LiveConfig v2.17.0

Hallo,

ab sofort steht LiveConfig v2.17.0 zum Download bereit. Neben kleineren Bugfixes und Detailverbesserungen bringt diese Version nun Unterstützung von SRS (Sender Rewriting Scheme). Die detaillierte Liste aller Änderungen findet sich wie immer im Änderungsverlauf.

Für SRS muss die Software PostSRSD in der Version 2.x verwendet werden. Für Debian/Ubuntu stellen wir hierfür ein entsprechendes Paket bereit ("lc-postsrsd"), da die Distributionen derzeit noch Version 1.x mit ausliefern. LiveConfig ermöglicht dann ein "Opt-In" für SRS - das Verfahren kann einzeln pro Postfach aktiviert/deaktiviert werden.

Viele Grüße

-Klaus Keppler

Danke für den Hinweis!

Wir werden das Paket in Kürze aktualisieren und ein AppArmor-Profil mit aufnehmen, um Problemen vorzubeugen.

Oh je.

Also... der Support für Outlook 2010 wurde von Microsoft bereits am 13.10.2020 eingestellt. Die Verwendung von 1024bit-DH-Parametern gilt inzwischen nicht mehr als sicher (wenn man das als Provider dennoch anbietet, dann kann das ein Risiko darstellen - NIS2 etc lassen grüßen).

Ich sehe hier prinzipiell zwei Lösungsansätze:

1. über eine Konfigurations-Anpassung erlauben Sie serverseitig weiterhin 1024 Bit DH-Parameter (s.u.), oder
2. der Kunde richtet einen TLS-Tunnel ein (z.B. mit stunnel), der auf Kundenseite "schwache" Verschlüsselung erlaubt und seinerseits eine sichere Verbindung zum Mailserver aufbaut

Vorträge über die (Un)sicherheit solcher alter Software können wir uns ja vermutlich sparen...

Variante (1) ließe sich einrichten, indem Sie eine Datei namens /etc/liveconfig/lua.d/postfix.lua anlegen, mit folgendem Inhalt:

postfix.LOCALMASTER = {
  ["submission"] = {
    ["inet"] = { "n", "-", "n", "-", "-", "smtpd", {
                 "-o syslog_name=postfix/submission",
                 "-o smtpd_sasl_auth_enable=yes",
                 "-o smtpd_client_restrictions=permit_sasl_authenticated,reject",
                 "-o smtpd_helo_required=no",
                 "-o smtpd_helo_restrictions=",
                 "-o smtpd_tls_dh1024_param_file=/etc/postfix/dh1024.pem"
               } }
  }
}

Prüfen Sie ggf. ob in Ihrer /etc/postfix/master.cf noch andere Optionen für den "submission"-Service gesetzt sind und nehmen diese hier ggf. mit auf. Wichtig ist eben die Option smtpd_tls_dh1024_param_file, um die alten DH-Parameter auch zu unterstützen.

(eventuell muss noch die Option -o cleanup_service_name=cleanupfilter aufgenommen werden, wenn die IP-Adresse bei Submission aus den Received-Headern entfernt werden soll)

Anschließend LiveConfig neu starten und die Postfix-Konfiguration neu schreiben lassen.

Argh... danke! Eben behoben. Bitte LiveConfig neu starten (aktualisiert das Repo), alternativ 24 Std warten.

Zitat von kroerig

Hab gerade auch mal in meine main.cf geschaut. Da stehen zwei Zeilen drin:

Code

smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh512.pem

Ab Postfix 3.6 wird die untere Zeile stillschweigend ignoriert. Sollte LC die dann nicht auch rausnehmen, wenn sie in Bestandsinstallationen noch vorhanden ist?

Danke, das werden wir prüfen! Die DH512-Parameter machen in dem Zusammenhang wirklich keinen Sinn mehr. Wird also voraussichtlich mit dem nächsten Update ebenfalls entfernt.

Zitat von kroerig

Lässt sich das auch per Default für alle externen Weiterleitungen aktivieren? Der gemeine Anwender kann mit dieser Funktion i.d.R. nichts anfangen. Er ist es aber gewohnt, dass Weiterleitungen bei den großen Anbietern einfach funktionieren und da muss nichts extra aktiviert werden. Die wenden einfach SRS an, der Nutzer bekommt davon ja nichts mit.

Wir wollten bewusst erst einmal mit einer "Opt-In"-Variante starten, um eventuelle Probleme frühzeitig zu erkennen.

Die Architektur von Postfix - so flexibel diese sein mag - ist gerade bei SRS leider eher etwas nachteilig, weil anzupassende E-Mails da sehr speziell nach dem Umschreiben erneut in die Queue gesteckt werden müssen. Hier möchten/müssen wir vermeiden, dass bei diesem erneuten Queueing auch wieder Spamfilter, DKIM usw. nochmal angewendet werden, SPF keinen Ärger macht, usw...

Wenn sich die SRS-Integration als soweit stabil "at scale" erweist, werden wir auch eine Möglichkeit bereitstellen, SRS als Default zu aktivieren und ggf. ein "SRS-Opt-Out" pro Postfach anzubieten.