[sisyphus] postfix

[sisyphus] postfix

[Salavat Yarmukhametov]

	Имеется необходимость копировать почту определенных пользователей.
на postfix.org написано что опции
sender_bcc_maps и recipient_bcc_maps поддерживаются только с версии 2.1
Сизифная версия это умеет?

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Salavat!

Wednesday 19, at 09:42:34 PM you wrote:

> 	Имеется необходимость копировать почту определенных пользователей.
> на postfix.org написано что опции
> sender_bcc_maps и recipient_bcc_maps поддерживаются только с версии 2.1
> Сизифная версия это умеет?
есть неофициальная версия, которая умеет. Должна работать под ALM2.4.

http://lakostis.elektrostal.ru/RPMS/ALM2.4/SRPMS/

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [sisyphus] Re: postfix

[Salavat Yarmukhametov]

Wed, Jan 19, 2005 at 09:53:58PM +0300, Konstantin A. Lepikhov писал:
> Hi Salavat!
> 
> Wednesday 19, at 09:42:34 PM you wrote:
> 
> > 	Имеется необходимость копировать почту определенных пользователей.
> > на postfix.org написано что опции
> > sender_bcc_maps и recipient_bcc_maps поддерживаются только с версии 2.1
> > Сизифная версия это умеет?
> есть неофициальная версия, которая умеет. Должна работать под ALM2.4.
> 
> http://lakostis.elektrostal.ru/RPMS/ALM2.4/SRPMS/

ЗдОрово! А она с поддержкой sasl собрана?

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

<цитата от="Salavat Yarmukhametov">
<skip>
>> есть неофициальная версия, которая
>> умеет. Должна работать под ALM2.4.
>>
>> http://lakostis.elektrostal.ru/RPMS/ALM2.4/SRPMS/
>
> ЗдОрово! А она с поддержкой sasl собрана?
да, и TLS.

-- 
WBR et al.

Re: [sisyphus] Re: postfix

[Salavat Yarmukhametov]

Thu, Jan 20, 2005 at 05:44:01PM +0300, Konstantin A. Lepikhov писал:
> 
> <цитата от="Salavat Yarmukhametov">
> <skip>
> >> есть неофициальная версия, которая
> >> умеет. Должна работать под ALM2.4.
> >>
> >> http://lakostis.elektrostal.ru/RPMS/ALM2.4/SRPMS/
> >
> > ЗдОрово! А она с поддержкой sasl собрана?
> да, и TLS.

чего то не получается:
[salavat@salavat salavat]$ telnet test.regiongarant.ru 25
Trying 192.168.1.101...
Connected to 192.168.1.101.
Escape character is '^]'.
220 test.regiongarant.ru ESMTP Postfix
ehlo test
250-test.regiongarant.ru
250-PIPELINING
250-SIZE 10485760
250-ETRN
250-AUTH PLAIN LOGIN
250 8BITMIME
starttls
502 Error: command not implemented
Connection closed by foreign host.

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Salavat!

Friday 21, at 03:29:42 PM you wrote:

<skip>
> 250 8BITMIME
> starttls
> 502 Error: command not implemented
> Connection closed by foreign host.
хм. у меня получается:

[lakostis@lks lakostis]$ telnet xxxx.elektrostal.ru 25
Trying 195.18.32.24...
Connected to xxxx.elektrostal.ru.
Escape character is '^]'.
220 xxxx.elektrostal.ru ESMTP
EHLO test
250-xxxx.elektrostal.ru
250-PIPELINING
250-SIZE 20480000
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250 8BITMIME
STARTTLS
220 Ready to start TLS

?

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[sisyphus] Re: postfix

[Salavat Yarmukhametov]

Fri, Jan 21, 2005 at 03:47:24PM +0300, Konstantin A. Lepikhov писал:
> Hi Salavat!
> 
> Friday 21, at 03:29:42 PM you wrote:
> 
> <skip>
> > 250 8BITMIME
> > starttls
> > 502 Error: command not implemented
> > Connection closed by foreign host.
> хм. у меня получается:
> 
> [lakostis@lks lakostis]$ telnet xxxx.elektrostal.ru 25
> Trying 195.18.32.24...
> Connected to xxxx.elektrostal.ru.
> Escape character is '^]'.
> 220 xxxx.elektrostal.ru ESMTP
> EHLO test
> 250-xxxx.elektrostal.ru
> 250-PIPELINING
> 250-SIZE 20480000
> 250-ETRN
> 250-STARTTLS
> 250-AUTH PLAIN LOGIN
> 250-AUTH=PLAIN LOGIN
> 250 8BITMIME
> STARTTLS
> 220 Ready to start TLS
> 
> ?

При компиляции нужно было что-нибудь менять?
я делал просто rpm -bb postfix.spec

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Salavat!

Friday 21, at 03:50:38 PM you wrote:

<skip>
> > STARTTLS
> > 220 Ready to start TLS
> > 
> > ?
> 
> При компиляции нужно было что-нибудь менять?
> я делал просто rpm -bb postfix.spec
нет, там по-умолчанию %def_with tls. Что-то у вас не то с настройками. А
что в логах самого сервера?

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[sisyphus] Re: postfix

[Salavat Yarmukhametov]

Fri, Jan 21, 2005 at 04:14:28PM +0300, Konstantin A. Lepikhov писал:
> Hi Salavat!
> 
> Friday 21, at 03:50:38 PM you wrote:
> 
> <skip>
> > > STARTTLS
> > > 220 Ready to start TLS
> > > 
> > > ?
> > 
> > При компиляции нужно было что-нибудь менять?
> > я делал просто rpm -bb postfix.spec
> нет, там по-умолчанию %def_with tls. Что-то у вас не то с настройками. А
> что в логах самого сервера?

уже разобрался спасибо. tls не была включена в настройках. теперь:
220 Ready to start TLS
теперь бы разобраться как ее работать заставить :)

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

Re: [sisyphus] Re: postfix

[Victor Forsyuk]

On Fri, Jan 21, 2005 at 04:32:46PM +0300, Salavat Yarmukhametov wrote:
> > <skip>
> > > > STARTTLS
> > > > 220 Ready to start TLS
> > > > 
> > > > ?
> > > 
> > > При компиляции нужно было что-нибудь менять?
> > > я делал просто rpm -bb postfix.spec
> > нет, там по-умолчанию %def_with tls. Что-то у вас не то с настройками. А
> > что в логах самого сервера?
> 
> уже разобрался спасибо. tls не была включена в настройках. теперь:
> 220 Ready to start TLS
> теперь бы разобраться как ее работать заставить :)

А что, в postfix ее нужно отдельно включать и еще отдельно заставлять
работать? ;-))

У конкурентов все достаточно просто:

# This option instructs Exim to advertise the availability of encrypted
# connections to all hosts, and uses the certificate which is automatically
# generated when the RPM is installed. You can disable TLS, should you need
# to do so, by commenting out the three lines below.
tls_advertise_hosts = *
tls_certificate = /var/lib/ssl/certs/exim.pem
tls_privatekey = /var/lib/ssl/private/exim.pem

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Victor!

Friday 21, at 03:47:54 PM you wrote:

<skip>
> 
> А что, в postfix ее нужно отдельно включать и еще отдельно заставлять
> работать? ;-))
да нет, просто readme прочитать сначала ;) но строчек побольше:

# TLS
smtpd_use_tls = yes
smtpd_tls_auth_only = no
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_tls_key_file = /etc/postfix/ssl/server.key
smtpd_tls_cert_file = /etc/postfix/ssl/server.crt
smtpd_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtpd_tls_received_header = yes

в общем-то и все.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [sisyphus] Re: postfix

[Salavat Yarmukhametov]

Fri, Jan 21, 2005 at 05:35:31PM +0300, Konstantin A. Lepikhov писал:
> Hi Victor!
> 
> Friday 21, at 03:47:54 PM you wrote:
> 
> <skip>
> > 
> > А что, в postfix ее нужно отдельно включать и еще отдельно заставлять
> > работать? ;-))
> да нет, просто readme прочитать сначала ;) но строчек побольше:
> 

а как избавится от этого:
amavis[23571]: (23571-05) mail_via_smtp: 530 5.5.0 Rejected
 by MTA: 530 Must issue a STARTTLS command first


	вроде я его для amavisd отключил:

# postconf -n |grep -v ^# master.cf
127.0.0.1:10025 inet n  -   n   -   -  smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks=127.0.0.0/8
    -o strict_rfc821_envelopes=yes
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_use_tls=no
    -o smtpd_tls_auth_only=no


письмо не доходит - приходит отлуп

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Salavat!

Friday 21, at 06:12:50 PM you wrote:

> Fri, Jan 21, 2005 at 05:35:31PM +0300, Konstantin A. Lepikhov писал:
> > Hi Victor!
> > 
> > Friday 21, at 03:47:54 PM you wrote:
> > 
> > <skip>
> > > 
> > > А что, в postfix ее нужно отдельно включать и еще отдельно заставлять
> > > работать? ;-))
> > да нет, просто readme прочитать сначала ;) но строчек побольше:
> > 
> 
> а как избавится от этого:
> amavis[23571]: (23571-05) mail_via_smtp: 530 5.5.0 Rejected
>  by MTA: 530 Must issue a STARTTLS command first
где-то у вас сильно сломано. Что написано про tls в main.cf? И что для
mail_via_smtp в master.cf?
 
-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[sisyphus] Re: postfix

[Salavat Yarmukhametov]

Fri, Jan 21, 2005 at 06:33:02PM +0300, Konstantin A. Lepikhov писал:
> Hi Salavat!
> 
> Friday 21, at 06:12:50 PM you wrote:
> 
> > Fri, Jan 21, 2005 at 05:35:31PM +0300, Konstantin A. Lepikhov писал:
> > > Hi Victor!
> > > 
> > > Friday 21, at 03:47:54 PM you wrote:
> > > 
> > > <skip>
> > > > 
> > > > А что, в postfix ее нужно отдельно включать и еще отдельно заставлять
> > > > работать? ;-))
> > > да нет, просто readme прочитать сначала ;) но строчек побольше:
> > > 
> > 
> > а как избавится от этого:
> > amavis[23571]: (23571-05) mail_via_smtp: 530 5.5.0 Rejected
> >  by MTA: 530 Must issue a STARTTLS command first
> где-то у вас сильно сломано. Что написано про tls в main.cf? И что для
# SMTP Auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass
smtp_sasl_security_options = noplaintext
smtpd_recipient_restrictions = permit_sasl_authenticated,
reject_unauth_destination, permit_mynetworks, check_sender_access,
permit_tls_clientcerts, reject
smtpd_restriction_classes = local_only
local_only = check_recipient_access, reject_unauth_destination
# TLS
smtpd_use_tls = yes
smtpd_tls_key_file = /var/lib/ssl/certs/privkey.pem
smtpd_tls_cert_file = /var/lib/ssl/certs/cert.pem
smtpd_tls_loglevel = 3
smtpd_starttls_timeout = 300s
smtpd_tls_received_header = yes
smtp_tls_note_starttls_offer = yes
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_tls_auth_only = yes
smtpd_enforce_tls = yes
smtpd_tls_ask_ccert = yes
smtp_sasl_tls_security_options = $smtp_sasl_security_options
smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
##smtpd_tls_CAfile = /var/lib/ssl/certs/ca.crt
smtpd_client_restrictions = permit_mynetworks
smtpd_sender_restrictions = permit_mynetworks
# /TLS
content_filter = smtp-amavis:[127.0.0.1]:10024

> mail_via_smtp в master.cf?
ничего. а что должно быть?
--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Salavat!

Friday 21, at 06:52:23 PM you wrote:

<skip>
> > где-то у вас сильно сломано. Что написано про tls в main.cf? И что для
> # SMTP Auth
> smtpd_sasl_auth_enable = yes
> broken_sasl_auth_clients = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $mydomain
                            ^^^^^^^^^
по-умолчанию тут ничего не написано, вам действительно нужна авторизация
по нескольким realm'ам?

> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/saslpass
> smtp_sasl_security_options = noplaintext
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> reject_unauth_destination, permit_mynetworks, check_sender_access,
> permit_tls_clientcerts, reject
  ^^^^^^^^^^^^^^^^^^^^^^ - вам это действительно надо?
> smtpd_restriction_classes = local_only
> local_only = check_recipient_access, reject_unauth_destination
> # TLS
> smtpd_use_tls = yes
> smtpd_tls_key_file = /var/lib/ssl/certs/privkey.pem
> smtpd_tls_cert_file = /var/lib/ssl/certs/cert.pem
> smtpd_tls_loglevel = 3
> smtpd_starttls_timeout = 300s
> smtpd_tls_received_header = yes
> smtp_tls_note_starttls_offer = yes
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - зачем? 
> smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
> smtpd_tls_auth_only = yes
  ^^^^^^^^^^^^^^^^^^^^^^^^^ - это по-желанию, но проблем с клиентами будет
  больше ;)
> smtpd_enforce_tls = yes
  ^^^^^^^^^^^^^^^^^^^^^^^ - это не надо, лучше уберите.
> smtpd_tls_ask_ccert = yes
  ^^^^^^^^^^^^^^^^^^^^^^^^^ - опять, вы действительно хотите этого?
> smtp_sasl_tls_security_options = $smtp_sasl_security_options
> smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
> ##smtpd_tls_CAfile = /var/lib/ssl/certs/ca.crt
а вот это зря закомментили

> smtpd_client_restrictions = permit_mynetworks
> smtpd_sender_restrictions = permit_mynetworks
> # /TLS
> content_filter = smtp-amavis:[127.0.0.1]:10024
тады я не понял - как у вас фильтр называется - smtp-amavis или
mail_via_smtp?

PS побегайте по http://www.postfix.org/postconf.5.html прежде, чем
чего-то включать, очень помогает.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[sisyphus] Re: postfix

[Salavat Yarmukhametov]

Fri, Jan 21, 2005 at 10:14:46PM +0300, Konstantin A. Lepikhov писал:
> Hi Salavat!
> 
> Friday 21, at 06:52:23 PM you wrote:
> 
> <skip>
> > > где-то у вас сильно сломано. Что написано про tls в main.cf? И что для
> > # SMTP Auth
> > smtpd_sasl_auth_enable = yes
> > broken_sasl_auth_clients = yes
> > smtpd_sasl_security_options = noanonymous
> > smtpd_sasl_local_domain = $mydomain
>                             ^^^^^^^^^
> по-умолчанию тут ничего не написано, вам действительно нужна авторизация
> по нескольким realm'ам?
> 
> > smtp_sasl_auth_enable = yes
> > smtp_sasl_password_maps = hash:/etc/postfix/saslpass
> > smtp_sasl_security_options = noplaintext
> > smtpd_recipient_restrictions = permit_sasl_authenticated,
> > reject_unauth_destination, permit_mynetworks, check_sender_access,
> > permit_tls_clientcerts, reject
>   ^^^^^^^^^^^^^^^^^^^^^^ - вам это действительно надо?
> > smtpd_restriction_classes = local_only
> > local_only = check_recipient_access, reject_unauth_destination
> > # TLS
> > smtpd_use_tls = yes
> > smtpd_tls_key_file = /var/lib/ssl/certs/privkey.pem
> > smtpd_tls_cert_file = /var/lib/ssl/certs/cert.pem
> > smtpd_tls_loglevel = 3
> > smtpd_starttls_timeout = 300s
> > smtpd_tls_received_header = yes
> > smtp_tls_note_starttls_offer = yes
>   ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - зачем? 
> > smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
> > smtpd_tls_auth_only = yes
>   ^^^^^^^^^^^^^^^^^^^^^^^^^ - это по-желанию, но проблем с клиентами будет
>   больше ;)

Есть около 20 филиалов в разных городах, которым хочется дать возможность
пользоваться ящиками на нашем сервере и сделать наиболее безопасно. А
какие могут быть проблемы?


> > smtpd_enforce_tls = yes
>   ^^^^^^^^^^^^^^^^^^^^^^^ - это не надо, лучше уберите.
> > smtpd_tls_ask_ccert = yes
>   ^^^^^^^^^^^^^^^^^^^^^^^^^ - опять, вы действительно хотите этого?
> > smtp_sasl_tls_security_options = $smtp_sasl_security_options
> > smtp_sasl_tls_verified_security_options = $smtp_sasl_tls_security_options
> > ##smtpd_tls_CAfile = /var/lib/ssl/certs/ca.crt
> а вот это зря закомментили
> 
> > smtpd_client_restrictions = permit_mynetworks
> > smtpd_sender_restrictions = permit_mynetworks
> > # /TLS
> > content_filter = smtp-amavis:[127.0.0.1]:10024
> тады я не понял - как у вас фильтр называется - smtp-amavis или
> mail_via_smtp?

smtp-amavis. Откуда в логах взялось mail_via_smtp не пойму :(

> 
> PS побегайте по http://www.postfix.org/postconf.5.html прежде, чем
> чего-то включать, очень помогает.

Большое спасибо за помощь!


--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441

[sisyphus] Re: postfix

[Konstantin A. Lepikhov]

Hi Salavat!

Monday 24, at 11:52:34 AM you wrote:

<skip>
> > > smtpd_tls_auth_only = yes
> >   ^^^^^^^^^^^^^^^^^^^^^^^^^ - это по-желанию, но проблем с клиентами будет
> >   больше ;)
> 
> Есть около 20 филиалов в разных городах, которым хочется дать возможность
> пользоваться ящиками на нашем сервере и сделать наиболее безопасно. А
> какие могут быть проблемы?
Например, клиенты с зебат - у них по жизни TLS глючит.
 
-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

[sisyphus] Re: postfix

[Salavat Yarmukhametov]

Mon, Jan 24, 2005 at 12:15:08PM +0300, Konstantin A. Lepikhov писал:
> Hi Salavat!
> 
> Monday 24, at 11:52:34 AM you wrote:
> 
> <skip>
> > > > smtpd_tls_auth_only = yes
> > >   ^^^^^^^^^^^^^^^^^^^^^^^^^ - это по-желанию, но проблем с клиентами будет
> > >   больше ;)
> > 
> > Есть около 20 филиалов в разных городах, которым хочется дать возможность
> > пользоваться ящиками на нашем сервере и сделать наиболее безопасно. А
> > какие могут быть проблемы?
> Например, клиенты с зебат - у них по жизни TLS глючит.

ясно, спасибо. Поскольку это наши филиалы, выбор почтового клиента решается
административно :)

--
Salavat Yarmukhametov		
Jabber: salik@jabber.ru	
ICQ:	21144441