• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

OpenSMTPD auf FreeBSD 12?

SolarCatcher

Well-Known Member
Themenstarter #1
Ich habe jetzt erst entdeckt, dass seit November OpenSMTPD auf 12 als "broken" markiert ist. Problem ist OpenSSL 1.1.x. Mittlerweile ist das "broken" für die Verwendung von LibreSSL aufgehoben worden...

Mist, ich wollte den wieder mal auf einem neuen Server installieren!

Gibt es irgendeinen (einigermaßen einfachen) Workaround, mit dem es doch klappt? Durchgängig LibreSSL kommt für mich derzeit nicht in Frage - es gab schon gute Gründe, warum HardenedBSD letztes Jahr von LibreSSL weg ist (zuviele Probleme mit Ports, die mit neuen Versionen nicht funktionierten). Dann lieber einen anderen SMTP-Server...

Bitte nicht falsch verstehen: Es ist keine Kritik an den OpenSMTPD- oder LibreSSL-Entwicklern!!!
 

foxit

Moderator
Mitarbeiter
#3
Ich bin da auch voll reingelaufen! Dank ZFS und Snapshots, war das kein Problem aber trotzdem habe ich mich sehr geärgert. Kritik darf man schon äussern und ich finde sie auch gerechtfertigt. Warum muss man die Unterstützung für OpenSSL entfernen? Man nervt sich manchmal an den Linux Kernel Entwicklern, dass sie Funktionen einfach entfernen und auf alles andere keine Rücksicht nehmen ausser ihren heiligen Kernel-Schnittstellen. Was aber machen die OpenBSD Entwickler? Sie machen es genau das Gleich. Klar manchmal ist es nötig und auch mit dem Aspekt Sicherheit, kann man diese Meinung vertreten aber hey auch OpenSSL hat sich gewaltig verbessert. Braucht es LibreSSL wirklich noch?

Zum Problem: Ich habe mir extra mit Poudriere ein Repo gebaut, in dem ich OpenSMTPD mit LibreSSL gebaut habe. Das war für mich die schnellste Lösung. Trotzdem werde ich OpenSMTPD nicht mehr verwenden. Allein weil ich Rspamd in Zukunft verwenden möchte. Die aktuelle Version ist 6.4.1 und in den Ports ist noch 5.9.
 

SolarCatcher

Well-Known Member
Themenstarter #4
Was aber machen die OpenBSD Entwickler? Sie machen es genau das Gleich. Klar manchmal ist es nötig und auch mit dem Aspekt Sicherheit, kann man diese Meinung vertreten aber hey auch OpenSSL hat sich gewaltig verbessert. Braucht es LibreSSL wirklich noch?
Ich glaube, in diesem Fall liegt es etwas anders: Es gab einen API-Change bei OpenSSL 1.1.0. Und offenbar bietet OpenSSL keinen einfachen Weg, Versionen vor und ab 1.1.0 anzusprechen. LibreSSL bietet bisher im Wesentlichen OpenSSL's API von vor 1.1.0, damit die meiste Software relativ einfach LibreSSL für OpenSSL tauschen konnte. Mit OpenSSL 1.1.x geht das nicht mehr. So zumindest mein Verständnis.

Schau mal hier in dieses Issue des GitHub-Mirros von OpenSMTPD.

Zum Problem: Ich habe mir extra mit Poudriere ein Repo gebaut, in dem ich OpenSMTPD mit LibreSSL gebaut habe. Das war für mich die schnellste Lösung. Trotzdem werde ich OpenSMTPD nicht mehr verwenden. Allein weil ich Rspamd in Zukunft verwenden möchte. Die aktuelle Version ist 6.4.1 und in den Ports ist noch 5.9.
Musst Du LibreSSL dann auch auf dem Rechner installieren, auf dem Du OpenSMTPD laufen lässt? Machst Du das über einen angepassten Pfad, parallel zu OpenSSL oder nutzt Du sonst gar kein OpenSSL?

Dann bleibt dir wohl nur der Versuch statisch gegen LibreSSL zu linken.
An sowas hatte ich auch gedacht. Aber ich weiß nicht, was ich beim Portbuilden machen müsste, damit es statisch gelinkt ist. Irgendein zusätzlicher Parameter für das Kompilieren von OpenSMTPD in make.conf?
 

mr44er

Well-Known Member
#5
Bin da vor Wochen auch reingelaufen und weil zuviel reallife keinen passenden Zeitraum gefunden, mich da mal einzulesen. Leider bin ich absolut jungfräulich mit mailsetups und wollte mir erstmal opensmtp reinziehen, weil es in dem anderen großen Thread als schnell zielführend angepriesen wurde.

Aber ich weiß nicht, was ich beim Portbuilden machen müsste, damit es statisch gelinkt ist. Irgendein zusätzlicher Parameter für das Kompilieren von OpenSMTPD in make.conf?
Bin mir unsicher: Wenn du eins der ssls baust, hast du in dem Menü die Option für statisches Linken oder war es andersrum? Kann auch sein, dass man den ssl benötigenden Port dann gegen ssl statisch linkt. Anhand der Aussage von Crest wohl eher letzteres.
Und ja, das kann man in make.conf setzen, aber wie weiß ich jetzt auch nicht.

Werde hier gespannt mal weiterlesen.
 

SolarCatcher

Well-Known Member
Themenstarter #6
Bin gespannt auf Tipps/How-tos hierzu...

Habe dann aber auch noch etwas anderes, sehr interessantes gefunden: Meine Verwendung eines SMTP servers ist extrem beschränkt. Daher bin ich auf diesen Hinweis auf mail/ssmtp im Handbook unter "Setting Up to Send Only" gestoßen und teste, ob das für mich nicht absolut ausreicht.

Denn die allermeisten Mails, die versendet werden sollen, sind sowas wie Begrüßungsmails, wenn sich jemand auf dem Webportal für den Newsletter angemeldet hat und ähnliches. Die würde ich eh an den Mailserver des Providers zum Versenden weitergeben.
 

SolarCatcher

Well-Known Member
Themenstarter #7
Hallo, jetzt wollte ich nochmal kurz meine Erfahrung mit SSMTP berichten:

Wir nutzen das jetzt seit Anfang der Woche auf einem Produktivserver (Web- und MariaDB- in getrennten Jails). Für die vereinzelten Mails (z.B. die täglichen Nachrichten an den Admin... oder die Anmeldebestätigung für den Newsletter) ist das Tool goldrichtig. Kann ich wirklich nur empfehlen, zumal es fast keine Abhängigkeiten mitbringt.

Allerdings senden wir auch die Newsletter selbst aus dem Server, weil die User-spezifische Inhalte haben, die aus der Datenbank kommen. Und dafür ist SSMTP dann einfach etwas zu langsam. Die Weiterleitung an den SMTP-Server unserer Providers dauert knapp 2 Sekunden pro Mail. Da SSMTP eben kein vollwertiger Mailserver mit Spooling ist, wird das bei mehreren tausend Adressaten ziemlich langwierig. Daher habe ich allein für diesen Zweck doch einen Postfix in die Jail installieren müssen. Der arbeitet die Newsletter in wenigen Minuten ab.

Ich werde nach dieser Erfahrung nach und nach OpenSMTPd durch SSMTP ersetzen, wo eben nur verineinzelt Mails versandt werden müssen.
 

Esjott

Kellerkind
#8
Hast du mal dma probiert? Weiß nicht, ob der schneller ist, aber ist bereits im Basissystem drin - falls relevant. Habe damit bisher gute erfahrungen gemacht (hatte vorher auch ssmtp).