postfix ssl/TLS

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

postfix ssl/TLS

Непрочитанное сообщение Spook1680 » 2010-10-30 19:57:23

Добрый день колеги.
в логах вижу вот эту ошибку. Гуру подскажите что не так.
Пользователь авторизацию POP проходит
но SMTP отбой по таймау
Связка Postfix + dovecot + mysql + postfixadmin (SSL/TLS)

Код: Выделить всё

Oct 30 20:40:25 UNI dovecot: Dovecot v1.2.10 starting up
Oct 30 20:40:25 UNI dovecot: auth-worker(default): mysql: Connected to localhost (postfix)
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18594
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18595
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18596
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18593
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18597
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18598
Oct 30 20:40:43 UNI dovecot: auth(default): client in: AUTH  1       PLAIN   service=pop3    li
Oct 30 20:40:43 UNI dovecot: auth-worker(default): sql(a.maximov@uni.ru,192.168.0.60): query
Oct 30 20:40:43 UNI dovecot: auth(default): client out: OK   1       user=a.maximov@uni.ru
Oct 30 20:40:43 UNI dovecot: auth(default): master in: REQUEST       1       18593   1
Oct 30 20:40:43 UNI dovecot: auth-worker(default): sql(a.maximov@uni.ru,192.168.0.60): SELEC
Oct 30 20:40:43 UNI dovecot: auth(default): master out: USER 1       a.maximov@uni.ru     ma
Oct 30 20:40:43 UNI dovecot: pop3-login: Login: user=<a.maximov@uni.ru>, method=PLAIN, rip=1
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Loading modules from directory: /usr/lo
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Module loaded: /usr/local/lib/dovecot/p
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Effective uid=125, gid=125, home=(none)
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Quota root: name=storage=1048576 backen
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): maildir: data=/usr/local/virtual/unisaw
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): maildir++: root=/usr/local/virtual/unis

"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: postfix ssl/TLS

Непрочитанное сообщение blade_007 » 2010-10-30 21:05:11

мне кажется или не подгрузились логи?

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: postfix ssl/TLS

Непрочитанное сообщение Spook1680 » 2010-10-30 22:17:37

blade_007 писал(а):мне кажется или не подгрузились логи?
Да ))) извините.
Вот полный лог

Код: Выделить всё

Oct 30 20:40:25 UNI dovecot: Dovecot v1.2.10 starting up
Oct 30 20:40:25 UNI dovecot: auth-worker(default): mysql: Connected to localhost (postfix)
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18594
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18595
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18596
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18593
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18597
Oct 30 20:40:26 UNI dovecot: auth(default): new auth connection: pid=18598
Oct 30 20:40:43 UNI dovecot: auth(default): client in: AUTH	1	PLAIN	service=pop3	lip=192.168.0.204	rip=192.168.0.60	lport=110	rport=57722	resp=AGEubWW1vdkB1bmlzYXcuAYWQxN5ODA=
Oct 30 20:40:43 UNI dovecot: auth-worker(default): sql(a.maximov@uni.ru,192.168.0.60): query: SELECT password FROM mailbox WHERE username = 'a.maximov@uni.ru'
Oct 30 20:40:43 UNI dovecot: auth(default): client out: OK	1	user=a.maximov@uni.ru
Oct 30 20:40:43 UNI dovecot: auth(default): master in: REQUEST	1	18593	1
Oct 30 20:40:43 UNI dovecot: auth-worker(default): sql(a.maximov@uni.ru,192.168.0.60): SELECT maildir, 125 AS uid, 125 AS gid, CONCAT('maildir:storage=', FLOOR( quota /1024 ) ) AS quota FROM mailbox WHERE username = 'a.maximov@uni.ru' AND active = '1'
Oct 30 20:40:43 UNI dovecot: auth(default): master out: USER	1	a.maximov@uni.ru	maildir=uni.ru/a.maximov/	uid=125	gid=125	quota=maildir:storage=1048576
Oct 30 20:40:43 UNI dovecot: pop3-login: Login: user=<a.maximov@uni.ru>, method=PLAIN, rip=192.168.0.60, lip=192.168.0.204
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Loading modules from directory: /usr/local/lib/dovecot/pop3
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Module loaded: /usr/local/lib/dovecot/pop3/lib10_quota_plugin.so
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Effective uid=125, gid=125, home=(none)
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Quota root: name=storage=1048576 backend=maildir args=
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): maildir: data=/usr/local/virtual/uni.ru/a.maximov
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): maildir++: root=/usr/local/virtual/uni.ru/a.maximov, index=, control=, inbox=/usr/local/virtual/uni.ru/a.maximov
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Namespace : Using permissions from /usr/local/virtual/uni.ru/a.maximov: mode=0700 gid=-1
Oct 30 20:40:43 UNI dovecot: POP3(a.maximov@uni.ru): Disconnected: Logged out top=0/0, retr=0/0, del=0/0, size=0
Oct 30 20:40:43 UNI postfix/smtpd[18683]: initializing the server-side TLS engine
Oct 30 20:40:43 UNI postfix/smtpd[18683]: connect from unknown[192.168.0.60]
Oct 30 20:40:43 UNI postfix/smtpd[18683]: setting up TLS connection from unknown[192.168.0.60]
Oct 30 20:40:43 UNI postfix/smtpd[18683]: unknown[192.168.0.60]: TLS cipher list "ALL:!EXPORT:!LOW:+RC4:@STRENGTH"
Oct 30 20:40:43 UNI postfix/smtpd[18683]: SSL_accept:before/accept initialization
Oct 30 20:40:43 UNI postfix/smtpd[18683]: read from 28603900 [286A0000] (11 bytes => -1 (0xFFFFFFFF))
Oct 30 20:40:44 UNI dovecot: auth(default): new auth connection: pid=18685
Oct 30 20:41:02 UNI postfix/smtpd[18683]: SSL_accept error from unknown[192.168.0.60]: -1
Oct 30 20:41:02 UNI postfix/smtpd[18683]: lost connection after CONNECT from unknown[192.168.0.60]
Oct 30 20:41:02 UNI postfix/smtpd[18683]: disconnect from unknown[192.168.0.60]
Oct 30 20:45:46 UNI dovecot: auth(default): client in: AUTH	1	PLAIN	service=pop3	lip=192.168.0.204	rip=192.168.0.60	lport=110	rport=57749	resp=AGEubWF4aW1vdkB1bmlzYxNjE5ODA=
Oct 30 20:45:46 UNI dovecot: auth-worker(default): sql(a.maximov@uni.ru,192.168.0.60): query: SELECT password FROM mailbox WHERE username = 'a.maximov@uni.ru'
Oct 30 20:45:46 UNI dovecot: auth(default): client out: OK	1	user=a.maximov@uni.ru
Oct 30 20:45:46 UNI dovecot: auth(default): master in: REQUEST	2	18685	1
Oct 30 20:45:46 UNI dovecot: auth-worker(default): sql(a.maximov@uni.ru,192.168.0.60): SELECT maildir, 125 AS uid, 125 AS gid, CONCAT('maildir:storage=', FLOOR( quota /1024 ) ) AS quota FROM mailbox WHERE username = 'a.maximov@uni.ru' AND active = '1'
Oct 30 20:45:46 UNI dovecot: auth(default): master out: USER	2	a.maximov@uni.ru	maildir=unisaw.ru/a.maximov/	uid=125	gid=125	quota=maildir:storage=1048576
Oct 30 20:45:46 UNI dovecot: pop3-login: Login: user=<a.maximov@uni.ru>, method=PLAIN, rip=192.168.0.60, lip=192.168.0.204
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): Loading modules from directory: /usr/local/lib/dovecot/pop3
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): Module loaded: /usr/local/lib/dovecot/pop3/lib10_quota_plugin.so
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): Effective uid=125, gid=125, home=(none)
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): Quota root: name=storage=1048576 backend=maildir args=
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): maildir: data=/usr/local/virtual/uni.ru/a.maximov
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): maildir++: root=/usr/local/virtual/uni.ru/a.maximov, index=, control=, inbox=/usr/local/virtual/uni.ru/a.maximov
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): Namespace : Using permissions from /usr/local/virtual/uni.ru/a.maximov: mode=0700 gid=-1
Oct 30 20:45:46 UNI dovecot: POP3(a.maximov@uni.ru): Disconnected: Logged out top=0/0, retr=0/0, del=0/0, size=0
Oct 30 20:45:46 UNI dovecot: auth(default): new auth connection: pid=18735

Проверку делал на майкрософ. "оутглюке")) в поле POP и SMTP лок. адрес сервака 192.168.0.204.
Пользователь a.maximov@uni.ru виртуальный в системе его нет.

В данных параметрах задаются X.509 SSL/TLS сертификат и закрытый ключ,
в формате PEM
dovecot
SSL/TLS сертификат для безопасного соединения с сервером

Код: Выделить всё


openssl req -new -x509 -nodes -out cert.pem -keyout key.pem -days 365
Postfix

Код: Выделить всё

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 3650

Возможно где-то глупую ошибку допустил. Но не вижу.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: postfix ssl/TLS

Непрочитанное сообщение Spook1680 » 2010-10-30 23:14:30

Так же делал проверку ключа smtpd.pem
в результате в конце получаю.

Код: Выделить всё

uni.ru/emailAddress=postmaster@uni.ru
error 18 at 0 depth lookup:self signed certificate
OK
Если не указать явным образом, openssl не будет проверять самоподписные сертификаты (self-signed certificate).
В конфиге postfix указано (привожу кусок)
Хотя возможно я тут ошибаюсь есть неуверенность в этом обзаце :drinks:

Код: Выделить всё


#SASL CONFIG
broken_sasl_auth_clients = yes
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unauth_destination,
  reject_unauth_pipelining,
  reject_invalid_hostname,

smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth


#TLS CONFIG
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_cert_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_CAfile = /etc/ssl/postfix/smtpd.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

#MySQL 
virtual_alias_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:125
virtual_mailbox_base = /usr/local/virtual
virtual_mailbox_domains = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_maps = proxy:mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 125
virtual_transport = virtual
virtual_uid_maps = static:125

##Additional
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = proxy:myslq:/usr/local/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps
  $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains
  $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps
  $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks
  $virtual_mailbox_limit_maps
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = Sorry, this user has overdrawn their diskspace quota. Please try again later.
virtual_qverquota_bounce = yes
 
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

blade_007
ст. прапорщик
Сообщения: 571
Зарегистрирован: 2010-03-12 12:59:08
Контактная информация:

Re: postfix ssl/TLS

Непрочитанное сообщение blade_007 » 2010-10-31 20:11:28

http://gagravarr.org/writing/openssl-certs/errors.shtml здесь описана Ваша ошибка про сертификаты - возможно поможет.

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: postfix ssl/TLS

Непрочитанное сообщение Spook1680 » 2010-10-31 23:10:42

Пробовал проверять tls сеанс с помощью openssl

Код: Выделить всё

openssl s_client -starttls smtp -CApath /usr/src/crypto/openssl/certs/ -connect localhost:25
ошибка
didn't found starttls in server response, try anyway...
write:errno=32
В логах вижу следующее
Oct 31 22:33:02 UNI postfix/smtpd[26931]: initializing the server-side TLS engine
Oct 31 22:33:02 UNIpostfix/smtpd[26931]: cannot load Certificate Authority data: disabling TLS support
Oct 31 22:33:02 UNI postfix/smtpd[26931]: warning: TLS library problem: 26931:error:02001002:system library:fopen:No such file or directory:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:122:fopen('/etc/ssl/postfix/smtpd.pem','r'):
Oct 31 22:33:02 UNI postfix/smtpd[26931]: warning: TLS library problem: 26931:error:2006D080:BIO routines:BIO_new_file:no such file:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/bio/bss_file.c:125:
Oct 31 22:33:02 UNI postfix/smtpd[26931]: warning: TLS library problem: 26931:error:0B084002:x509 certificate routines:X509_load_cert_crl_file:system lib:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/x509/by_file.c:274:
Oct 31 22:33:02 UNI postfix/smtpd[26931]: connect from localhost[127.0.0.1]
Oct 31 22:33:02 UNI postfix/smtpd[26931]: warning: Wrapper-mode request dropped from localhost[127.0.0.1] for service smtp. TLS context initialization failed. For details see earlier warnings in your logs.
Oct 31 22:33:02 UNI postfix/smtpd[26931]: disconnect from localhost[127.0.0.1]
CA сертифика почтового сервера свой. в корневое хранилище его добавил
/etc/ssl/postfix/ место СА

Код: Выделить всё

cat /usr/src/crypto/openssl//demoCA/cacert.pem >> /etc/ssl/postfix/smtpd.pem
Создал индексированную таблицу для поиска ( правда сдесь не уверен мог ошибится)
захожу в директорию где лежит файл smtpd.pem

Код: Выделить всё

/etc/ssl/postfix/smtpd.pem

c_rehash /usr/src/crypto/openssl/certs/
такой команды небыло система руглуналь, возможно это тока пингвином доступно.
Пошел другим путем

Код: Выделить всё

mv smtp.pem `openssl x509 -hash -noout -in smtpd.pem`.0

файл smtpd.pem исчез )) вместо него появился
de373a9a.0

Вопрос!? в конфиге main.cf постфикса указано

Код: Выделить всё

smtpd_tls_key_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_cert_file = /etc/ssl/postfix/smtpd.pem
smtpd_tls_CAfile = /etc/ssl/postfix/smtpd.pem
После индексации надо производить изменения? просто указав каталог
smtpd_tlsCApath = /etc/ssl/postfix/
?????

:roll: интересно тут меня кто нибудь слышит а то как в старом анекдоте. Доктор меня все игнорируют и не замечают..
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
Spook1680
лейтенант
Сообщения: 996
Зарегистрирован: 2009-07-28 12:26:09

Re: postfix ssl/TLS

Непрочитанное сообщение Spook1680 » 2010-11-02 11:20:45

:st: Добрый день.
Есть спецы которые согласилисьбы помочь боблесу разобратся с почтовым сервером. Естественно не за бесплатно.
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "