: 0030 2f 00 9f 00 9e cc a9 cc|a8 c0 24 c0 28 c0 23 c0 /....... ..$.(.#. Mar 15 14:54:52 mail postfix/smtpd[526021]: 0040 27 cc aa 00 6b 00 67 c0|09 c0 13 00 33 00 9d c0 '...k.g. ....3... Mar 15 14:54:52 mail postfix/smtpd[526021]: 0050 9d 00 9c c0 9c 00 3d 00|3c 00 35 00 2f 00 ff 01 ......=. <.5./... Mar 15 14:54:52 mail postfix/smtpd[526021]: 0060 00 00 50 00 0b 00 04 03|00 01 02 00 0a 00 04 00 ..P..... ........ Mar 15 14:54:52 mail postfix/smtpd[526021]: 0070 02 00 17 00 23 00 00 00|16 00 00 00 17 00 00 00 ....#... ........ Mar 15 14:54:52 mail postfix/smtpd[526021]: 0080 0d 00 30 00 2e 04 03 05|03 06 03 08 07 08 08 08 ..0..... ........ Mar 15 14:54:52 mail postfix/smtpd[526021]: 0090 09 08 0a 08 0b 08 04 08|05 08 06 04 01 05 01 06 ........ ........ Mar 15 14:54:52 mail postfix/smtpd[526021]: 00a0 01 03 03 02 03 03 01 02|01 03 02 02 02 04 02 05 ........ ........ Mar 15 14:54:52 mail postfix/smtpd[526021]: 00b0 02 06 02 ... Mar 15 14:54:52 mail postfix/smtpd[526021]: SSL_accept:before SSL initialization Mar 15 14:54:52 mail postfix/smtpd[526021]: write to 5575CD4F68E0 [5575CD506450] (7 bytes => 7 (0x7)) Mar 15 14:54:52 mail postfix/smtpd[526021]: 0000 15 03 03 00 02 02 28 ......( Mar 15 14:54:52 mail postfix/smtpd[526021]: SSL3 alert write:fatal:handshake failure Mar 15 14:54:52 mail postfix/smtpd[526021]: SSL_accept:error in error Mar 15 14:54:52 mail postfix/smtpd[526021]: SSL_accept error from IPMAIL2.FremderMailserver.de[fre.mde.ip.adr]: -1 Mar 15 14:54:52 mail postfix/smtpd[526021]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:../ssl/statem/statem_srvr.c:2283: Mar 15 14:54:52 mail postfix/smtpd[526021]: lost connection after STARTTLS from IPMAIL2.FremderMailserver.de[fre.mde.ip.adr] Mar 15 14:54:52 mail postfix/smtpd[526021]: disconnect from IPMAIL2.FremderMailserver.de[fre.mde.ip.adr] ehlo=1 starttls=0/1 commands=1/2 -
Es läuft Postfix 3.5.25 auf einem Debian 11.
Hier die Angaben zu den Ciphers
root@mail:~# postconf -d | grep cipher lmtp_tls_ciphers = medium lmtp_tls_exclude_ciphers = lmtp_tls_mandatory_ciphers = medium lmtp_tls_mandatory_exclude_ciphers = milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer} smtp_tls_ciphers = medium smtp_tls_exclude_ciphers = smtp_tls_mandatory_ciphers = medium smtp_tls_mandatory_exclude_ciphers = smtpd_tls_ciphers = medium smtpd_tls_exclude_ciphers = smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = tls_export_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH tls_high_cipherlist = aNULL:-aNULL:HIGH:@STRENGTH tls_low_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:+RC4:@STRENGTH tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH tls_null_cipherlist = eNULL:!aNULL tls_preempt_cipherlist = no tls_session_ticket_cipher = aes-256-cbc tlsproxy_tls_ciphers = $smtpd_tls_ciphers tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers tlsproxy_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers -
Das hatte ich auch vor Kurzem, wollte dir grade den Tipp geben das SSL Zertifikat im Froxlor Panel zu löschen, so hat es bei mir damals geklappt. Zertifikat wurde beim nächsten Cron automatisch erstellt und seit dem immer erneuert.
Stelle aber fest dass es diese Option scheinbar gar nicht mehr gibt. Ich bin alt und verwirrt....
-
Hallo zusammen,
Ich grüble hier seit ein paar tagen über ein Problem im Postfix.
Ich habe eine seit 2-3 Jahren fehlerfrei laufende Froxlor Installation und plötzlich kann ein bestimmter absendender Mailserver keine Mails mehr an mich verschicken.
Postfix Log sagt:warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipherIch hatte zuerst den Cron im Verdacht, da gab es mal das Problem dass er das Cert für den Froxlor selber nicht erneuerte(ich nutze das auch für Postfox/dovecot), aber das Cert wurde automatisch am 09.03. 23:45 erneuert.
Ich bekomme von diesem Mailserver regelmäßig Mails, interessanterweise keine mehr nach der Zertifikatserneuerung.
An der Config Froxlor/LetsEncrypt/Postfix wurde nichts verändert in diesem Zeitraum.
Weiss jemand ob sich in der lezten Zeit etwas in der Art wie Froxlor die Zertifikate erneuert etwas verändert hat ? Oder gab es in den letzten Monaten Änderungen bei Letsencrypt ?
Ist das vielleicht nur Zufall und ich muss ganz woanders gucken ?Bin für jeden Hinweis Dankbar.
-
So sieht das hier aus:
# 10_froxlor_ipandport_xxx.yyy.zzz.154.443.conf
# Created 13.03.2023 09:16
# Do NOT manually edit this file, all changes will be deleted after the next domain change at the panel.Listen xxx.yyy.zzz.154:443
<VirtualHost xxx.yyy.zzz.154:443>
DocumentRoot "/var/www"
ServerName mailserver.domain.de
ServerAlias mailserver.domain.de
<Directory "/lib/">
<Files "userdata.inc.php">
Require all denied
</Files>
</Directory>
<DirectoryMatch "^/(bin|cache|logs|tests|vendor)/">
Require all denied
</DirectoryMatch>
<FilesMatch \.(php)$>
SetHandler proxy:unix:/var/lib/apache2/fastcgi/4-froxlor.panel-mailserver.domain.de-php-fpm.socket|fcgi://localhost
</FilesMatch>
SSLEngine On
SSLProtocol -ALL +TLSv1.1 +TLSv1.2
SSLCompression Off
SSLSessionTickets on
SSLHonorCipherOrder off
SSLCipherSuite ECDH+AESGCM:ECDH+AES256:!aNULL:!MD5:!DSS:!DH:!AES128
SSLVerifyDepth 10
SSLCertificateFile /etc/ssl/froxlor-custom/mailserver.domain.de.crt
SSLCertificateKeyFile /etc/ssl/froxlor-custom/mailserver.domain.de.key
SSLCACertificateFile /etc/ssl/froxlor-custom/mailserver.domain.de_CA.pem
SSLCertificateChainFile /etc/ssl/froxlor-custom/mailserver.domain.de_chain.pem
</VirtualHost> -
Ja, alle anderen werden erneuert, nur dass vom VHOST nicht.
Lösche ich das aber im SSL.Zertifikate Menü wird auch das erneuert. -
Hallo,
Ich beobachte hier folgendes Problem und habe keine Idee wo ich den Fehler suchen soll.Ich betreibe vier Server jeweils mir Debian 10 und 11 alle von Froxlor V1 auf V2 upgedatet.
Ich habe Le_Webroot Cron erledigt und trotzem wird das SSL Zertifikat für den Froxlor VHOST nicht erneuert. Alle im Domain/Kundenbereich angelegten SSL Zertifikate werden jedoch problemlos rechtzeitig erneuert.
Der Cronjob läuft ohne Fehler durch.Ich kann mir behelfen in dem ich das Zertifikat unter SSL-Zertifikate lösche, dann wird es sofort erneuert aber dann muss ich halt immer dran denken. 🤨
Hat das sonst noch jemand beobachtet und kann mir einen Tipp geben ?
-
Ja, Super, das hat funktioniert!
-
Hallo Zusammen !
Ich hab was dummes gemacht:
Ich benutze das Let's Encrypt Zertifikat meines VHOSTS auch für Postfix und dovecot.
Weil sich einige Mail - Clients seit gestern beschwert haben (Abgelaufenes intermediate Zertifikat) wollte ich ein neues Zertifikat generieren.
Ich habe unter SSL - Zertifikate das Zertifikat des Froxlor Panels gelöscht und den CRONJob angeworfen aber leider scheint er das komplett zu ignorieren.
Alle angelegten Kundendomains erneuert er auf diesem Wege klaglos, das Froxlor hostname/vhost/panel Zertifikat aber leider nicht.....
Hatte das schon mal wer ? -
Guter Tipp !
Falls es jemandem hilft:
Ich hatte das in Hochkommata gesetzt (hatte ohne ' ' auch nicht funktioniert) weil ich vermutete das die Sonderzeichen im Passwort Probleme verursachen (ich hatte : und # drin ).
Ohne Hochkommata und ein weniger komplexes Passwort haben das Problem behoben.
Steht vermutlich irgendwo in der Doku und ich habs nicht gelesen.... -
Hallo,
Ich habe froxlor neu aufgesetzt auf ein Buster minimal.
Mein Dovecot mag sich nicht mit der Datenbank verbinden:
vps dovecot: auth-worker(1161): Error: mysql(127.0.0.1): Connect failed to database (froxlor): Access denied for user 'froxlor'@'localhost' (using password: YES) - waiting for 1 seconds before retryIn der /etc/dovecot/dovecot-sql.conf.ext steht, ich habe auch schon localhost statt 127.0.0.1 probiert
connect = host=127.0.0.1 dbname=froxlor user=froxlor password='richtiges_passwort'Das Kennwort ist korrekt, ich kann mich auf der Konsole mit mysql verbinden.
Es gibt den User froxlor@127.0.0.1 froxlor@localhost und froxlor@ext_ip alle haben grant_all für froxlor und das Kennwort ist bei allen gleich.
Hat wer eine Idee ?
-
Interessant...
Eine root mail wie du sie bekommst habe ich nicht, ich bekomme nur täglich:
[Wed Mar 3 00:04:21 CET 2021] www.xxxx.de:Verify error:Invalid response from https://www.xxxx.de/.well-known/acme-challenge/OXqMYdHr2UWos6j5V4sE-Qave0cvEQfvLy5ACNQs4mI [185.183.158.65]: [Wed Mar 3 00:04:21 CET 2021] Please add '--debug' or '--log' to check more details. [Wed Mar 3 00:04:21 CET 2021] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh [Wed Mar 3 00:04:21 CET 2021] Error renew www.xxxx.de.Ich bin einigermaßen Ratlos... Kann man Domains falsch löschen ?
Muß man vielleicht zuerst das SSL Zertifikat löschen bevor man die Domain löscht ?
-
Hallo,
Ich habe in meiner Debian, Apache, php-fpm installation die Beobachtung gemacht, daß sowohl wenn man einen Kunden, als auch wenn man eine Domain löscht, die Konfiguration für Letsencrypt nicht aus dem root Ordner entfernt werden. Ich bekomme immer wenn der Cronjob läuft eine Fehlermeldung. (Die Domains befinden sich mittlerweile auf einem anderen Server.)
Das Löschen der Ordner der Domains von Hand behebt das Problem.
Viele Grüße und weiter so!
Marcus
Nach neuem LE Cert Probleme mit Postfix "tls_post_process_client_hello:no shared cipher"
in German / Deutsch
Posted
Update: auch mit den Mozilla Einträgen will das nicht klappen, ich werde mal den gegnerischen Support bemühen.