temat (Serwer pocztowy na Linuxie) Problem z postfix i TLS w Internet domowy

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

aufy — Fri, 30 Jun 2023 14:38:52 GMT

Dzień dobry,

korzystając z internetu orange postanowiłem założyć własny serwer poczty. Używam Linuxa (Ubuntu), wszystko jest dobrze skonfigurowane. Poczta w pełni poprawnie do mnie przychodzi i wychodzi z tym, że poczta wychodząca gubi gdzieś TLS (v1.3) Zauważyłem, że mail który przychodzi z mojego serwera na pocztę na gmailu stracił TLS przy domenie tpnet.pl która należy oczywiście do Orange. Jak pozbyć się tego problemu? Jak pozbyć się domeny tpnet.pl która nie przekazuje poprawnie TLSa lub co zrobić aby ten TLS nie był tracony?

Modem to jakiś FunBox 2.0 (nie mam światłowodu, to neostrada)

Moja domena aufy.pl (MX mail.aufy.pl)

W załącznikach zdjęcia, które obrazują problem i działanie TLSa (które działa po mojej stronie chyba Ok)

________________
* Wstawiłem grafikę dodaną jako załącznik – moderator Michał

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

IreneuszCD — Fri, 30 Jun 2023 12:33:05 GMT

@aufy VPN?

Będą inne trasy.

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

pirenej — Fri, 30 Jun 2023 13:33:15 GMT

Nie tracisz żadnego TLSa, a komunikat jest mylący. Nie mówi że tpnet.pl ograbia wiadomość z TLS, ale że to nie tpnet.pl zaszyfrował tę wiadomość. Bo do zaszyfrowania została użyta Twoja domena aufy.pl. Tyle, że Twój DDNS wkazuje jako aufy.pl, poprzez CNAME, na Twoje łącze, które jednak nie jest Twoje, a operatora, więc rozwiązuje się revdnsem do tpnet.pl. Zdaje się, jest to urok stawiania serwera pocztowego na dynamicznym IP.

$ drill aufy.pl
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 40078
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; aufy.pl.	IN	A

;; ANSWER SECTION:
aufy.pl.	3600	IN	A	79.185.187.194

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 51 msec
;; SERVER: 194.204.159.1
;; WHEN: Fri Jun 30 15:24:16 2023
;; MSG SIZE  rcvd: 41

$ drill -x 79.185.187.194
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 54475
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; 194.187.185.79.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
194.187.185.79.in-addr.arpa.	43200	IN	PTR	adsb194.neoplus.adsl.tpnet.pl.

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 347 msec
;; SERVER: 194.204.159.1
;; WHEN: Fri Jun 30 15:25:08 2023
;; MSG SIZE  rcvd: 88

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

pirenej — Fri, 30 Jun 2023 13:46:17 GMT

... a tak w ogóle to masz certyfikat nieważny

$ openssl s_client -connect aufy.pl:995
CONNECTED(00000004)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = aufy.pl
verify error:num=10:certificate has expired
notAfter=Jun 28 16:12:51 2023 GMT
verify return:1
depth=0 CN = aufy.pl
notAfter=Jun 28 16:12:51 2023 GMT
verify return:1
---
Certificate chain
 0 s:CN = aufy.pl
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

aufy — Fri, 30 Jun 2023 14:25:11 GMT

Dzięki, już trochę rozumiem. Poczytałem trochę o tym RevDNS i doszedłem do wniosku, że żeby to ustawić muszę się z nimi skontaktować aby dodali odpowiednie rekordy u siebie. Bodajże to jest ten ich mail do składania takich próśb dns-pl@orange.com

Jeśli mogę prosić jeszcze o radę co powinienem im napisać, czego ode mnie potrzebują?

Czy będę musiał zmienić coś u siebie w konfiguracji (postfix) lub routerze? Zapewne będzie trzeba ustawić rekord PTR mojej domeny z tym nameserverem, który dostanę?

Do tej pory używałem rozwiązania NO-IP żeby pozbyć się problemu zmiennego IP ale z tego co rozumiem RevDNS może zastąpić te rozwiązanie?

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

Samotnick — Fri, 30 Jun 2023 14:31:49 GMT

Orange nie wpisze nic do swojego reversa. Nie w tej usłudze.

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

pirenej — Fri, 30 Jun 2023 14:36:39 GMT

Zacznij od odświeżenia certyfikatu.

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

j131 — Fri, 30 Jun 2023 14:49:13 GMT

@aufy

IMHO w tej usłudze nie da się skonfigurować w pełni poprawnie działającego serwera pocztowego. Operator raczej na to nie pozwoli.

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

aufy — Fri, 30 Jun 2023 16:44:12 GMT

Certyfikat jest już ważny (kwestia przeładowania serwera) Oczywiście zmian to nie dało. Dalej domena tpnet.pl nie zaszyfrowała wiadomości.

Czyli potrzebuję innej usługi? Zmiana na światłowód pomogłaby? (z tego co się orientuje w większości jak nie we wszystkich światłowodach IP jest stałe) W usłudze światłowodowej jest możliwość dodania przez operatora potrzebnych rekordów? Czy jest to w usługach jeszcze dodatkowo płatnych? Stałe IP zapewne również ma samo w sobie CNAME skierowany w ten sam sposób co przy zmiennym? Czy przy stałym IP ten problem po prostu nie istnieje?

Ewentualnie czy mam jeszcze jakieś możliwości? Oczywiście te zmienne IP nie jest samo w sobie dla mnie przeszkodą. Jak chce wysłać maila to mogę sobie na sztywno tymczasowo w rekord A dla domeny wlepić aktualne IP. Szukam tylko rozwiązania, żeby serwer działał w miarę w pełni poprawnie i w pełni funkcjonalności (aktualnie przez brak TLS wiadomości z mojego serwera lądują z reguły w spamie)

Cała ta zabawa jest głównie w celach edukacyjnych dla mnie i taki serwerek zawsze fajna rzecz 😁

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

pirenej — Fri, 30 Jun 2023 16:45:34 GMT

@aufynapisał(-a)
Cała ta zabawa jest głównie w celach edukacyjnych dla mnie i taki serwerek zawsze fajna rzecz 😁

wynajmij sobie vps na ovh, czy gdzieś, to się wyedukujesz. Mały vps do takiego celu nie jest drogi. 20-30zł miesięcznie. Jak już się podedukujesz, to możesz równolegle eksperymentować na domowym, porównując co się dzieje i dlaczego.

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

j131 — Fri, 30 Jun 2023 16:59:41 GMT

@aufy

Na FTTH będzie to samo.

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

pirenej — Fri, 30 Jun 2023 17:17:24 GMT

@aufynapisał(-a)

czy mógłbyś rozwinąć i pokazać "Więcej informacji"?

(Serwer pocztowy na Linuxie) Problem z postfix i TLS

aufy — Fri, 30 Jun 2023 18:33:17 GMT

Kliknięcie "Więcej informacji" po prostu przenosi na https://support.google.com/mail/answer/6330403?visit_id=638237466657437783-3513602231&p=tls&hl=pl&rd=1