* [Sysadmins] postgrey help need
@ 2007-11-22 17:28 Igor Solovyov
2007-11-22 19:28 ` Dmitry Lebkov
0 siblings, 1 reply; 11+ messages in thread
From: Igor Solovyov @ 2007-11-22 17:28 UTC (permalink / raw)
To: sysadmins
Hi All!
А возможно ли postgrey-ю как-то обяснить через whitelist или еще как-то
про своих пользователей, находящихся вне mynetworks и не имеющих ни
постоянных ip-адресов, ни доменных имен? Таких, про которых postfix
говорит unknown[any.ip.addr.here] и hostname типа localhost?
Postfix-у хоть через permit_sasl_authenticated про них удалось
объяснить, а вот postgrey-ю...
я думал что раз уж в такой конструкции:
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unlisted_recipient,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:60000
check_policy_service прописан последним, то вроде как впереди
стоящие "permit_..." вперед срабатывать должны, но почему-то этих самых
sasl_authenticated грейлистит тем не менее...
Это решаемо?
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-22 17:28 [Sysadmins] postgrey help need Igor Solovyov
@ 2007-11-22 19:28 ` Dmitry Lebkov
2007-11-23 8:42 ` Igor Solovyov
0 siblings, 1 reply; 11+ messages in thread
From: Dmitry Lebkov @ 2007-11-22 19:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Igor Solovyov пишет:
> Hi All!
>
> А возможно ли postgrey-ю как-то обяснить через whitelist или еще как-то
> про своих пользователей, находящихся вне mynetworks и не имеющих ни
> постоянных ip-адресов, ни доменных имен? Таких, про которых postfix
> говорит unknown[any.ip.addr.here] и hostname типа localhost?
> Postfix-у хоть через permit_sasl_authenticated про них удалось
> объяснить, а вот postgrey-ю...
>
> я думал что раз уж в такой конструкции:
>
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_mynetworks,
> reject_unauth_pipelining,
> reject_non_fqdn_recipient,
> reject_unknown_recipient_domain,
> reject_unlisted_recipient,
> reject_unauth_destination,
> check_policy_service inet:127.0.0.1:60000
>
> check_policy_service прописан последним, то вроде как впереди
> стоящие "permit_..." вперед срабатывать должны, но почему-то этих самых
> sasl_authenticated грейлистит тем не менее...
Если грейлистит - значит клиенты таки совсем не authenticated. И искать
надо причину этого, а не способ объяснить postgrey'ю про mynetworks.
Вышеописанный набор огрничений должен работать именно так, как задумывалось.
Ну и конфиг постфикуса (postconf -n) и логи одной SMTP-сессии таки
хотелось бы увидеть.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-22 19:28 ` Dmitry Lebkov
@ 2007-11-23 8:42 ` Igor Solovyov
2007-11-23 8:55 ` Nikolay A. Fetisov
0 siblings, 1 reply; 11+ messages in thread
From: Igor Solovyov @ 2007-11-23 8:42 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 05:28:07 +1000
Dmitry Lebkov <dima@sakhalin.ru> wrote:
> Если грейлистит - значит клиенты таки совсем не authenticated. И
> искать надо причину этого, а не способ объяснить postgrey'ю про
> mynetworks. Вышеописанный набор огрничений должен работать именно
> так, как задумывалось.
Точно! Так и оказалось!
...
Nov 23 10:36:05 gate postfix/smtpd[11316]: warning: SASL authentication
failure: Password verification failed
Nov 23 10:36:05 gate postfix/smtpd[11316]: warning:
unknown [192.168.151.200]: SASL PLAIN authentication failed:
...
а не заметил потому что смотрел лог через grep :-(
Осталось разобраться почему. То ли я что-то не так настроил,
то ли клентские TheBat настраивать нужно...
> Ну и конфиг постфикуса (postconf -n) и логи одной SMTP-сессии таки
> хотелось бы увидеть.
Собственно вот (не полностью, чтобы не раздувать
письмо, а то что касаемо tls и sasl):
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtp_use_tls = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
--
Best regards!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 8:42 ` Igor Solovyov
@ 2007-11-23 8:55 ` Nikolay A. Fetisov
2007-11-23 8:58 ` Igor Solovyov
0 siblings, 1 reply; 11+ messages in thread
From: Nikolay A. Fetisov @ 2007-11-23 8:55 UTC (permalink / raw)
To: sysadmins
On Fri, 23 Nov 2007 13:42:08 +0500
Igor Solovyov wrote:
> ...
> Осталось разобраться почему. То ли я что-то не так настроил,
> то ли клентские TheBat настраивать нужно...
Попробуйте отключить в настройках The Bat! использование TLS.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 8:55 ` Nikolay A. Fetisov
@ 2007-11-23 8:58 ` Igor Solovyov
2007-11-23 9:09 ` Igor Solovyov
0 siblings, 1 reply; 11+ messages in thread
From: Igor Solovyov @ 2007-11-23 8:58 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi!
On Fri, 23 Nov 2007 11:55:33 +0300
"Nikolay A. Fetisov" <naf@naf.net.ru> wrote:
> On Fri, 23 Nov 2007 13:42:08 +0500
> Igor Solovyov wrote:
>
> > ...
> > Осталось разобраться почему. То ли я что-то не так настроил,
> > то ли клентские TheBat настраивать нужно...
>
> Попробуйте отключить в настройках The Bat! использование TLS.
Дык их там никто и не включал... :-)
Видимо как раз включить надо.
Ладно, пойду винду с батом искать, погляжу хоть в батовские настройки,
затем начальству отзвонюсь, попрошу настроить бат.
:-)))
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 8:58 ` Igor Solovyov
@ 2007-11-23 9:09 ` Igor Solovyov
2007-11-23 9:13 ` Алексей Шенцев
0 siblings, 1 reply; 11+ messages in thread
From: Igor Solovyov @ 2007-11-23 9:09 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 13:58:35 +0500
Igor Solovyov <gosha@anti.su> wrote:
> > Попробуйте отключить в настройках The Bat! использование TLS.
>
> Дык их там никто и не включал... :-)
> Видимо как раз включить надо.
> Ладно, пойду винду с батом искать, погляжу хоть в батовские
> настройки, затем начальству отзвонюсь, попрошу настроить бат.
Ну вот! Так и оказалось, в бате надо настроить соединение:
"Бесопасное на спец.порт(TLS)", вот только там порты предлагаются
для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.
Видимо нужно их исправить на 110 и 25 соответственно?
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 9:09 ` Igor Solovyov
@ 2007-11-23 9:13 ` Алексей Шенцев
2007-11-23 9:33 ` Igor Solovyov
0 siblings, 1 reply; 11+ messages in thread
From: Алексей Шенцев @ 2007-11-23 9:13 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал(а):
> Hi!
> On Fri, 23 Nov 2007 13:58:35 +0500
>
> Igor Solovyov <gosha@anti.su> wrote:
> > > Попробуйте отключить в настройках The Bat! использование TLS.
> >
> > Дык их там никто и не включал... :-)
> > Видимо как раз включить надо.
> > Ладно, пойду винду с батом искать, погляжу хоть в батовские
> > настройки, затем начальству отзвонюсь, попрошу настроить бат.
>
> Ну вот! Так и оказалось, в бате надо настроить соединение:
> "Бесопасное на спец.порт(TLS)", вот только там порты предлагаются
> для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.
>
> Видимо нужно их исправить на 110 и 25 соответственно?
Первое:
[root@gw /]# cat /etc/services | grep pop
3com-tsmux 106/tcp poppassd # 3COM-TSMUX
3com-tsmux 106/udp poppassd # 3COM-TSMUX
pop2 109/tcp pop-2 postoffice # Post Office
Protocol - Version 2
pop2 109/udp pop-2 # Post Office Protocol -
Version 2
pop3 110/tcp pop-3 # Post Office Protocol -
Version 3
pop3 110/udp pop-3 # Post Office Protocol -
Version 3
pop3s 995/tcp spop3 # pop3 protocol over TLS/SSL
pop3s 995/udp spop3 # pop3 protocol over TLS/SSL
kpop 1109/tcp # Pop with Kerberos
[root@gw /]# cat /etc/services | grep smtp
smtp 25/tcp mail # Simple Mail Transfer
Protocol
smtp 25/udp mail # Simple Mail Transfer
Protocol
urd 465/tcp smtps # URL Rendesvous Directory for
SSM
[root@gw /]# cat /etc/services | grep imap
imap 143/tcp imap2 # Interim Mail Access Protocol
imap 143/udp imap2 # Interim Mail Access Protocol
imap3 220/tcp # Interactive Mail Access
Protocol v3
imap3 220/udp # Interactive Mail Access
Protocol v3
imaps 993/tcp # imap4 protocol over TLS/SSL
imaps 993/udp # imap4 protocol over TLS/SSL
[root@gw /]#
Второе: нужные порты сначала нужно настроить на серваке, а потом у клиента.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 9:13 ` Алексей Шенцев
@ 2007-11-23 9:33 ` Igor Solovyov
2007-11-23 9:39 ` Алексей Шенцев
0 siblings, 1 reply; 11+ messages in thread
From: Igor Solovyov @ 2007-11-23 9:33 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 12:13:50 +0300
Алексей Шенцев <ashen@nsrz.ru> wrote:
> В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал
> > Ну вот! Так и оказалось, в бате надо настроить соединение:
> > "Бесопасное на спец.порт(TLS)", вот только там порты предлагаются
> > для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.
> >
> > Видимо нужно их исправить на 110 и 25 соответственно?
>
> Второе: нужные порты сначала нужно настроить на серваке, а потом у
> клиента.
Не понял, что собственно настроить?
Настроить postfix на TLS и SASL, дык вроде настроил...
......
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtp_use_tls = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
....
Или может недонастроил? :-)
Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли
он на 465 и 965 портах.
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 9:33 ` Igor Solovyov
@ 2007-11-23 9:39 ` Алексей Шенцев
2007-11-23 9:50 ` Igor Solovyov
0 siblings, 1 reply; 11+ messages in thread
From: Алексей Шенцев @ 2007-11-23 9:39 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Friday 23 November 2007 12:33:50 Igor Solovyov написал(а):
> Hi!
> On Fri, 23 Nov 2007 12:13:50 +0300
>
> Алексей Шенцев <ashen@nsrz.ru> wrote:
> > В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал
> >
> > > Ну вот! Так и оказалось, в бате надо настроить соединение:
> > > "Бесопасное на спец.порт(TLS)", вот только там порты предлагаются
> > > для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.
> > >
> > > Видимо нужно их исправить на 110 и 25 соответственно?
> >
> > Второе: нужные порты сначала нужно настроить на серваке, а потом у
> > клиента.
>
> Не понял, что собственно настроить?
> Настроить postfix на TLS и SASL, дык вроде настроил...
> ......
> smtp_tls_note_starttls_offer = yes
> smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
> smtp_use_tls = yes
>
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_authenticated_header = yes
> smtpd_sasl_local_domain =
> smtpd_sasl_security_options = noanonymous
>
> smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem
> smtpd_tls_auth_only = no
> smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt
> smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
> smtpd_tls_loglevel = 2
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_use_tls = yes
> tls_random_source = dev:/dev/urandom
> ....
>
> Или может недонастроил? :-)
>
> Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли
> он на 465 и 965 портах.
Угу, а ещё посмотреть разрешены ли эти порты в файерволе, сделать тестовые
подключения, а потом у же у клиентов.
--
С уважением Шенцев Алексей Владимирович.
E-mail: ashen@nsrz.ru
XMPP: ashen@altlinux.org, AlexShen@jabber.ru
ICQ: 271053845
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 9:39 ` Алексей Шенцев
@ 2007-11-23 9:50 ` Igor Solovyov
2007-11-23 10:38 ` Igor Solovyov
0 siblings, 1 reply; 11+ messages in thread
From: Igor Solovyov @ 2007-11-23 9:50 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 12:39:16 +0300
Алексей Шенцев <ashen@nsrz.ru> wrote:
> > Или может недонастроил? :-)
> >
> > Сейчас у меня нет доступа к тому серверу, не могу посмотреть
> > слушает ли он на 465 и 965 портах.
>
> Угу, а ещё посмотреть разрешены ли эти порты в файерволе, сделать
> тестовые подключения, а потом у же у клиентов.
Файерволом сейчас точно эти порты закрыты, так что снаружи мне не
проверить. Единственно выбрал сейчас в настройках sylpheed-ы
использовать STARTTLS, который как я понял использует на обычные
поры (25 и 110) и попробовал соединиться с pop-серевером, получил
отлуп в виде Error initializing TLS...
:-(
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
* Re: [Sysadmins] postgrey help need
2007-11-23 9:50 ` Igor Solovyov
@ 2007-11-23 10:38 ` Igor Solovyov
0 siblings, 0 replies; 11+ messages in thread
From: Igor Solovyov @ 2007-11-23 10:38 UTC (permalink / raw)
To: sysadmins
Hi!
On Fri, 23 Nov 2007 14:50:15 +0500
Igor Solovyov <gosha@anti.su> wrote:
> Файерволом сейчас точно эти порты закрыты, так что снаружи мне не
> проверить. Единственно выбрал сейчас в настройках sylpheed-ы
> использовать STARTTLS, который как я понял использует на обычные
> поры (25 и 110) и попробовал соединиться с pop-серевером, получил
> отлуп в виде Error initializing TLS...
Все. Вспомнил. Когда настраивал cyrus, то точно помню, что
закомментировал pop3s. :-)
В общем завтра добью этот сервер.
Спасибо всем наставлявшим на путь истинный. :-)
--
Best Regars!
Igor Solovyov
^ permalink raw reply [flat|nested] 11+ messages in thread
end of thread, other threads:[~2007-11-23 10:38 UTC | newest]
Thread overview: 11+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-11-22 17:28 [Sysadmins] postgrey help need Igor Solovyov
2007-11-22 19:28 ` Dmitry Lebkov
2007-11-23 8:42 ` Igor Solovyov
2007-11-23 8:55 ` Nikolay A. Fetisov
2007-11-23 8:58 ` Igor Solovyov
2007-11-23 9:09 ` Igor Solovyov
2007-11-23 9:13 ` Алексей Шенцев
2007-11-23 9:33 ` Igor Solovyov
2007-11-23 9:39 ` Алексей Шенцев
2007-11-23 9:50 ` Igor Solovyov
2007-11-23 10:38 ` Igor Solovyov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git