IONOS beendet seinen SMTP-Dienst für unverschlüsselte oder < TLS 1.2 verschlüsselte Verbindungen:
Umstellung auf TLS 1.2 für IMAP, POP3 und SMTP ab dem 25.04.2023

Für Mail-Programme wie Outlook ist dies in der Regel unproblematisch, da aktuelle Versionen TLS 1.2 unterstützen.
Für Software (z. B. Backup-Software…) oder Infrastruktur-Geräte (z. B. USVs…) die Status-Mails versenden, kann das zum Problem werden, da es oft nicht möglich ist den integrierten Mail-Client zu aktualisieren oder auf TLS 1.2 umzustellen.

Abhilfe schafft ein kleiner SMTP-Relay-Server, der LAN-seitig auf eine unverschlüsselte Verbindung hört und ins WAN eine verschlüsselte Verbindung zum eigentlichen Mail-Server aufbaut.

 

Postfix-Installation auf einem Raspberry Pi (Raspian)

Pakete installieren:

sudo apt install postfix libsasl2-modules

Im Assistenten: OK -> Internet-Site -> OK auswählen.

Konfigurations-Datei anpassen:

sudo nano /etc/postfix/main.cf

Darin folgendes unten anfügen:

relayhost = smtp.ionos.de:465
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous 
smtp_use_tls = yes

• „myhostname = irgendwas“ auf „myhostname = ionos.de“ ändern (optional aber sinnvoll)
• ggf. einen bereits vorhandenen Eintrag „relayhost =“ löschen
• die zulässigen Netze oder IPs „mynetworks = “ kann man je nach Umgebung auf uneingeschränkt stellen (mynetworks = 0.0.0.0/0)

Folgende Einträge unter „# TLS parameters“ ändern bzw. einfügen um von STARTTLS auf TLS (implizites TLS) umzustellen:

Einfügen:

smtp_tls_wrappermode = yes

Ändern:

smtp_tls_security_level = secure

Zugangsdaten eingeben:

sudo /etc/postfix/sasl_passwd

In der Form eingeben:
smtp.ionos.de mail@ihre-webhosting-domain.de:mypass

Danach:

sudo chmod 600 /etc/postfix/sasl_passwd
sudo postmap /etc/postfix/sasl_passwd

Abschließend:

sudo /etc/init.d/postfix reload
sudo systemctl enable postfix.service

 

Im ursprünglichen Mail-Client wird zum Versenden nun statt smtp.ionos.de die IP des Relay-Servers eingetragen.
Außerdem Port 25 und kein Passwort (oder Verschlüsselung, wobei das ja nicht ging, sonst hätte man keinen SMTP-Relay gebraucht).

 

Um Authentisierung erweitern

Benutzer mittels SMTP-AUTH gegen eine „sasldb“ authentisieren.

Software installieren:

sudo apt intall sasl2-bin

Konfigurationsdatei anlegen:

sudo nano /etc/postfix/sasl/smtpd.conf

Darin folgendes eintragen:

pwcheck_method: auxprop
auxprop_plugin: sasldb
mech_list: CRAM-MD5 DIGEST-MD5 LOGIN PLAIN

Benutzer anlegen:

sudo saslpasswd2 -c -u domain user

In der Datei „configure-instance.sh“ folgnedes anpassen:

sudo nano /usr/lib/postfix/configure-instance.sh

Darin „etc/sasldb2“ in den folgenden Beriech einfügen:

FILES="etc/localtime etc/services etc/resolv.conf etc/hosts etc/host.conf etc/nsswitch.conf etc/nss_mdns.config etc/sasldb2"

Postfix-Konfiguration anpassen:

sudo nano /etc/postfix/main.cf

Darin unten anfügen:

cyrus_sasl_config_path = /etc/postfix/sasl
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

Danach folgendes ausführen:

sudo service postfix restart
sudo systemctl daemon-reload

Nach einen Neustart können nur noch Benutzer die mit saslpasswd2 angelegt wurde, Mails über das Relay versenden (oder Geräte deren IP in einer in „mynetworks“ definierten Range liegt)! Der Benutzername wird im Mail-Client im Format user@domain eingegeben, Port bleibt weiter 25.

 

---

Inhalt der /etc/postfix/main.cf-Datei:

 

Nützliche Befehle:

Benutzer anzeigen lassen:

sudo sasldblistusers2

Konfiguration anzeigen lassen:

sudo saslfinger -s

User löschen:

sudo saslpasswd2 -d user

 

Referenzen:

• https://www.ionos.de/hilfe/e-mail/weitere-e-mail-programme/postfix-linux-einrichten/
• https://wiki.debian.org/PostfixAndSASL
• https://feeding.cloud.geek.nz/posts/using-implicit-tls-postfix/