Vreemde mail-log regels

[Briolet]

Sinds 14 mei komen de volgende regels steeds terug in het log.

Code: [Selecteer]

postfix/postalias[2391]: warning: /var/packages/MailServer/target/etc/main.cf, line 710: overriding earlier entry: smtpd_tls_mandatory_exclude_ciphers=aNULL, RC4, IDEA-CBC-SHA
postfix/postalias[2391]: warning: /var/packages/MailServer/target/etc/main.cf, line 711: overriding earlier entry: smtpd_tls_exclude_ciphers=aNULL, RC4, IDEA-CBC-SHA
postfix/postalias[2391]: warning: /var/packages/MailServer/target/etc/main.cf, line 712: overriding earlier entry: smtpd_tls_protocols=!SSLv2, !SSLv3, !TLSv1, !TLSv1.1
postfix/postalias[2391]: warning: /var/packages/MailServer/target/etc/main.cf, line 713: overriding earlier entry: smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Heeft Synology iets veranderd? Op die dag heb ik diverse packages ge-update, maar van MailServer is er al een tijdje geen update geweest.

Het betreft 4 regels die ik zelf in de template aangepast heb. Een deel al heel lang geleden. Normaal kopiert het systeen de template naar de file "main.cf" en plakt er nog wat specifieke instellingsregels achter. Nu plakt hij er ook nog de volgende regels achter:

Code: [Selecteer]

smtpd_tls_mandatory_exclude_ciphers = aNULL, RC4
smtpd_tls_exclude_ciphers = aNULL, RC4
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
Deze staan nu 2x in de config en omdat ze later staan, overschrijven ze mijn eigen aanpassing. Dus de waarschuwing is terecht. Maar hoezo worden ze er uit het niets achter geplakt? De eerste twee aanpassingen zijn al een jaar oud. Alleen de aanpassing om de verouderde protocollen tls1.0 en tls 1.1 te blokkeren is nieuw.

[Briolet]

Ik zie nu dat Synology deze regels uit de template gehaald heeft. Ze worden nu ergens anders vandaan achter de config geplakt.

Lastig, want de config zelf editten werkt net zo lang totdat je iets via de GUI aanpast binnen MailServer.

[sciurius]

Je kunt toch de file /var/packages/MailServer/etc/customize/postfix/main.cf aanpassen? De inhoud daarvan wordt bij elke update weer toegevoegd aan de echte main.cf.

[Briolet]

Nee. (Dat pad bestaat ook niet omdat "customize" niet bestaat) Als je mailserver start, wordt het volgende script uit de scripts folder uitgevoerd: "/volume1/@appstore/MailServer/scripts/DaemonConfSet.sh"

Deze copieert de template naar /temp. Vervolgens plakt hij er nog een stuk of 10 extra regels aan toe. Daarna wordt de temp file naar "main.cf" verplaatst. Maar daarna komt nog een proces dat de 4 bovengenoemde default regels toevoegd. (plus een laatste regel die naar de locatie van het certificaat wijst.)

Het zijn juist deze als laatst toegevoegde regels die ik had willen aanpassen op een plaats waar ze niet steeds teruggezet worden.  Maar ik kan niet vinden waar dat gebeurd. Het moet in elk geval iets nieuws zijn.

[sciurius]

Voor zover ik kan nagaan werkte het configureren met /var/packages/MailServer/etc/customize/postfix/main.cf (je moet de file en directories wel zelf aanmaken!) tot vóór de laatste update nog wel. Ik gebruikte het o.m. om ipv4 af te dwingen en de message size limit te verhogen. Maar zoals je terecht opmerkte gaat die vlieger nu niet meer op.

Wat nu?

[Briolet]

Dat van dat "customize" is nieuw voor mij. Dat is blijkbaar een feature van postfix zelf. Maar dat werkt dan waarschijnlijk voor parameters die nog niet in de config staan. Want anders krijg je weer de melding van dubbele entries. Of zou de melding over dubbele entries dan weg blijven? Ik zal de handleiding er eens bij pakken en gaan testen.

Voor mij geen halszaak omdat ik de aanpassingen vooral deed om minder betrouwbare cyphers en protocollen uit te sluiten. Maar ik ben geen bank of zo die extra risico loopt.

Het enige vreemde blijft dat de meldingen ontstaan zijn na het updaten van een paar packages, waarbij geen mail pakketten betrokken waren.

[Briolet]

Als ik op "etc/customize/postfix/main.cf" google vind maar 3 treffers. Een in het chinees, een voor een oude dsm versie en een heel recente die ook voor DSM is:

"https://blog.kastner.wtf/anleitung-recipient-delimiter-im-mailplus-server-von-synology-aktivieren/

Die laatste suggereert dat het zoe moeten werken met het plus pakket.

Maar als ik de file aanmaak, postfix restart en dan met "/volume1/@appstore/MailServer/sbin/postconf -n" de instellingen opvraag, zie ik de aanpassing niet.

[sciurius]

Nee, ik heb vastgesteld dat deze manier van customizing niet (meer?) werkt. Lastig.

Voor zover ik weet is er dus geen enkele enigszins betrouwbare manier meer om dit soort kleine wijzigingen in de postfix configuratie aan te passen. Ja, de echte config wijzigen en van de GUI afblijven en geen updates uitvoeren. Maar dat is zoals je al opmerkte niet erg betrouwbaar.

[sciurius]

Herstel... Het werkt wel degelijk.

Ik heb dus een /var/packages/MailServer/etc/customize/postfix/main.cf gemaakt met daarin

    message_size_limit = 30000000

In de GUI wijzig ik de "maximum size per email" in bv. 10 Mb.

In de /var/packages/MailServer/target/etc/main.cf staat nu de waarde

    message_size_limit = 30000000

en niet 10485760.

Het programma /var/packages/MailServer/target/bin/syno_set_config (dat de GUI settings doet) merget de inhoud van /var/packages/MailServer/etc/customize/postfix/main.cf  met de template.

Het verwarrende is dat de GUI meerdere configs onderhoudt. Je moet dus eerst een setting voor postfix aanpassen om je wijzigingen in /var/packages/MailServer/target/etc/main.cf terug te zien. En verder geldt hetzelfde als bij issue https://www.synology-forum.nl/index.php?topic=37643.0 .

[Briolet]

Het werkt hier nu ook. Mijn fout ik dacht dat "/volume1/@appstore/MailServer/etc" al een alias was van "/var/packages/MailServer/etc"

Maar nee, ik heb de customize folder verplaats naar de laatste lokatie en nu worden inderdaad al mijn aangepaste instelling zichtbaar via "/volume1/@appstore/MailServer/sbin/postconf -n"

Dat is perfect en scheelt een heel geknoei met de template files. De template files overleven kleine updates, maar als synology iets aan de template veranderd, wordt die ook geupdate en ben je al je instellingen weer kwijt. Ik had al een lijst met instellingen die ik na elke update moet controleren.
Deze custom file zou wel alle updates moeten overleven. Bedankt voor de tip.

[Briolet]

Ik kijk net even in het log en zie dat dingen nu goed werken. Ik had de onveilige protocollen TLS 1.0 en 1.1 uitgesloten. TLS 1.1 werd nooit gebruikt volgens het log, maar ik kreeg periodiek één mailing van "megamail" die steeds via TLS 1.0 binnenkwam. Sinds bovenstaande correctie wordt die netjes geblokkeerd:

Code: [Selecteer]

2019-05-23T16:56:32+02:00 GedeeldeData postfix/smtpd[13684]: connect from mail04.megamail.nl[46.44.132.93]
2019-05-23T16:56:32+02:00 GedeeldeData postfix/smtpd[13684]: SSL_accept error from mail04.megamail.nl[46.44.132.93]: -1
2019-05-23T16:56:32+02:00 GedeeldeData postfix/smtpd[13684]: lost connection after STARTTLS from mail04.megamail.nl[46.44.132.93]
2019-05-23T16:56:32+02:00 GedeeldeData postfix/smtpd[13684]: disconnect from mail04.megamail.nl[46.44.132.93] ehlo=1 starttls=0/1 commands=1/2

Megamail is overigens wel hardnekkig. Sinds bovenstaande log probeert megamail het elk uur weer. (tot aan dit moment)  Dit is een mail van mijn bank. Er slordig dat zij nog steeds dit verouderde protocol gebruiken. De overheid raad aan dit protocol uit te faseren (link) en dan verwacht je toch dat een bank hierin voorop loopt.