pfsense Notification mit StartTLS



  • Moin,

    ich möchte Statusmails absetzen zu einem server.tld Dieser nimmt unverschlüsselte Mails auf 25 und 587 an. Er nimmt auch StartTLS auf 587 ohne Authentifizierung an (auf unsere IP begrenzt), bietet das laut wireshark der pfsense auch an. Diese nutzt es aber nicht.

    af8d577a-b09d-4bea-99d4-56731964588c-image.png

    Beim probieren mit LOGIN und irgendeinem Text als Username, ging es einmal mit TLS1.2 sauber raus, dann aber wieder nur unverschlüsselt.

    Wie kann ich die pfsense dazu zwingen, StartTLS zu nutzen? Warum kein Haken zum anschalten?

    Danke!


  • LAYER 8 Moderator

    Weil keiner nötig ist. Bei 587 muss der Server Submission und Starttls anbieten. Wenn er das sauber macht, wird es auch von pfSense genutzt. Hier eingestellt und läuft seit Jahr und Tag problemlos so mit einem Google Testaccount via Submission und STARTTLS.



  • Ok, dann muß unser Dienstleister mal ran. In der Antwort vom Server steht StartTLS, es wird aber letztendlich weder von der pfsense noch von SMTP Diag Tool benutzt. Das Bild zeigt die Antwort des Servers auf die pfsense. Es erfolgt aber kein Handshake, es wird unverschlüsselt gesendet.

    40e9c2cf-d468-4e78-9148-f9a87f18b164-grafik.png



  • @pfadmin said in pfsense Notification mit StartTLS:

    Das Bild zeigt die Antwort des Servers auf die pfsense. Es erfolgt aber kein Handshake, es wird unverschlüsselt gesendet.

    Dann liegt es wohl doch an der pfSense. Der Server kann STARTTLS nur anbieten, initiieren muss es dann der Client.

    Weil du schreibst, mal wurde es verschlüsselt, mal nicht, kann es sein, dass die pfSense nur Mails mit gewissen Inhalten verschlüsselt versendet?



  • Es war immer nur die Testmail.

    Zwischenzeitlich haben wir vom submission (barracuda) auf unseren eigenen Exchange (vom Dienstleister betrieben) umgeschalten, Port 25. Die Liste der Response Parameter ist deutlich länger, auch StartTLS war dabei. Allerdings versendet die pfsense auch hier nur unverschlüsselt. Der Parameter „RequireTLS $true“ auf dem Server erzeugt folgenden Fehler :

    7fa471d7-9e88-4623-9188-3601a042c156-grafik.png

    In Wireshark ist das auch gut zu sehen, StartTLS Required vom Server, pfsense macht einfach SMTP weiter.
    Allein, dass ich erst mitsniffern muß, um festzustellen, ob verschlüsselt wird oder nicht, ist schon verheerend.

    Stelle ich aber von PLAIN auf LOGIN um UND hinterlege Username und Passwort, dann initiiert die Pfsense auch StartTLS

    67086c10-5a54-4c24-99c9-7488ca346d25-grafik.png
    bleibt dann aber am Server hängen, da dieser keine Authentifizierung will (was so sein soll).

    24a2a938-a651-4d08-9f8b-1fe0f1d91caa-grafik.png

    In meinen Augen macht die pfsense was falsch. Es sollte IMMER verschlüsselt werden, wenn der Server das anbietet, egal ob es was zu verschlüsseln gibt, oder mir die Möglichkeit geben, das anzuschalten bzw. zu erzwingen. Dann lieber eine Fehlermeldung, dass nicht verschlüsselt wird, als so ein ungewisses automatisches "Eventuell".

    Grüße
    pfadmin



  • @JeGr Mit Authentifizierung, oder ohne?


  • LAYER 8 Moderator

    OK das kann natürlich ein Problem sein. Ich kenne an der Stelle keinen Provider der gern Mails ohne Auth entgegen nimmt. Sollte man auch nicht mehr tun, schon allein weil es sonst so gut wie keine sinnvolle Möglichkeit gibt, eine Return Address oder eine Bounce Address zu setzen etc. etc.
    Anyway, mit User/Pass funktioniert das problemlos. Evtl. beim Provider einfach nen sauberes Postfach oder zumindest zum Senden User/Pass geben lassen - wäre mir als Betreiber eh lieber weil Bounces auffallen und damit Probleme aufzeigen.



  • @JeGr Nun, da kann ich jetzt nichts zu sagen weil keine Ahnung. Auf jeden Fall sind die Absender IPs auf unsere Standorte begrenzt. Warum sollte aber xxx.barracuda.com mich authentifizieren wollen? Zumal es hier um Mails von Geräten geht.


  • LAYER 8 Moderator

    Selbst dann will man den Login um eindeutige Zuordnung zum Gerät zu haben. Sonst kann einfach jeder x-beliebige Client mit Internet seine Adresse spoofen.


Log in to reply