Postfix, Dovecot, SpamAssasin, Clamav с автор. в LDAP

[ADvise]

Уважаемые, кто по данной статье настраивал почту?
у кого нить получилось запустить сию конфигурацию?
я застрял на сертификатах. Так как толком не описано как правильно создать, копал и искал как это делать. генерировал разные сертификаты, но безрезультатно.

сертификат делал, как сказал автор, уже после. везде где просил YOUR name писал имя своего сервера:

Код: Выделить всё

#cd /usr/src/crypto/openssl/apps
#CA.pl -newca
#cd demoCA
#openssl x509 -in cacert.pem -out cacert.der -outform DER
#openssl req -new -nodes -keyout postfix_private_key.pem -out postfix_private_key.pem -days 9999
#openssl ca -policy policy_anything -out postfix_public_cert.pem -infiles postfix_private_key.pem

получили нужные сертификаты, прописываем их в конфах, .DER копируем на винды, подцепляем. пробуем и получаем лог:

Код: Выделить всё

mail postfix/smtpd[33468]: warning: smtpd_sasl_auth_enable is true, but SASL support is not compiled in
mail postfix/smtpd[33468]: initializing the server-side TLS engine
mail postfix/smtpd[33468]: connect from admin.мойдомен.ru[192.168.0.222]
mail postfix/smtpd[33468]: setting up TLS connection from admin.мойдомен.ru[192.168.0.222]
mail postfix/smtpd[33468]: admin.мойдомен.ru[192.168.0.222]: TLS cipher list "ALL:+RC4:@STRENGTH"
mail postfix/smtpd[33468]: SSL_accept:before/accept initialization
mail postfix/smtpd[33468]: SSL_accept:SSLv3 read client hello B
mail postfix/smtpd[33468]: SSL_accept:SSLv3 write server hello A
mail postfix/smtpd[33468]: SSL_accept:SSLv3 write certificate A
mail postfix/smtpd[33468]: SSL_accept:SSLv3 write server done A
mail postfix/smtpd[33468]: SSL_accept:SSLv3 flush data
mail postfix/smtpd[33468]: SSL3 alert read:fatal:bad certificate
mail postfix/smtpd[33468]: SSL_accept:failed in SSLv3 read client certificate A
mail postfix/smtpd[33468]: SSL_accept error from admin.мойдомен.ru[192.168.0.222]: 0
mail postfix/smtpd[33468]: warning: TLS library problem: 33468:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1053:SSL alert number 42:
mail postfix/smtpd[33468]: lost connection after STARTTLS from admin.мойдомен.ru[192.168.0.222]
mail postfix/smtpd[33468]: disconnect from admin.мойдомен.ru[192.168.0.222]

The BAT ругается вот так:

Код: Выделить всё

 18.02.2009, 09:00:53: SEND  - Отправка почты - писем в очереди: 2
 18.02.2009, 09:00:53: SEND  - Начинаю приветствие TLS
>18.02.2009, 09:00:53: SEND  - Свойства сертификата: FEE575F0BF559325, алгоритм: RSA (1024 бит), Действителен с: 17.02.2009 9:38:43, по: 17.02.2010 9:38:43, на хосты в кол-ве 1 шт.: mail.мойдомен.ru.
>18.02.2009, 09:00:53: SEND  - Владелец: RU, HMAO, Nizhnevartovsk, мойдомен, mail.lmkstroy.ru, admin@мойдомен.ru.
>18.02.2009, 09:00:53: SEND  - Этот сертификат выдан самим собой.
!18.02.2009, 09:00:53: SEND  - Приветствие TLS не завершено. Недействительный сертификат сервера (Несовпадение подписи).
 18.02.2009, 09:00:54: SEND  - Соединение завершено - отправлено писем: 0
 18.02.2009, 09:00:54: SEND  - Не удалось отправить некоторые письма - подробности смотрите в Журнале работы

где я ошибся? неоднократно все проверял и повторял.
Срочно нужна почта, согласен запустить любую другую конфигурацию, лишь бы почта работала и спам не мешал... затрах.. уже, вторую неделю борюсь, шеф уже косо смотрит на меня... блин

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[wnd]

линк бы на статью, полюбому

я делал с самоподписанным сертификатом, все тип топ, кроме геммороя с MS Outlook, который будет задалбывать тупыми вопросами, пока не установишь сертификат на локальную машину.

На BSD сертификат генерил так

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

Я правда для винды(Outlook) сертификать, как-то через одно место делал, сейчас уже и не повторю наверное

Без установленного сертификата на винде оно работает? IMHO нормальным клиентам(Thunderbird) достаточно принять и сохранить сертификат при первой отправке, потом без вопросов все проходит. Как оно с BAT не знаю, никогда не любил

[ADvise]

линк бы на статью, полюбому

http://www.lissyara.su/?id=1840

я делал с самоподписанным сертификатом, все тип топ, кроме геммороя с MS Outlook, который будет задалбывать тупыми вопросами, пока не установишь сертификат на локальную машину.
На BSD сертификат генерил так

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

Я правда для винды(Outlook) сертификать, как-то через одно место делал, сейчас уже и не повторю наверное
Без установленного сертификата на винде оно работает? IMHO нормальным клиентам(Thunderbird) достаточно принять и сохранить сертификат при первой отправке, потом без вопросов все проходит. Как оно с BAT не знаю, никогда не любил

да блин, в БАТЕ удалил сертификат, сбросил подписи, а он все рвно где то его сохранил...
без сертификата не работает пока аутентификация, там другая проблема с postfix.
хотелось бы сразу по человечески все сделать. Спамеры одолели. а у меня проблема такая создалась, потому что клиенты есть и внутри сети и в инете (производственные участки). VPN не предлогать, ибо забывают отключаться и весь трафик через нас валит, а это ни есть хорошо, платим за каждый метр инфы по 2,4 рубля.

а ты используешь только один сертификат? а ключ?
я еще не совсем разобрался в этой технологии, в разных статьях описано по разному. в моем случае, на сервере надо указывать и серт и кей, а у клиента другой серт, который .DER.
вот туплю, честно... блин. сейчас на оутлуке проверю еще...

[wnd]

а ты используешь только один сертификат? а ключ?
я еще не совсем разобрался в этой технологии, в разных статьях описано по разному. в моем случае, на сервере надо указывать и серт и кей, а у клиента другой серт, который .DER.
вот туплю, честно... блин. сейчас на оутлуке проверю еще...

У меня оно, в общем-то, на один и тот же файл указывает. в фале сертификат и private key лежат

[ADvise]

У меня оно, в общем-то, на один и тот же файл указывает. в фале сертификат и private key лежат

в общем разобрался. БАТ при выборе STARTTLS почему то не походит сертификат. оутлук проходит, и т.к. кроме меня БАТ никто не пользует, забываем на время эту проблему.
теперь другая проблема,

Код: Выделить всё

Feb 18 10:28:46 mail postfix/smtpd[33659]: warning: smtpd_sasl_auth_enable is true, but SASL support is not compiled in
Feb 18 10:28:46 mail postfix/smtpd[33659]: initializing the server-side TLS engine
Feb 18 10:28:46 mail postfix/smtpd[33659]: connect from admin.мойдомен.ru[192.168.0.222]
Feb 18 10:28:46 mail postfix/verify[33663]: warning: request to update table btree:/usr/local/etc/postfix/conf/verify in non-postfix directory /usr/local/etc/postfix/conf
Feb 18 10:28:46 mail postfix/verify[33663]: warning: redirecting the request to postfix-owned data_directory /var/db/postfix
Feb 18 10:28:46 mail postfix/smtpd[33659]: NOQUEUE: reject: RCPT from admin.мойдомен.ru[192.168.0.222]: 450 4.1.7 <admin@мойдомен.ru>: Sender address rejected: undeliverable address: mail for мойдомен.ru loops back to myself; from=<admin@мойдомен.ru> to=<koy@мойдомен.ru> proto=ESMTP helo=<admin>
Feb 18 10:28:46 mail postfix/smtpd[33659]: disconnect from admin.мойдомен.ru[192.168.0.222]

как бы по статье когда делал, SASL мы не трогаем, т.к. dovecot делает аутентификацию, смотрим настройки...

Код: Выделить всё

smtpd_sasl_auth_enable=yes

делаем
smtpd_sasl_auth_enable=no
смотрим дальше

Код: Выделить всё

address_verify_map=btree:$config_directory/conf/verify

что это и где его взять. не было и нету...

Код: Выделить всё

mail for мойдомен.ru loops back to myself

почему он так ругается?
м еще... каталоги ящиков не созданы в /var/mail/vhost/
кто их должен создать? я сам ручками?

[wnd]

Код: Выделить всё

address_verify_map=btree:$config_directory/conf/verify

что это и где его взять. не было и нету...

Код: Выделить всё

http://www.postfix.org/postfix.1.html

config_directory (see 'postconf -d' output) The default location of the Postfix main.cf and master.cf configuration files.

Код: Выделить всё

mail for мойдомен.ru loops back to myself

почему он так ругается?
м еще... каталоги ящиков не созданы в /var/mail/vhost/
кто их должен создать? я сам ручками?

Как у тебя в DNS прописан поддомен mail?
Каталоги postfix создаст

[ADvise]

Код: Выделить всё

address_verify_map=btree:$config_directory/conf/verify

что это и где его взять. не было и нету...

Код: Выделить всё

http://www.postfix.org/postfix.1.html

config_directory (see 'postconf -d' output) The default location of the Postfix main.cf and master.cf configuration files.

если я правильно понял из энглиш, этот verify содержит базу адресов, где он проверяет, есть ли такой или нет.
по умолчанию пусто. может имеет смысл закомментировать?

Как у тебя в DNS прописан поддомен mail?

Код: Выделить всё

$TTL    3600
@               IN      SOA     mail.мойдомен.ru. admin.мойдомен.ru.  (
                                2009021001        ; Serial
                                3600            ; Refresh
                                900             ; Retry
                                3600000         ; Expire
                                3600 )          ; Minimum
@               IN      NS      ns1.мойдомен.ru.
@               IN      NS      ns.мойдомен.ru.
@               MX      10      mail.мойдомен.ru.
@               IN      A       192.168.0.10
$ORIGIN мойдомен.ru.
mail            IN      A       192.168.0.10
----остальное вырезано----

Каталоги postfix создаст

в какой момент он создаст, как почта повалит, так ведь...

[ivanicj]

Никто не сталкивался с проблемой? не стартует кот,ругань на ссл которого нет,отключил его при компиляции

Код: Выделить всё

Error: SSL support not compiled in but ssl=yes
Fatal: Invalid configuration in /usr/local/etc/dovecot.conf

в конфиге эта строка ремарена потом я ее удалил эффекта 0