(Serwer pocztowy na Linuxie) Problem z postfix i TLS

aufy · ‎30-06-2023

Dzień dobry,

korzystając z internetu orange postanowiłem założyć własny serwer poczty. Używam Linuxa (Ubuntu), wszystko jest dobrze skonfigurowane. Poczta w pełni poprawnie do mnie przychodzi i wychodzi z tym, że poczta wychodząca gubi gdzieś TLS (v1.3) Zauważyłem, że mail który przychodzi z mojego serwera na pocztę na gmailu stracił TLS przy domenie tpnet.pl która należy oczywiście do Orange. Jak pozbyć się tego problemu? Jak pozbyć się domeny tpnet.pl która nie przekazuje poprawnie TLSa lub co zrobić aby ten TLS nie był tracony?

Modem to jakiś FunBox 2.0 (nie mam światłowodu, to neostrada)

Moja domena aufy.pl (MX mail.aufy.pl)

W załącznikach zdjęcia, które obrazują problem i działanie TLSa (które działa po mojej stronie chyba Ok)

________________
* Wstawiłem grafikę dodaną jako załącznik – moderator Michał

IreneuszCD · ‎30-06-2023

@aufy VPN?

Będą inne trasy.

pirenej · ‎30-06-2023

Nie tracisz żadnego TLSa, a komunikat jest mylący. Nie mówi że tpnet.pl ograbia wiadomość z TLS, ale że to nie tpnet.pl zaszyfrował tę wiadomość. Bo do zaszyfrowania została użyta Twoja domena aufy.pl. Tyle, że Twój DDNS wkazuje jako aufy.pl, poprzez CNAME, na Twoje łącze, które jednak nie jest Twoje, a operatora, więc rozwiązuje się revdnsem do tpnet.pl. Zdaje się, jest to urok stawiania serwera pocztowego na dynamicznym IP.

$ drill aufy.pl
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 40078
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; aufy.pl.	IN	A

;; ANSWER SECTION:
aufy.pl.	3600	IN	A	79.185.187.194

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 51 msec
;; SERVER: 194.204.159.1
;; WHEN: Fri Jun 30 15:24:16 2023
;; MSG SIZE  rcvd: 41

$ drill -x 79.185.187.194
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 54475
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 
;; QUESTION SECTION:
;; 194.187.185.79.in-addr.arpa.	IN	PTR

;; ANSWER SECTION:
194.187.185.79.in-addr.arpa.	43200	IN	PTR	adsb194.neoplus.adsl.tpnet.pl.

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 347 msec
;; SERVER: 194.204.159.1
;; WHEN: Fri Jun 30 15:25:08 2023
;; MSG SIZE  rcvd: 88

pirenej · ‎30-06-2023

... a tak w ogóle to masz certyfikat nieważny

$ openssl s_client -connect aufy.pl:995
CONNECTED(00000004)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = aufy.pl
verify error:num=10:certificate has expired
notAfter=Jun 28 16:12:51 2023 GMT
verify return:1
depth=0 CN = aufy.pl
notAfter=Jun 28 16:12:51 2023 GMT
verify return:1
---
Certificate chain
 0 s:CN = aufy.pl
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3

aufy · ‎30-06-2023

Dzięki, już trochę rozumiem. Poczytałem trochę o tym RevDNS i doszedłem do wniosku, że żeby to ustawić muszę się z nimi skontaktować aby dodali odpowiednie rekordy u siebie. Bodajże to jest ten ich mail do składania takich próśb dns-pl@orange.com

Jeśli mogę prosić jeszcze o radę co powinienem im napisać, czego ode mnie potrzebują?

Czy będę musiał zmienić coś u siebie w konfiguracji (postfix) lub routerze? Zapewne będzie trzeba ustawić rekord PTR mojej domeny z tym nameserverem, który dostanę?

Do tej pory używałem rozwiązania NO-IP żeby pozbyć się problemu zmiennego IP ale z tego co rozumiem RevDNS może zastąpić te rozwiązanie?

Samotnick · ‎30-06-2023

Orange nie wpisze nic do swojego reversa. Nie w tej usłudze.

pirenej · ‎30-06-2023

Zacznij od odświeżenia certyfikatu.

j131 · ‎30-06-2023

@aufy

IMHO w tej usłudze nie da się skonfigurować w pełni poprawnie działającego serwera pocztowego. Operator raczej na to nie pozwoli.

aufy · ‎30-06-2023

Certyfikat jest już ważny (kwestia przeładowania serwera) Oczywiście zmian to nie dało. Dalej domena tpnet.pl nie zaszyfrowała wiadomości.

Czyli potrzebuję innej usługi? Zmiana na światłowód pomogłaby? (z tego co się orientuje w większości jak nie we wszystkich światłowodach IP jest stałe) W usłudze światłowodowej jest możliwość dodania przez operatora potrzebnych rekordów? Czy jest to w usługach jeszcze dodatkowo płatnych? Stałe IP zapewne również ma samo w sobie CNAME skierowany w ten sam sposób co przy zmiennym? Czy przy stałym IP ten problem po prostu nie istnieje?

Ewentualnie czy mam jeszcze jakieś możliwości? Oczywiście te zmienne IP nie jest samo w sobie dla mnie przeszkodą. Jak chce wysłać maila to mogę sobie na sztywno tymczasowo w rekord A dla domeny wlepić aktualne IP. Szukam tylko rozwiązania, żeby serwer działał w miarę w pełni poprawnie i w pełni funkcjonalności (aktualnie przez brak TLS wiadomości z mojego serwera lądują z reguły w spamie)

Cała ta zabawa jest głównie w celach edukacyjnych dla mnie i taki serwerek zawsze fajna rzecz 😁

pirenej · ‎30-06-2023

@aufynapisał(-a)
Cała ta zabawa jest głównie w celach edukacyjnych dla mnie i taki serwerek zawsze fajna rzecz 😁

wynajmij sobie vps na ovh, czy gdzieś, to się wyedukujesz. Mały vps do takiego celu nie jest drogi. 20-30zł miesięcznie. Jak już się podedukujesz, to możesz równolegle eksperymentować na domowym, porównując co się dzieje i dlaczego.