Postfix SMTP Auth

[Dvar]

Нужно включить SMTP авторизацию.
Включил, но есть одно НО:
Когда аутентификация не проходит нет запроса пароля, просто возвращается сообщение
Sender address rejected: not logged in
То есть для пользователя это выглядит так:
Он отправляет письмо, Аутглюк говорит, что все хорошо, письмо перемещено в отправленные, а потом просто приходит уведомление с сообщением выше.

Как-то можно это исправить? Нужно чтобы если вбит неправильный пароль или на клиенте не включена SMTP авторизация, то выдавалась ошибка или запрос пароля.

Выдержка из main.cf

Код: Выделить всё

enable_sasl_authentication = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_application_name = smtpd
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous


smtpd_client_restrictions =  permit_mynetworks,
                             permit_sasl_authenticated,
                             check_client_access hash:$base/client_access,
                             reject_unknown_client_hostname

smtpd_helo_restrictions =       check_helo_access hash:$base/hello_access,
                                permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_invalid_helo_hostname,
                                reject_unknown_helo_hostname

smtpd_sender_restrictions = reject_sender_login_mismatch, (без этого вообще игнорируется авторизация, что с ней, что без нее)
                                permit_mynetworks,
                                permit_sasl_authenticated,
                                check_sender_access hash:$base/sender_access,
                                reject_authenticated_sender_login_mismatch,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unverified_sender

smtpd_recipient_restrictions = permit_mynetworks,
                                permit_sasl_authenticated,
                                reject_unauth_destination,
                                check_recipient_access hash:$base/recipient_access,
                                reject_unlisted_recipient,
                                reject_unknown_recipient_domain,
                                reject_unverified_recipient,

smtpd_etrn_restrictions = reject

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[moury]

Как-то можно это исправить? Нужно чтобы если вбит неправильный пароль или на клиенте не включена SMTP авторизация, то выдавалась ошибка или запрос пароля.

Mynetworks должна содержать только 127.0.0.1/8 и ip-адреса самого почтового сервера. Mynetworks_style должен быть host.

[Dvar]

Тогда просто сообщение меняется на 450 4.7.1 Client host rejected: cannot find your hostname

[ivan__]

Код: Выделить всё

smtpd_sasl_application_name = smtpd

Вместо этого используется

Код: Выделить всё

smtpd_sasl_path = smtpd

и указывать его не нужно - это есть в main.cf.default

[Dvar]

Ок, исправил.
Но это ничего не изменило.

[moury]

Тогда просто сообщение меняется на 450 4.7.1 Client host rejected: cannot find your hostname

Вы же этого и просили!

Раньше у Вас при приеме письма к доставке авторизация игнорировалась (четыре раза срабатывал permit_mynetworks), факт неправильной авторизации всплывал после проверки антиспамом или антивирусом. Вы спрашивали, как настроить постфикс, чтобы при неправильной авторизации режект происходил до приема почтовым сервером письма к доставке. Теперь, поскольку у Вас - проблемы с ДНС, режект происходит при попытке почтового сервера узнать бекрезолв передающего почту. Все, как заказывали.

Чтобы запретить отправку "левой" почты, используется правило reject_unauth_destination.Оно есть, но Вы не понимаете порядок срабатывания ограничений для защиты от спама. Это - грабли, на которые наступают все новички в постфиксе, сам был такой. Советую разобраться с этим и перекомпоновать правила.

А запрет на прием почты от хостов без бекрезолва советую не применять - уж очень много дурных провайдеров.

[Dvar]

Хорошо, оставил вообще только такие правила:

Код: Выделить всё

smtpd_client_restrictions = permit_sasl_authenticated,
smtpd_helo_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination,reject
smtpd_sender_restrictions = permit_sasl_authenticated, reject

В ответ: Sender address rejected: Access denied

Как бы все и правильно, Access denied.
Но мне нужно чтобы клиент, в моём случае Outlook, спросил у меня пароль если с паролем что-то не то.
А он помещает в исходящие и получает письмо с Access denied

[ivan__]

А кто за аутентификацию отвечает?
Это что

Код: Выделить всё

smtpd_sasl2_auth_enable = yes

?
Из _restrictions оставь только

Код: Выделить всё

smtpd_recipient_restrictions =  permit_mynetworks, permit_sasl_authenticated

[moury]

Как бы все и правильно, Access denied.
Но мне нужно чтобы клиент, в моём случае Outlook, спросил у меня пароль если с паролем что-то не то.
А он помещает в исходящие и получает письмо с Access denied

Чтобы почтовый клиент потребовал у пользователя пароль, он должен получить отMTA ответ Relay access denied, то есть, чтобы первое сработавшее запрещающее правило было reject_unauth_destination.

У Вас это правило должно выполниться шестым с начала, а четвертым стоит reject, поэтому неавторизованного клиента тупо посылают.

[Dvar]

moury, большое спасибо за терпение, надеюсь я Вас не слишком сильно достал
Подредактировал конфиг, posftconf -n:

Код: Выделить всё

address_verify_sender = <>
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
command_directory = /usr/local/sbin
config_directory = /usr/local/etc/postfix
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
debug_peer_level = 2
disable_vrfy_command = yes
html_directory = /usr/local/share/doc/postfix
inet_interfaces = all
local_recipient_maps = unix:passwd.byname $alias_maps
mail_owner = postfix
mail_spool_directory = /var/spool/mail
mailq_path = /usr/local/bin/mailq
manpage_directory = /usr/local/man
message_size_limit = 5242880
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = dvar.com
myhostname = mailsrv.dvar.com
mynetworks = 127.0.0.0/8, 192.168.137.0/24
mynetworks_style = subnet
myorigin = $mydomain
newaliases_path = /usr/local/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/local/share/doc/postfix
sample_directory = /usr/local/etc/postfix
sendmail_path = /usr/local/sbin/sendmail
setgid_group = maildrop
show_user_unknown_table_name = no
smtp_always_send_ehlo = yes
smtp_sasl_security_options = noanonymous
smtpd_banner = $myhostname ESMTP
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_etrn_restrictions = reject
smtpd_hard_error_limit = 8
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject
smtpd_reject_unlisted_sender = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_login_maps = mysql:$base/mysqlLookupMaps/sender.conf
smtpd_sender_restrictions = permit_sasl_authenticated
strict_rfc821_envelopes = yes
unknown_local_recipient_reject_code = 550
unverified_sender_reject_code = 550
virtual_alias_maps = mysql:$base/mysqlLookupMaps/alias.conf
virtual_gid_maps = static:1981
virtual_mailbox_base = /var/spool/mail
virtual_mailbox_domains = mysql:$base/mysqlLookupMaps/domain.conf
virtual_mailbox_limit_maps = mysql:$base/mysqlLookupMaps/quota.conf
virtual_mailbox_limit_override = yes
virtual_mailbox_maps = mysql:$base/mysqlLookupMaps/mailbox.conf
virtual_maildir_extended = yes
virtual_maildir_limit_message = "Sorry, the user's maildir has overdrawn his diskspace quota, please try again later"
virtual_minimum_uid = 1000
virtual_overquota_bounce = yes
virtual_uid_maps = static:1981

То есть если смотреть отдельно ограничения:

Код: Выделить всё

smtpd_helo_restrictions = permit_sasl_authenticated
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject

Это виртуалка, я пока на ней экспериментирую.
С такой конфигурацией получаю Recipient address rejected: Access denied при проверке учетной записи Outlook
(отправляется тестовое письмо самому себе), а вот если отправить письмо в другой домен, то оно опять же уходит в отправленные,
но приходит письмо от почтовика с сообщением Relay access denied, но никаких запросов пароля.
Если в smtpd_recipient_restrictions убрать reject в конце, то при проверке вообще все проходит, как будто и нет авторизации.
А при отправке письма куда-то еще - Relay access denied.

[ivan__]

То есть если смотреть отдельно ограничения:

Код: Выделить всё

smtpd_helo_restrictions = permit_sasl_authenticated
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject

Это виртуалка, я пока на ней экспериментирую.
С такой конфигурацией получаю Recipient address rejected: Access denied при проверке учетной записи Outlook
(отправляется тестовое письмо самому себе), а вот если отправить письмо в другой домен, то оно опять же уходит в отправленные,
но приходит письмо от почтовика с сообщением Relay access denied, но никаких запросов пароля.
Если в smtpd_recipient_restrictions убрать reject в конце, то при проверке вообще все проходит, как будто и нет авторизации.
А при отправке письма куда-то еще - Relay access denied.

Судя по всему Вы не понимаете зачем нужны ограничения и как они работают. Скачайте книжку "Postfix Подробное руководство", там все описывается.

Чтобы почтовый клиент потребовал у пользователя пароль, он должен получить отMTA ответ Relay access denied, то есть, чтобы первое сработавшее запрещающее правило было reject_unauth_destination.

Что за бред? reject_unauth_destination разрешает отправку писем только в доверенные postfix домены, и на авторизацию он никак не влияет.

[Dvar]

ivan__, книгу нашел,почитаю, но форум для того и есть чтобы объяснять и подсказывать.
И то что Вы предлагали тоже не вариант, так как permit_mynetworks разрешит отсылать почту без авторизации.
Мне нужно чтобы все пользователи почты проходили авторизацию.

Из _restrictions оставь только

Код: Выделить всё

    smtpd_recipient_restrictions =  permit_mynetworks, permit_sasl_authenticated

[ivan__]

ivan__, книгу нашел,почитаю, но форум для того и есть чтобы объяснять и подсказывать.
И то что Вы предлагали тоже не вариант, так как permit_mynetworks разрешит отсылать почту без авторизации.
Мне нужно чтобы все пользователи почты проходили авторизацию.

Из _restrictions оставь только

Код: Выделить всё

    smtpd_recipient_restrictions =  permit_mynetworks, permit_sasl_authenticated

Для начала удали все лишнее из конфига

Код: Выделить всё

address_verify_sender = <>
smtp_always_send_ehlo = yes
broken_sasl_auth_clients = yes
smtp_sasl_security_options = noanonymous  #он указан у тебя 2 раза все 2 и удали
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_restrictions = permit_sasl_authenticated
smtpd_sender_restrictions = permit_sasl_authenticated

поменяй

Код: Выделить всё

mynetworks_style = host

И что в логах вообще твориться?

[Dvar]

Всё сделал.
Логи:

Код: Выделить всё

Dec 10 17:34:16 mailsrv pop3d: LOGIN, user=test4@dvar.com, ip=[192.168.137.1], port=[64982]
Dec 10 17:34:16 mailsrv authdaemond: Authenticated: sysusername=<null>, sysuserid=1981, sysgroupid=1981, homedir=/var/spool/mail, address=test4@dvar.com, fullname=test4, maildir=test4@dvar.com/, quota=0, options=<null>
Dec 10 17:34:16 mailsrv authdaemond: Authenticated: clearpasswd=test, passwd=$1$34cd77d1$JX9L5bmP6SjTjYPSAsWyP1
Dec 10 17:34:16 mailsrv pop3d: LOGOUT, user=test4@dvar.com, ip=[192.168.137.1], port=[64982], top=0, retr=0, rcvd=12, sent=39, time=0
Dec 10 17:34:28 mailsrv postfix/smtpd[5121]: connect from unknown[192.168.137.1]
Dec 10 17:34:28 mailsrv postfix/smtpd[5121]: NOQUEUE: reject: RCPT from unknown[192.168.137.1]: 554 5.7.1 <test4@dvar.com>: Recipient address rejected: Access denied; from=<test4@dvar.com> to=<test4@dvar.com> proto=ESMTP helo=<scooby>
Dec 10 17:34:30 mailsrv postfix/smtpd[5121]: disconnect from unknown[192.168.137.1]

[ivan__]

что в

Код: Выделить всё

/usr/local/lib/sasl2/smtpd.conf

и

Код: Выделить всё

/usr/local/etc/authlib/authdaemonrc

[Dvar]

smtpd.conf

Код: Выделить всё

pwcheck_method: authdaemond
authdaemond_path: /var/run/authdaemond/socket
mech_list: PLAIN LOGIN CRAM-MD5
auxprop_plugin: sql
sql_usessl: yes
sql_engine: mysql
sql_hostnames: localhost
sql_user: postfix
sql_passwd: postfix
sql_database: postfix
sql_select: select password from mailbox where username = '%u@%r'
log_level: 3

Код: Выделить всё

mailsrv# cat /usr/local/etc/authlib/authdaemonrc | grep -v ^# | grep -v ^$
authmodulelist="authmysql"
authmodulelistorig="authmysql"
daemons=5
authdaemonvar=/var/run/authdaemond
subsystem=mail
DEBUG_LOGIN=2
DEFAULTOPTIONS="wbnodsn=1"
LOGGEROPTS=""

До кучи

Код: Выделить всё

mailsrv# cat /usr/local/etc/authlib/authmysqlrc | grep -v ^# | grep -v ^$
MYSQL_USERNAME          postfix
MYSQL_PASSWORD          postfix
MYSQL_SOCKET            /tmp/mysql.sock
MYSQL_OPT               0
MYSQL_DATABASE          postfix
MYSQL_CHARACTER_SET     utf8
MYSQL_USER_TABLE        mailbox
MYSQL_CRYPT_PWFIELD     password
MYSQL_UID_FIELD         '1981'
MYSQL_GID_FIELD         '1981'
MYSQL_LOGIN_FIELD       username
MYSQL_HOME_FIELD        '/var/spool/mail'
MYSQL_NAME_FIELD        name
MYSQL_MAILDIR_FIELD     maildir
MYSQL_QUOTA_FIELD       quota
MYSQL_WHERE_CLAUSE      active='1'

[moury]

Чтобы почтовый клиент потребовал у пользователя пароль, он должен получить отMTA ответ Relay access denied, то есть, чтобы первое сработавшее запрещающее правило было reject_unauth_destination.

Что за бред? reject_unauth_destination разрешает отправку писем только в доверенные postfix домены, и на авторизацию он никак не влияет.

Вообще-то, reject_unauth_destination запрещает прием почты для доменов, которые не обслуживаются постфиксом

Только никакого бреда - поведение почтового клиента зависит от того, что натворил его программист. Если программист предусмотрел распознавание ошибок авторизации, то вопросы к юзеру будут осмысленными.

Я подозреваю, что у Dvar картину искажают заморочки, связанные с клиентом. Обратите внимание, что приходит письмо с сообщением о Relay access denied. MTA его прислать не может: дал режект и забыл. Поскольку я с аутглюком не работал, подробный анализ дать не могу.

[Dvar]

Я подозреваю, что у Dvar картину искажают заморочки, связанные с клиентом. Обратите внимание, что приходит письмо с сообщением о Relay access denied. MTA его прислать не может: дал режект и забыл. Поскольку я с аутглюком не работал, подробный анализ дать не могу.

Я, конечно, нуб в Postfix, но позвольте с Вами не согласиться
Аутглюк точно не мог такого выдать. Это пришло письмо от почтовика, с английским текстом. Уж аутглюк этого выдать самостоятельно точно не мог.
Он вообще сам входящие письма не создает.

[moury]

Аутглюк точно не мог такого выдать. Это пришло письмо от почтовика, с английским текстом. Уж аутглюк этого выдать самостоятельно точно не мог.
Он вообще сам входящие письма не создает.

Похоже, все-таки создает:
http://www.google.ru/search?hl=ru&q=%D1 ... B%FF%EC%E8

Поскольку outlook express не присылает письмо потом, а ругается сразу, при попытке отправки письма, в настройках MS Outlook должна существовать галочка "думать за юзера и системного администратора"
Снимите ее - проблема отправки будет выявляться сразу. Вам же это надо было?

[ivan__]

не включена SMTP авторизация, то выдавалась ошибка или запрос пароля.

Чего-то сразу не обратил на это внимания. В outlooke галка - SMTP сервер требует авторизацию, обязательно должна стоять.

То есть если смотреть отдельно ограничения:

Код: Выделить всё

smtpd_helo_restrictions = permit_sasl_authenticated
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, reject

Это виртуалка, я пока на ней экспериментирую.
С такой конфигурацией получаю Recipient address rejected: Access denied при проверке учетной записи Outlook
(отправляется тестовое письмо самому себе), а вот если отправить письмо в другой домен, то оно опять же уходит в отправленные,
но приходит письмо от почтовика с сообщением Relay access denied, но никаких запросов пароля.
Если в smtpd_recipient_restrictions убрать reject в конце, то при проверке вообще все проходит, как будто и нет авторизации.
А при отправке письма куда-то еще - Relay access denied.

Postfix проверяет ограничения по порядку. В такой конфигурации если ты авторизовался он будет пропускать без проблем (т.е. если стоит слово permit он дальше ограничения не проверяет). Если ты не авторизован, проверяется следующее ограничение reject_unauth_destination, - если письмо идет в домен доверенный postfix, проверяется следующее ограничение - у тебя это reject и в ответ приходит Recipient address rejected: Access denied. При попытке отправить в другой домен у тебя срабатывает ограничение reject_unauth_destination и в ответ приходит Relay access denied. И это касается и тех кто тебе будет присылать письма т.е. они будут обрезаться третьим ограничением - reject .

Чтобы почтовый клиент потребовал у пользователя пароль, он должен получить отMTA ответ Relay access denied, то есть, чтобы первое сработавшее запрещающее правило было reject_unauth_destination.

Что за бред? reject_unauth_destination разрешает отправку писем только в доверенные postfix домены, и на авторизацию он никак не влияет.

Вообще-то, reject_unauth_destination запрещает прием почты для доменов, которые не обслуживаются постфиксом

Те же яйца только вид сбоку

[Dvar]

Чего-то сразу не обратил на это внимания. В outlooke галка - SMTP сервер требует авторизацию, обязательно должна стоять.

Так вот и хочется, чтобы если не стояла то было бы какое-то вменяемое сообщение, понятное пользователю, а не администратору.

Если ты не авторизован, проверяется следующее ограничение reject_unauth_destination, - если письмо идет в домен доверенный postfix, проверяется следующее ограничение - у тебя это reject и в ответ приходит Recipient address rejected: Access denied.

А что-нибудь типа reject_sasl_not_authenticated нет?))))

Похоже, все-таки создает

Действительно, создает. Это именно Outlook создает сообщение, зараза, такой

[Dvar]

В общем, если убрать галочку в Аутлуку "SMTP сервер требует авторизацию", то придет сообщение от самого же Аутлука, содержащее текст ошибки от Postfix. Проблема в том, что юзер вытаращит глаза увидев такое.

в настройках MS Outlook должна существовать галочка "думать за юзера и системного администратора"

Пока не нашел

А вот если просто неправильно пароль ввести, тогда будет повторный запрос пароля.

[ivan__]

Чего-то сразу не обратил на это внимания. В outlooke галка - SMTP сервер требует авторизацию, обязательно должна стоять.

Так вот и хочется, чтобы если не стояла то было бы какое-то вменяемое сообщение, понятное пользователю, а не администратору.

Если ты не авторизован, проверяется следующее ограничение reject_unauth_destination, - если письмо идет в домен доверенный postfix, проверяется следующее ограничение - у тебя это reject и в ответ приходит Recipient address rejected: Access denied.

А что-нибудь типа reject_sasl_not_authenticated нет?))))

Я же написал, что по этим правилам также проходят письма из других доменов. Т.е. пользователь с mail.ru отправляет тебе письмо а в ответ он получит сообщение что ему прежде чем отправить тебе письмо необходимо авторизоваться на твоем сервере ?