https://www.opennet.ru/openforum/vsluhforumID1/94037.html Добрый день, уважаемые!<br><br>Итак, есть две проблемы.<br><br>Проблема 1ая.<br><br>Я попытался настроить Postfix на работу с TLS. Как итог - отправляется наружу из локалки. Снаружи не принимается.<br><br>Кусок main.cf с настройками TLS:<br><br>++++++++++++++++++++++++++++++++++++++++++++++++<br>smtp_use_tls = no<br>smtpd_use_tls = yes<br>smtpd_tls_security_level = may<br>smtpd_tls_auth_only = yes<br>smtpd_tls_key_file = /usr/local/etc/postfix/ssl/unencrypted-key.pem<br>smtpd_tls_cert_file = /usr/local/etc/postfix/ssl/cert.pem<br>smtpd_tls_CAfile = /usr/local/etc/postfix/ssl/CAcert.pem<br>smtpd_tls_session_cache_database = btree:/var/db/postfix/smtpd_tls_session_cache<br>smtpd_tls_loglevel = 3<br>smtpd_tls_received_header = yes<br>smtpd_tls_session_cache_timeout = 3600s<br>smtp_sasl_password_maps = hash:/usr/local/etc/postfix/sasl/sasl_passwd<br>tls_random_source = dev:/dev/urandom<br>++++++++++++++++++++++++++++++++++++++++++++++++<br><br>В логах упорно пишет Session encryption required, хотя у меня же "may"?<br><br>Чего я хотел от TLS? хотел, чтобы мои клиенты https://www.opennet.ru/openforum/vsluhforumID1/94037.html#10 Thu, 22 Nov 2012 14:59:17 GMT &gt; У меня один домен и юзеры в passwd, так что здесь уже <br>&gt; не подскажу :( <br><br>Ну, вроде бы проблески надежды наблюдаются<br><br>Отлупы делаются, если отправитель неверный и проверяется это на этапе smtp-сессии, а не на этапе локальной доставки<br><br>Почта улетает и прилетает.<br><br>Правда что то уж очень бунтует грейлистинг, но это дело поправимое<br><br>Еще помониторю ситуацию, а пока всем огромное спасибо.<br><br>На будущее, если кто будет искать, то мне помогло правильное указание параметров mydomain и mydestination.<br> https://www.opennet.ru/openforum/vsluhforumID1/94037.html#9 Tue, 20 Nov 2012 02:45:08 GMT У меня один домен и юзеры в passwd, так что здесь уже не подскажу :(<br> https://www.opennet.ru/openforum/vsluhforumID1/94037.html#8 Mon, 19 Nov 2012 06:15:12 GMT &gt;[оверквотинг удален]<br>&gt;&gt; host mxs.mail.ru[94.100.176.20] said: 550 Unroutable sender address (in reply to MAIL <br>&gt;&gt; FROM command); from=&lt;myPersonalMail@mail.ru&gt; to=&lt;mycorporatemail@mydomain.ru&gt; proto=ESMTP <br>&gt;&gt; helo=&lt;f97.mail.ru&gt; <br>&gt; Unroutable sender address (in reply to MAIL FROM command) <br>&gt; ^^ вот это похоже на какие-то траблы с днс.<br>&gt; Попробуйте убрать опции <br>&gt; reject_unknown_sender_domain, <br>&gt; reject_unlisted_sender, <br>&gt; reject_unverified_sender, <br>&gt; из smtpd_sender_restrictions <br><br>Убрал<br><br>В общем, проблему с TLS решил.<br><br>Разбираясь с возможностью приема писем дальше осознал, что что то не в порядке в связке Postfix+LDAP.<br><br>Postfix упорно не хочет смотреть в базу LDAP и выдает мне ошибку:<br><br>++++++++++++++++++++++++++++++<br>Recipient address rejected: User unknown in local recipient table<br>++++++++++++++++++++++++++++++<br><br>Т.е. пытается искать в локальном passwd, когда надо искать пользователя в LDAP.<br><br>Корень проблемы, как мне кажется, в опциях mydomain в mydestination.<br><br>Я обслуживаю 3 https://www.opennet.ru/openforum/vsluhforumID1/94037.html#7 Mon, 19 Nov 2012 04:16:16 GMT &gt; Но, есть новая проблема: <br>&gt; Nov 18 20:47:38 mail postfix/smtpd[19660]: NOQUEUE: reject: RCPT from f97.mail.ru[217.69.129.120]: <br>&gt; 550 5.1.7 &lt;myPersonalMail@mail.ru&gt;: Sender address rejected: undeliverable address: <br>&gt; host mxs.mail.ru[94.100.176.20] said: 550 Unroutable sender address (in reply to MAIL <br>&gt; FROM command); from=&lt;myPersonalMail@mail.ru&gt; to=&lt;mycorporatemail@mydomain.ru&gt; proto=ESMTP <br>&gt; helo=&lt;f97.mail.ru&gt; <br><br>Unroutable sender address (in reply to MAIL FROM command)<br>^^ вот это похоже на какие-то траблы с днс.<br><br>Попробуйте убрать опции<br> reject_unknown_sender_domain,<br> reject_unlisted_sender,<br> reject_unverified_sender,<br><br>из smtpd_sender_restrictions<br> https://www.opennet.ru/openforum/vsluhforumID1/94037.html#6 Sun, 18 Nov 2012 16:59:39 GMT &gt;[оверквотинг удален]<br>&gt; smtpd_tls_security_level = may <br>&gt; smtpd_tls_key_file = /etc/postfix/certs/smtpd.pem <br>&gt; smtpd_tls_cert_file= /etc/postfix/certs/smtpd.pem <br>&gt; smtpd_tls_loglevel = 2 <br>&gt; smtpd_tls_received_header = yes <br>&gt; smtpd_tls_session_cache_timeout = 3600s <br>&gt; smtpd_tls_ask_ccert = no <br>&gt; smtpd_tls_req_ccert = no <br>&gt; smtpd_tls_auth_only = yes <br>&gt; smtpd_tls_ccert_verifydepth = 0 <br><br>Вроде это то, что нужно. Во всяком случае теперь я не получаю отлупов, пытаясь послать почту в свой домен о том, что необходимо использовать шифрование.<br><br>Шифрование предполагалось только при авторизации и отправке писем от меня, от моих пользователей. Но все остальные серверы, конечно же, должны иметь возможность по 25 порту передать почту без всяких сложностей.<br><br>Спасибо за подсказку.<br><br>По второму вопросу:<br><br>Валидность юзера проверялась на этапе локальной доставки доставки/<br><br>Сделал на этапе smtp-сессии - пошли нормальные отлупы. Я еще помониторю ситуацию, но тысячу MAILER DAEMON'ов я больше не вижу.<br><br>Конечн https://www.opennet.ru/openforum/vsluhforumID1/94037.html#5 Sun, 18 Nov 2012 15:34:42 GMT Продолжу.<br><br>На всякий случай проверил все машины в сети этим:<br><br> - AVZ<br> - CureIt<br> - Nod32<br><br>Проверял предварительно выдернув из сети, после проверки вырубал комп, и тогда подключал проводок обратно.<br><br>После того, как проверил все машины и серваки на виндах, пошел смотреть в почту.<br><br>Проблема с MAIL DELIVERY осталась. Какое то сумасшедшее количество возвратов.<br><br>Postfix настроен на работу с LDAP. Там хранятся все виртуальные пользователи. При проверке postfix смотрит в базу на предмет валидности юзера и принимает решение о приеме письма или отлупе.<br><br>Как в таком случае можно отослать в мой домен письмо на несуществуещий адрес?<br><br>Или мне шлют на несуществующий адрес, но поля FROM и REPLY TO поддельные. В итоге мой сервер пытается отправить по этим поля уведомление о возврате. Если это так работает, то как можно это закрыть?<br><br>При этом в логе черным по белому (а вернее белым по черному) написано, что<br><br>++++++++++++++++++++++++<br>from=&lt;ukrashenie.fasadov@ukr.net&gt; to &lt;kuzimovich@dneprokor.com.ua&gt;<br>++++ https://www.opennet.ru/openforum/vsluhforumID1/94037.html#4 Sun, 18 Nov 2012 12:49:41 GMT &gt; По первому вопросу - вот рабочий конфиг с моего компа (самоподписанные сертификаты): <br>&gt; По второму вопросу - читайте про reject_unlisted_recipient <br><br>Используется, но не спасает<br><br>вот кусок конфига, где описаны ограничения:<br><br>+++++++++++++++++++++++++++++++++<br>#4. Ограничения recipient_restrictions, sender_restrictions, client_restrictions, helo_restrictions, etrn_restrictions, data_restrictions<br><br>smtpd_etrn_restrictions =<br> permit_mynetworks,<br> reject<br>smtpd_helo_restrictions=<br> permit_mynetworks,<br> reject_invalid_helo_hostname,<br> reject_invalid_hostname,<br> check_helo_access hash:/usr/local/etc/postfix/checks/access_helo<br>smtpd_data_restrictions=<br> permit_mynetworks,<br> reject_multi_recipient_bounce,<br> reject_unauth_pipelining<br>smtpd_sender_restrictions=<br> check_sender_access hash:/usr/local/etc/postfix/checks/access_sender,<br> permit_sasl_authenticated,<br> permit_mynetworks,<br> reject_non_fqdn_sender,<br> reject_unknown_sender_domain,<br> reject_unlisted_sender,<br> reject_unverified_sender,<br> https://www.opennet.ru/openforum/vsluhforumID1/94037.html#3 Sat, 17 Nov 2012 00:13:05 GMT &gt; По первому вопросу - вот рабочий конфиг с моего компа (самоподписанные сертификаты): <br><br>И в master.cf стоит следующее:<br><br>smtps inet n - y - 50 smtpd<br> -o smtpd_tls_wrappermode=yes<br> -o smtpd_tls_security_level=encrypt<br> -o smtpd_client_port_logging=yes<br> -o smtpd_client_restrictions=<br> -o smtpd_sender_restrictions=reject_unlisted_sender,permit_sasl_authenticated,reject<br> -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject<br> -o smtpd_client_connection_count_limit=2<br> https://www.opennet.ru/openforum/vsluhforumID1/94037.html#2 Sat, 17 Nov 2012 00:04:29 GMT По первому вопросу - вот рабочий конфиг с моего компа (самоподписанные сертификаты):<br><br>### TLS:<br><br>tls_random_source = dev:/dev/urandom<br><br>smtp_tls_note_starttls_offer = yes<br>smtp_tls_loglevel = 2<br>smtp_tls_security_level = may<br>smtp_tls_enforce_peername = no<br>smtp_use_tls = yes<br><br>smtpd_tls_security_level = may<br>smtpd_tls_key_file = /etc/postfix/certs/smtpd.pem<br>smtpd_tls_cert_file= /etc/postfix/certs/smtpd.pem<br>smtpd_tls_loglevel = 2<br>smtpd_tls_received_header = yes<br>smtpd_tls_session_cache_timeout = 3600s<br>smtpd_tls_ask_ccert = no<br>smtpd_tls_req_ccert = no<br>smtpd_tls_auth_only = yes<br>smtpd_tls_ccert_verifydepth = 0<br><br><br>По второму вопросу - читайте про reject_unlisted_recipient<br>