postfix multiple smarthost relay

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-17 17:44:57

Здравствуйте.

Postfix 3.0.3 поднят на 127.0.0.1 в режиме smarthost, к нему обращается система мониторинга (к примеру zabbix) и отправляют почту через relay smtp.mail.ru:465 на домен который находится во внутренней сети для этого сервера. Необходимо сделать так, чтобы при не доступности smtp.mail.ru с машины на которой находится postfix или например при пропадании связи в мир по дефолт роуту, почта ходила напрямую во внутренний домен (сервер) на котором естественно с этих сетей пересылка разрешена, чтобы можно было видеть оповещения мониторинга даже если пропала внешка.

Я тут перегуглил уже кучу инфы с наскоку и пришёл к выводу что у меня голова кругом от такого количества настроек и вариантов.

1)
smtp_fallback_relay, не заводится по причине TLS

2)

Код: Выделить всё

smtp_sender_dependent_authentication = yes
sender_dependent_relayhost_maps = hash:/usr/local/etc/postfix/relayhost_ma
- как я понял не для этой задачи, а для отправки с разных доменов

3) transport_maps - вроде бы подходит, но тоже не заводится по причине TLS.

Конфиг main.cf:

Код: Выделить всё

#smtp_fallback_relay = mail.localdomain.net

#smtp_sender_dependent_authentication = yes
#sender_dependent_relayhost_maps = hash:/usr/local/etc/postfix/relayhost_map
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/usr/local/etc/postfix/relay_password
smtp_sasl_security_options = noanonymous
#smtp_sasl_type = cyrus
#smtp_sasl_mechanism_filter = login
#smtp_sasl_security_options =

relayhost = smtp.mail.ru:4655

transport_maps = hash:/usr/local/etc/postfix/transport_maps

# tls config
smtp_use_tls = yes
smtp_tls_policy_maps = hash:/usr/local/etc/postfix/tls_policy
smtp_tls_security_level = encrypt
#smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_wrappermode = yes

header_size_limit = 4096000
relay_destination_concurrency_limit = 20
Пробую вариант с transport_maps , симулирую ситуацию, как будто smtp.mail.ru не доступен и специально ставлю ему порт 4655.

cat transport_maps

Код: Выделить всё

monitoring_gzabbix@inbox.ru smtp:[mail.smtp.ru]:4655

admin@localdomain.net smtp:[mail.localdomain.net]:25

Код: Выделить всё

Feb 17 17:37:57 zfs postfix/postfix-script[69510]: starting the Postfix mail system
Feb 17 17:37:57 zfs postfix/master[69512]: daemon started -- version 3.0.3, configuration /usr/local/etc/postfix
Feb 17 17:37:57 zfs postfix/qmgr[69514]: BE8CEB77: from=<monitoring_gzabbix@inbox.ru>, size=555, nrcpt=1 (queue active)
Feb 17 17:37:57 zfs postfix/qmgr[69514]: 668C6B78: from=<monitoring_gzabbix@inbox.ru>, size=555, nrcpt=1 (queue active)
Feb 17 17:37:57 zfs postfix/smtp[69516]: SSL_connect error to mail.localdomain.net[10.10.10.1]:25: -1
Feb 17 17:37:57 zfs postfix/smtp[69516]: warning: TLS library problem: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
Feb 17 17:37:57 zfs postfix/smtp[69518]: SSL_connect error to mail.localdomain.net[10.10.10.1]:25: -1
Feb 17 17:37:57 zfs postfix/smtp[69518]: warning: TLS library problem: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
Feb 17 17:37:57 zfs postfix/smtp[69516]: BE8CEB77: to=<admin@localdomain.net>, relay=mail.localdomain.net[10.10.10.1]:25, delay=517, delays=517/0.03/0/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)
Feb 17 17:37:57 zfs postfix/smtp[69518]: 668C6B78: to=<admin@localdomain.net>, relay=mail.localdomain.net[10.10.10.1]:25, delay=508, delays=508/0.03/0/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)
Пробую разрулить это с помощью smtp_tls_policy_maps, указываю там:

Код: Выделить всё

.localdomain.net none
.mail.ru encrypt
Всё равно требует шифрование на стороне mail.localdomain.net, но его там нет и перенастраивать сейчас никто не будет сервер, подскажите как можно решить задуманное ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

FiL
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2010-02-05 0:21:40

postfix multiple smarthost relay

Непрочитанное сообщение FiL » 2016-02-17 21:20:55

1. таки поменять smtp_tls_security_level = encrypt на smtp_tls_security_level = may
2. а зачем вообще почту на внутренний сервер слать через внешку, даже если она есть?

Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-17 23:38:25

FiL писал(а):1. таки поменять smtp_tls_security_level = encrypt на smtp_tls_security_level = may
2. а зачем вообще почту на внутренний сервер слать через внешку, даже если она есть?
1) Тогда получается такое:

Код: Выделить всё

Feb 17 23:28:37 zfs postfix/smtpd[73119]: connect from localhost[127.0.0.1]
Feb 17 23:28:37 zfs postfix/smtpd[73119]: 4BF3FC5F: client=localhost[127.0.0.1]
Feb 17 23:28:37 zfs postfix/cleanup[73122]: 4BF3FC5F: message-id=<20160217202837.4BF3FC5F@zfs.domain.net>
Feb 17 23:28:37 zfs postfix/smtpd[73119]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 17 23:28:37 zfs postfix/qmgr[73115]: 4BF3FC5F: from=<monitoring_gzabbix@inbox.ru>, size=555, nrcpt=1 (queue active)
Feb 17 23:28:37 zfs postfix/smtp[73123]: warning: smtp_tls_wrappermode requires "smtp_tls_security_level = encrypt" (or stronger)
Feb 17 23:28:37 zfs postfix/smtp[73123]: 4BF3FC5F: to=<mail.localdomain.net>, relay=none, delay=0.14, delays=0.12/0.02/0/0, dsn=4.3.0, status=deferred (server unavailable or unable to receive mail)
2) Через внешку как раз потому что TLS и шифрование все дела то есть письмо приходит с DKIM подписью, внутренний сервер тоже наш, а если к примеру внутренний сервер тоже стал не доступен? Сейчас заниматься шифрованием там нет времени к сожалению, к тому же будет необходимость добавить дополнительные адреса сотрудников (внешних почтовых серверов) для рассылки оповещений мониторинга, её тоже хотелось бы слать через внешний релей.

Работает только если убирать

Код: Выделить всё

 #smtp_tls_wrappermode = yes
но тогда смысл релея через smtp.mail.ru теряется и она всегда будет ходить локально. Подскажите как лучше сделать? Может есть какая то балансировка в transport_maps типа round robin чтобы почта ходила по какому то алгоритму 50% через один релей и 50% через другой, например, ну или что-то похожее.

Аватара пользователя
Amaka
мл. сержант
Сообщения: 76
Зарегистрирован: 2016-02-03 12:05:11
Откуда: Москва

postfix multiple smarthost relay

Непрочитанное сообщение Amaka » 2016-02-18 12:08:46

Ты вроде, как на правильном пути. Если посмотреть твой последний лог:

Код: Выделить всё

Feb 17 23:28:37 zfs postfix/smtp[73123]: 4BF3FC5F: to=<mail.localdomain.net>, relay=none, delay=0.14, delays=0.12/0.02/0/0, dsn=4.3.0, status=deferred (server unavailable or unable to receive mail)
Посмотри внимательно! Твой локальный сервер сказал тебе, что он не может принять письмо получателю:

Код: Выделить всё

to=<mail.localdomain.net>
. Т.е. неверно указан адрес получателя!!!
Возможно, должен быть такой адрес: admin@localdomain.net.
Всем удачи!

Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-18 13:50:56

Код: Выделить всё

Feb 18 13:44:59 zfs postfix/smtpd[81550]: connect from localhost[127.0.0.1]
Feb 18 13:44:59 zfs postfix/smtpd[81550]: 95F12E15: client=localhost[127.0.0.1]
Feb 18 13:44:59 zfs postfix/cleanup[81554]: 95F12E15: message-id=<20160218104459.95F12E15@zfs.localdomain.net>
Feb 18 13:44:59 zfs postfix/smtpd[81550]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 18 13:44:59 zfs postfix/qmgr[81547]: 95F12E15: from=<monitoring_gzabbix@inbox.ru>, size=551, nrcpt=1 (queue active)
Feb 18 13:44:59 zfs postfix/smtpd[81550]: connect from localhost[127.0.0.1]
Feb 18 13:44:59 zfs postfix/smtpd[81550]: B3799E16: client=localhost[127.0.0.1]
Feb 18 13:44:59 zfs postfix/smtp[81555]: SSL_connect error to mail.localdomain.net[10.10.10.1]:25: -1
Feb 18 13:44:59 zfs postfix/smtp[81555]: warning: TLS library problem: error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:794:
Feb 18 13:44:59 zfs postfix/smtp[81555]: 95F12E15: to=<admin@localdomain.net>, relay=mail.localdomain.net[10.10.10.1]:25, delay=0.14, delays=0.13/0.01/0/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)
Feb 18 13:44:59 zfs postfix/cleanup[81554]: B3799E16: message-id=<20160218104459.B3799E16@zfs.localdomain.net>
Feb 18 13:44:59 zfs postfix/smtpd[81550]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 18 13:44:59 zfs postfix/qmgr[81547]: B3799E16: from=<monitoring_gzabbix@inbox.ru>, size=545, nrcpt=1 (queue active)
Feb 18 13:44:59 zfs postfix/smtp[81555]: Untrusted TLS connection established to smtp.mail.ru[94.100.180.160]:465: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Feb 18 13:45:02 zfs postfix/smtp[81555]: B3799E16: to=<monitoring_gzabbix@inbox.ru>, relay=smtp.mail.ru[94.100.180.160]:465, delay=2.4, delays=0.11/0/2/0.29, dsn=2.0.0, status=sent (250 OK id=1aWM50-0004M6-0V)
Feb 18 13:45:02 zfs postfix/qmgr[81547]: B3799E16: removed
Как отключить TLS для admin@localdomain.net>, relay=mail.localdomain.net[10.10.10.1]:25 ?

Аватара пользователя
Amaka
мл. сержант
Сообщения: 76
Зарегистрирован: 2016-02-03 12:05:11
Откуда: Москва

postfix multiple smarthost relay

Непрочитанное сообщение Amaka » 2016-02-18 15:14:09

Нужно указать в файле main.cf:

Код: Выделить всё

smtp_use_tls = yes
smtp_enforce_tls = no
smtp_tls_security_level = may
Всем удачи!

Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-18 15:45:10

Amaka писал(а):Нужно указать в файле main.cf:

Код: Выделить всё

smtp_use_tls = yes
smtp_enforce_tls = no
smtp_tls_security_level = may
Тогда не работает так вообще.

Код: Выделить всё

# tls config
smtp_use_tls = yes
smtp_enforce_tls = no
tls_random_source = dev:/dev/urandom
#smtp_tls_policy_maps = hash:/usr/local/etc/postfix/tls_policy
# Client-side SMTPS requires "encrypt" or stronger.
#smtp_tls_security_level = none
smtp_tls_security_level = may
#smtp_tls_security_level = encrypt
smtp_tls_loglevel = 1
smtp_tls_wrappermode = yes

Код: Выделить всё

Feb 18 15:35:48 zfs postfix/smtpd[83241]: connect from localhost[127.0.0.1]
Feb 18 15:35:48 zfs postfix/smtpd[83241]: BBB48EA0: client=localhost[127.0.0.1]
Feb 18 15:35:48 zfs postfix/cleanup[83245]: BBB48EA0: message-id=<20160218123548.BBB48EA0@zfs.localdomain.net>
Feb 18 15:35:48 zfs postfix/smtpd[83241]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 18 15:35:48 zfs postfix/qmgr[83239]: BBB48EA0: from=<monitoring_gzabbix@inbox.ru>, size=551, nrcpt=1 (queue active)
Feb 18 15:35:48 zfs postfix/smtpd[83241]: connect from localhost[127.0.0.1]
Feb 18 15:35:48 zfs postfix/smtpd[83241]: DD37BEA1: client=localhost[127.0.0.1]
Feb 18 15:35:48 zfs postfix/smtp[83246]: warning: smtp_tls_wrappermode requires "smtp_tls_security_level = encrypt" (or stronger)
Feb 18 15:35:48 zfs postfix/smtp[83246]: BBB48EA0: to=<admin@localdomain.net>, relay=none, delay=0.16, delays=0.14/0.01/0/0, dsn=4.3.0, status=deferred (server unavailable or unable to receive mail)
Feb 18 15:35:49 zfs postfix/cleanup[83245]: DD37BEA1: message-id=<20160218123548.DD37BEA1@zfs.localdomain.net>
Feb 18 15:35:49 zfs postfix/smtpd[83241]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 18 15:35:49 zfs postfix/qmgr[83239]: DD37BEA1: from=<monitoring_gzabbix@inbox.ru>, size=545, nrcpt=1 (queue active)
Feb 18 15:35:49 zfs postfix/smtp[83246]: warning: smtp_tls_wrappermode requires "smtp_tls_security_level = encrypt" (or stronger)
Feb 18 15:35:49 zfs postfix/smtp[83246]: warning: smtp_tls_wrappermode requires "smtp_tls_security_level = encrypt" (or stronger)
Feb 18 15:35:49 zfs postfix/smtp[83246]: DD37BEA1: to=<monitoring_gzabbix@inbox.ru>, relay=none, delay=0.11, delays=0.11/0/0/0, dsn=4.3.0, status=deferred (server unavailable or unable to receive mail)
Отключаю #smtp_tls_wrappermode = yes - ходит только на локальный сервер.

Код: Выделить всё

Feb 18 15:40:09 zfs postfix/master[82980]: reload -- version 3.0.3, configuration /usr/local/etc/postfix
Feb 18 15:40:09 zfs postfix/qmgr[83353]: 1539EEA4: from=<monitoring_gzabbix@inbox.ru>, size=551, nrcpt=1 (queue active)
Feb 18 15:40:09 zfs postfix/qmgr[83353]: 14C19E97: skipped, still being delivered
Feb 18 15:40:09 zfs postfix/qmgr[83353]: 3EBCEEA7: from=<monitoring_gzabbix@inbox.ru>, size=545, nrcpt=1 (queue active)
Feb 18 15:40:09 zfs postfix/qmgr[83353]: 0CCF0E9A: from=<monitoring_gzabbix@inbox.ru>, size=551, nrcpt=1 (queue active)
Feb 18 15:40:09 zfs postfix/qmgr[83353]: D52D6E91: skipped, still being delivered
Feb 18 15:40:09 zfs postfix/qmgr[83353]: 1DB43EA6: from=<monitoring_gzabbix@inbox.ru>, size=551, nrcpt=1 (queue active)
Feb 18 15:40:09 zfs postfix/qmgr[83353]: 360CAEA5: skipped, still being delivered
Feb 18 15:40:09 zfs postfix/smtp[83357]: SMTPS wrappermode (TCP port 465) requires setting "smtp_tls_wrappermode = yes", and "smtp_tls_security_level = encrypt" (or stronger)
Feb 18 15:40:10 zfs postfix/smtp[83355]: 1539EEA4: to=<admin@localdomain.net>, relay=mail.localdomain.net[10.10.10.1]:25, delay=58, delays=58/0.03/0/0.37, dsn=2.0.0, status=sent (250 OK id=1aWNvc-0005mw-4L)
Feb 18 15:40:10 zfs postfix/qmgr[83353]: 1539EEA4: removed
Если оставляю smtp_tls_security_level = may и smtp_tls_wrappermode = yes то вообще ни куда не ходит - server unavailable or unable to receive mail

Если оставляю smtp_tls_security_level = encrypt и smtp_tls_wrappermode = yes ходит только через smtp.mail.ru:465, а на локальную опять пытается установить handshake. (Cannot start TLS: handshake failure)

Короче это похоже гиблая затея и ничего у меня не выйдет?

Аватара пользователя
Amaka
мл. сержант
Сообщения: 76
Зарегистрирован: 2016-02-03 12:05:11
Откуда: Москва

postfix multiple smarthost relay

Непрочитанное сообщение Amaka » 2016-02-18 16:44:30

Тогда оставь как было:

Код: Выделить всё

smtp_tls_security_level = encrypt
smtp_tls_loglevel = 1
smtp_tls_wrappermode = yes
У тебя 3-я версия postfix. Как в ней делать, я не знаю. Я работал c версиями 2.Х. Рекомендую на твоем принимающем сервере mail.localdomain.net[10.10.10.1] тоже настроить работу поверх TLS.

Отправлено спустя 19 минут 8 секунд:
У тебя основная сложность в том, что почтовые сервера, на которые ты отправляешь письма, принимают их по разному:
1. сервер mail.ru требует:
a) TLS
b) аутентификацию
c) порт приема 465

2. Твой локальный сервер mail.localdomain.net[10.10.10.1] требует другое:
a) нет TLS;
b) нет аутентификации. Вероятно нужно быть в белом списке серверу отправителю;
c) принимает на порт 25
Всем удачи!

Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-18 16:54:35

Да это я уже понял в чём различия :) спасибо. На локальном есть аутентификация и данные прописаны в smtp_sasl_password_maps. Я пока оставил чтобы почта шла через mail.ru, но если пропадёт инет на этой машине - писем я не увижу.

Аватара пользователя
Amaka
мл. сержант
Сообщения: 76
Зарегистрирован: 2016-02-03 12:05:11
Откуда: Москва

postfix multiple smarthost relay

Непрочитанное сообщение Amaka » 2016-02-19 10:37:21

Добрый день!
Я у себя использую smtp_fallback_relay. При этом схема проста и работает хорошо.
Мне кажется, что тебе нужно по другому спроектировать схему доставки писем от твоего Zabbix по 2-м маршрутам.
1. Твой сервер Zabbix должен слать письма от имени Zabbix@localdomain.net (т.е. от имени твоего внутреннего домена). Всем возможным получателям: monitoring_gzabbix@inbox.ru, admin@localdomain.net и т.д.
2. Письма он должен слать обоим почтовым серверам (mail.ru и mail.localdomain.net) на 25 порт. И только на этот порт. Без всяких опций аутентификации smtp_sasl_auth (Это важно). Если хочешь, то можешь оставить TLS. Т.к. это не принципиально.
3. Чтобы твои письма успешно принимали оба сервера нужно внести сервер Zabbix в доверенные по политике SPF твоего внутреннего домена localdomain.net. А на сервере mail.localdomain.net нужно быть в белых списках.
Вроде все. После этого уже проблем с smtp_fallback_relay не будет.
Всем удачи!

Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-19 12:58:34

Amaka писал(а):Добрый день!
Я у себя использую smtp_fallback_relay. При этом схема проста и работает хорошо.
Мне кажется, что тебе нужно по другому спроектировать схему доставки писем от твоего Zabbix по 2-м маршрутам.
1. Твой сервер Zabbix должен слать письма от имени Zabbix@localdomain.net (т.е. от имени твоего внутреннего домена). Всем возможным получателям: monitoring_gzabbix@inbox.ru, admin@localdomain.net и т.д.
2. Письма он должен слать обоим почтовым серверам (mail.ru и mail.localdomain.net) на 25 порт. И только на этот порт. Без всяких опций аутентификации smtp_sasl_auth (Это важно). Если хочешь, то можешь оставить TLS. Т.к. это не принципиально.
3. Чтобы твои письма успешно принимали оба сервера нужно внести сервер Zabbix в доверенные по политике SPF твоего внутреннего домена localdomain.net. А на сервере mail.localdomain.net нужно быть в белых списках.
Вроде все. После этого уже проблем с smtp_fallback_relay не будет.
Большое спасибо, теперь работает вроде бы согласно логике и задумке.

Код: Выделить всё

Feb 19 12:36:37 zfs postfix/smtpd[65536]: connect from localhost[127.0.0.1]
Feb 19 12:36:37 zfs postfix/smtpd[65536]: 265AEF2B: client=localhost[127.0.0.1]
Feb 19 12:36:37 zfs postfix/cleanup[65538]: 265AEF2B: message-id=<20160219093637.265AEF2B@zabbix.localdomain.net>
Feb 19 12:36:37 zfs postfix/smtpd[65536]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 19 12:36:37 zfs postfix/qmgr[65521]: 265AEF2B: from=<monitoring_gzabbix@inbox.ru>, size=557, nrcpt=1 (queue active)
Feb 19 12:36:37 zfs postfix/smtpd[65536]: connect from localhost[127.0.0.1]
Feb 19 12:36:37 zfs postfix/smtpd[65536]: 446A0F2C: client=localhost[127.0.0.1]
Feb 19 12:36:37 zfs postfix/cleanup[65538]: 446A0F2C: message-id=<20160219093637.446A0F2C@zabbix.localdomain.net>
Feb 19 12:36:37 zfs postfix/smtpd[65536]: disconnect from localhost[127.0.0.1] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Feb 19 12:36:37 zfs postfix/qmgr[65521]: 446A0F2C: from=<monitoring_gzabbix@inbox.ru>, size=551, nrcpt=1 (queue active)
Feb 19 12:36:37 zfs postfix/smtp[65524]: Untrusted TLS connection established to smtp.mail.ru[217.69.139.160]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Feb 19 12:36:39 zfs postfix/smtp[65524]: 446A0F2C: to=<monitoring_gzabbix@inbox.ru>, relay=smtp.mail.ru[217.69.139.160]:25, delay=2.6, delays=0.12/0/2.2/0.25, dsn=2.0.0, status=sent (250 OK id=1aWhUN-00063I-KK)
Feb 19 12:36:39 zfs postfix/qmgr[65521]: 446A0F2C: removed
Feb 19 12:37:01 zfs postfix/smtp[65524]: 265AEF2B: to=<admin@localdomain.net>, relay=mail.localdomain.net[10.10.10.1]:25, delay=25, delays=0.13/25/0/0.08, dsn=2.0.0, status=sent (250 OK id=1aWhXw-00009J-Ky)
Feb 19 12:37:01 zfs postfix/qmgr[65521]: 265AEF2B: removed
Но как так получается, что письма уходят на порт который без шифрования, но при задействованном TLS ? Письмо которое zabbix сервер отсылает на 127.0.0.1 и которое в итоге пересылает postfix на mail.ru - шифруется или нет?

И еще, с эмитировал не доступность smtp.mail.ru, чтобы письмо пошло через smtp_fallback_relay и получил отлуп по блеклисту :) ну это уже наши проблемы...

Код: Выделить всё

Feb 19 12:50:49 zfs postfix/smtp[65699]: connect to smtp.mail.ru[217.69.139.160]:25: Operation not permitted
Feb 19 12:50:49 zfs postfix/smtp[65699]: connect to smtp.mail.ru[94.100.180.160]:25: Operation not permitted
Feb 19 12:51:09 zfs postfix/smtp[65699]: B8B22F30: to=<monitoring_gzabbix@inbox.ru>, relay=mail.localdomain.net[10.10.10.1]:25, delay=80, delays=0.01/60/0/20, dsn=5.0.0, status=bounced (host mail.localdomain.net[10.10.10.1] said: 550-you in blacklist: bl.csma.biz  550 v=spf1 ip6:fd1b:212c:a5f9::/48 -all (in reply to RCPT TO command))
Feb 19 12:51:09 zfs postfix/qmgr[65692]: B8B22F30: removed

Аватара пользователя
Amaka
мл. сержант
Сообщения: 76
Зарегистрирован: 2016-02-03 12:05:11
Откуда: Москва

postfix multiple smarthost relay

Непрочитанное сообщение Amaka » 2016-02-19 13:42:38

...Но как так получается, что письма уходят на порт который без шифрования, но при задействованном TLS ? Письмо которое zabbix сервер отсылает на 127.0.0.1 и которое в итоге пересылает postfix на mail.ru - шифруется или нет?...
Шифруется. Т.к. у тебя в логах "TLS connection established". Но плохо то, что у тебя отправка идет от имени "from=monitoring_gzabbix@inbox.ru". Если попробуешь тельнетом законнектиться к smtp.mail.ru:25, то по твоей комманде ehlo принимающий сервер укажет на поддержку STARTTLS. Вот:

Код: Выделить всё

telnet smtp.mail.ru 25
Trying 217.69.139.160...
Connected to smtp.mail.ru.
Escape character is '^]'.
220 smtp32.i.mail.ru ESMTP ready
ehlo mymail.mydomain.ru
250-smtp32.i.mail.ru
250-SIZE 73400320
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN XOAUTH2
250 STARTTLS
quit
...с эмитировал не доступность smtp.mail.ru, чтобы письмо пошло через smtp_fallback_relay и получил отлуп по блеклисту...
Там еще ссылается на политику SPF. Нужно ее учитывать.
Всем удачи!

Exaile
рядовой
Сообщения: 26
Зарегистрирован: 2013-02-08 14:38:50

postfix multiple smarthost relay

Непрочитанное сообщение Exaile » 2016-02-19 14:08:21

Но плохо то, что у тебя отправка идет от имени "from=monitoring_gzabbix@inbox.ru"
mail.ru не принимает по другому релей если SMTPFromAddr не будет равно пользователю под которым была выполнена аутентификация.

А, и кстати как без опций аутентификации ? Оно так работать вообще же не будет. Сейчас работает с этими опциями, но вы указывали пробовать без них.

Код: Выделить всё

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/usr/local/etc/postfix/relay_password
smtp_sasl_security_options = noanonymous

Аватара пользователя
Amaka
мл. сержант
Сообщения: 76
Зарегистрирован: 2016-02-03 12:05:11
Откуда: Москва

postfix multiple smarthost relay

Непрочитанное сообщение Amaka » 2016-02-19 16:28:59

...mail.ru не принимает по другому релей...
Да. Ты прав. Я упустил это из виду. Но, если тоже самое письмо "from=monitoring_gzabbix@inbox.ru" пойдет по маршруту relay=mail.localdomain.net[10.10.10.1], то оно рискует тоже не дойти по причине "open relay". Т.к. сервер mail.localdomain.net, который будет пересылать письмо далее, не является сервером из домена mail.ru. Но сможет гарантированно доставить письмо тольку получателям своего домена localdomain.net!!
Отсюда вывод такой: Если нужно послать уведомление от Zabbix получателю домена inbox.ru, то письмо нужно слать на почтовый сервер mail.ru (без авторизации и на порт 25). Если нужно отослать уведомление получателю домена localdomain.net, то письмо нужно отправлять на mail.localdomain.net[10.10.10.1].
Всем удачи!