* [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
@ 2009-02-16 13:51 Oleg Dolgov
2009-02-16 14:09 ` Michael Shigorin
` (2 more replies)
0 siblings, 3 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-16 13:51 UTC (permalink / raw)
To: sysadmins
Добрый день.
Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
По рекомендациям сайта необходимо использовать "защищённое соединение
SSL/TLS". Перекопал кучу статей в интернете - практически все
рекомендации по настройке TLS для авторизации на самом postfix-е
клиентами. (или я чего-то недопонял)
Какие минимальные параметры необходимо добавить в main.cf для отправки
писем через smtp.ukr.net:465 ?
Пробовал добавить:
smtp_use_tls = yes
не прокатило. Необходимо все-таки генерировать сертификаты? Как
правильно это сделать?
Простите за сумбур, но уже голова кругом. Защищенное соединение
необходимо ТОЛЬКО для отправки писем через этот smtp (чтоб его...)
Больше ни для чего.
Заранее благодарен.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 13:51 [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS Oleg Dolgov
@ 2009-02-16 14:09 ` Michael Shigorin
2009-02-16 14:21 ` Oleg Dolgov
2009-02-16 15:03 ` Konstantin A. Lepikhov
2009-02-18 12:40 ` Anton Kvashin
2 siblings, 1 reply; 39+ messages in thread
From: Michael Shigorin @ 2009-02-16 14:09 UTC (permalink / raw)
To: sysadmins
On Mon, Feb 16, 2009 at 03:51:35PM +0200, Oleg Dolgov wrote:
> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
> По рекомендациям сайта необходимо использовать "защищённое
> соединение SSL/TLS".
Это для клиентов, которые авторизуются, насколько понимаю.
Каким именно пользователем ukr.net должен был бы прикидываться
postfix? :)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 14:09 ` Michael Shigorin
@ 2009-02-16 14:21 ` Oleg Dolgov
2009-02-16 14:40 ` Yuriy Kashirin
` (2 more replies)
0 siblings, 3 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-16 14:21 UTC (permalink / raw)
To: sysadmins
On Mon, 16 Feb 2009 16:09:34 +0200 Michael Shigorin wrote:
> On Mon, Feb 16, 2009 at 03:51:35PM +0200, Oleg Dolgov wrote:
> > Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
> > По рекомендациям сайта необходимо использовать "защищённое
> > соединение SSL/TLS".
>
> Это для клиентов, которые авторизуются, насколько понимаю.
> Каким именно пользователем ukr.net должен был бы прикидываться
> postfix? :)
>
Надо чтобы постфикс смог отправить письмо через
relayhost = smtp.ukr.net:465
используя "защищённое соединение SSL/TLS"
авторизовавшись как user@ukr.net с соответствующим паролем.
на данном этапе в логах
Feb 16 14:13:50 server postfix/qmgr[4824]: D6E1513976:
from=<dolgov_o@ukr.net>, size=1025, nrcpt=1 (queue active)
Feb 16 14:13:51 server postfix/smtp[4837]: connect to blackhole.ukr.net
[127.0.0.1]: Connection refused (port 465)
Feb 16 14:13:51 server postfix/smtp[4837]: D6E1513976:
to=<into_zp@ukr.net>, relay=none, delay=70, delays=69/0.16/0.28/0,
dsn=4.4.1, status=deferred (connect to blackhole.ukr.net[127.0.0.1]:
Connection refused)
Пробовал достучаться telnet-ом.... не пускает, а вот
openssl s_client -connect smtp.ukr.net:465
отрабатывает нормально.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 14:21 ` Oleg Dolgov
@ 2009-02-16 14:40 ` Yuriy Kashirin
2009-02-17 7:53 ` Oleg Dolgov
2009-02-16 14:42 ` Michael Shigorin
2009-02-19 13:44 ` Dmitry Lebkov
2 siblings, 1 reply; 39+ messages in thread
From: Yuriy Kashirin @ 2009-02-16 14:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 16 февраля 2009, Oleg Dolgov wrote:
> On Mon, 16 Feb 2009 16:09:34 +0200 Michael Shigorin wrote:
> > On Mon, Feb 16, 2009 at 03:51:35PM +0200, Oleg Dolgov wrote:
> > > Пытаюсь заставить postfix отправлять почту через
> > > smtp.ukr.net:465 По рекомендациям сайта необходимо использовать
> > > "защищённое соединение SSL/TLS".
...
>
> Надо чтобы постфикс смог отправить письмо через
> relayhost = smtp.ukr.net:465
Для начала поменяйте на
relayhost = [smtp.ukr.net]:465
Потому как:
$ dig +short smtp.ukr.net MX
10 blackhole.ukr.net.
$ dig +short blackhole.ukr.net.
127.0.0.1
Что и видно в логах:
> Feb 16 14:13:51 server postfix/smtp[4837]: connect to
> blackhole.ukr.net [127.0.0.1]: Connection refused (port 465)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
--
Best regards
Yuriy Kashirin
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 14:21 ` Oleg Dolgov
2009-02-16 14:40 ` Yuriy Kashirin
@ 2009-02-16 14:42 ` Michael Shigorin
2009-02-17 8:31 ` Oleg Dolgov
2009-02-19 13:44 ` Dmitry Lebkov
2 siblings, 1 reply; 39+ messages in thread
From: Michael Shigorin @ 2009-02-16 14:42 UTC (permalink / raw)
To: sysadmins
On Mon, Feb 16, 2009 at 04:21:49PM +0200, Oleg Dolgov wrote:
> Надо чтобы постфикс смог отправить письмо через
> relayhost = smtp.ukr.net:465
> используя "защищённое соединение SSL/TLS"
> авторизовавшись как user@ukr.net с соответствующим паролем.
Смутно припоминается обсуждение здесь же максимум в прошлом году,
что postfix таким не занимается. Попробуйте сформулировать более
высокоуровневую задачу? "Для себя" проще клиентом или вроде ещё
упоминались специализированные вроде-MTA для такой цели.
Кажется, ssmtp в том числе.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 13:51 [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS Oleg Dolgov
2009-02-16 14:09 ` Michael Shigorin
@ 2009-02-16 15:03 ` Konstantin A. Lepikhov
2009-02-18 12:40 ` Anton Kvashin
2 siblings, 0 replies; 39+ messages in thread
From: Konstantin A. Lepikhov @ 2009-02-16 15:03 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Oleg!
Monday 16, at 03:51:35 PM you wrote:
> Добрый день.
>
> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
> По рекомендациям сайта необходимо использовать "защищённое соединение
> SSL/TLS". Перекопал кучу статей в интернете - практически все
> рекомендации по настройке TLS для авторизации на самом postfix-е
> клиентами. (или я чего-то недопонял)
для начала проверьте, принимает ли он вообще соединения через SSL/TLS:
openssl s_client -tls1 -status -connect smtp.ukr.net:465
>
> Какие минимальные параметры необходимо добавить в main.cf для отправки
> писем через smtp.ukr.net:465 ?
>
> Пробовал добавить:
> smtp_use_tls = yes
>
> не прокатило. Необходимо все-таки генерировать сертификаты? Как
> правильно это сделать?
>
> Простите за сумбур, но уже голова кругом. Защищенное соединение
> необходимо ТОЛЬКО для отправки писем через этот smtp (чтоб его...)
> Больше ни для чего.
>
> Заранее благодарен.
$ rpm -qa |fgrep postfix-
postfix-tls-2.4.9-alt1
postfix-control-1.6.1-alt1
postfix-2.4.9-alt1
$ cat /etc/postfix/main.cf
relayhost = <relayhost>
myorigin = <domainname>
# TLS setup
smtp_use_tls = yes
и все работает без сертификатов.
--
WBR et al.
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 14:40 ` Yuriy Kashirin
@ 2009-02-17 7:53 ` Oleg Dolgov
2009-02-17 8:02 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 7:53 UTC (permalink / raw)
To: sysadmins
On Mon, 16 Feb 2009 16:40:40 +0200 Yuriy Kashirin wrote:
> On 16 февраля 2009, Oleg Dolgov wrote:
> > On Mon, 16 Feb 2009 16:09:34 +0200 Michael Shigorin wrote:
> > > On Mon, Feb 16, 2009 at 03:51:35PM +0200, Oleg Dolgov wrote:
> > > > Пытаюсь заставить postfix отправлять почту через
> > > > smtp.ukr.net:465 По рекомендациям сайта необходимо использовать
> > > > "защищённое соединение SSL/TLS".
> ...
> >
> > Надо чтобы постфикс смог отправить письмо через
> > relayhost = smtp.ukr.net:465
>
> Для начала поменяйте на
> relayhost = [smtp.ukr.net]:465
Не помогло. Письмо легло в очередь без всяких признаков жизни. В логе
тишина.
хотя, странно,
openssl s_client -tls1 -connect [smtp.ukr.net]:465
соединился... правда с несколькосекундной задержкой.
On Mon, 16 Feb 2009 18:03:54 +0300 Konstantin A. Lepikhov wrote:
> Hi Oleg!
>
> для начала проверьте, принимает ли он вообще соединения через SSL/TLS:
>
> openssl s_client -tls1 -status -connect smtp.ukr.net:465
соединяется нормально, правда без параметра -status. выругался, что не
знает такого :(
сейчас попробую покрутить параметры типа
smtp_tls_security_level =
smtp_tls_loglevel =
и т.п. может угадаю.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 7:53 ` Oleg Dolgov
@ 2009-02-17 8:02 ` Oleg Dolgov
2009-02-17 9:52 ` Oleg Dolgov
2009-02-17 15:13 ` Oleg Dolgov
0 siblings, 2 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 8:02 UTC (permalink / raw)
To: sysadmins
On Tue, 17 Feb 2009 09:53:32 +0200 Oleg Dolgov wrote:
> > Для начала поменяйте на
> > relayhost = [smtp.ukr.net]:465
таки да, действительно, помогло. теперь проблема в другом.
установил
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_loglevel = 3
после минутного ожидания в очереди отвалился с сообщением
qmgr[16569]: 73B7D1397A: from=<dolgov_o@ukr.net>, size=1025, nrcpt=1
(queue active)
smtp[16572]: initializing the client-side TLS engine
smtp[16572]: 73B7D1397A: to=<into_zp@ukr.net>, relay=smtp.ukr.net
[195.214.192.101]:465, delay=2873, delays=2573/0.23/300/0, dsn=4.4.2,
status=deferred (conversation with smtp.ukr.net[195.214.192.101] timed
out while receiving the initial server greeting)
Что еще можно попробовать?
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 14:42 ` Michael Shigorin
@ 2009-02-17 8:31 ` Oleg Dolgov
2009-02-17 8:57 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 8:31 UTC (permalink / raw)
To: sysadmins
On Mon, 16 Feb 2009 16:42:26 +0200 Michael Shigorin wrote:
> "Для себя" проще клиентом
не хотелось бы. удобней отдать все это серверу,не смотря на то, что
клиентов до десятка...
> или вроде ещё
> упоминались специализированные вроде-MTA для такой цели.
> Кажется, ssmtp в том числе.
нашел такого в apt-те. есть что почитать на русском? на предмет
прикручивания к postfix?
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 8:31 ` Oleg Dolgov
@ 2009-02-17 8:57 ` Oleg Dolgov
2009-02-17 9:34 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 8:57 UTC (permalink / raw)
To: sysadmins
On Tue, 17 Feb 2009 10:31:15 +0200 Oleg Dolgov wrote:
> > или вроде ещё
> > упоминались специализированные вроде-MTA для такой цели.
> > Кажется, ssmtp в том числе.
>
> нашел такого в apt-те. есть что почитать на русском? на предмет
> прикручивания к postfix?
>
И еще, как быть в случае ssmtp со связкой
Postfix+Cyrus-IMAP+Amavis-New+ClamAV+Spamassasin
?
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 8:57 ` Oleg Dolgov
@ 2009-02-17 9:34 ` Oleg Dolgov
0 siblings, 0 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 9:34 UTC (permalink / raw)
To: sysadmins
On Tue, 17 Feb 2009 10:57:27 +0200 Oleg Dolgov wrote:
> On Tue, 17 Feb 2009 10:31:15 +0200 Oleg Dolgov wrote:
> > > или вроде ещё
> > > упоминались специализированные вроде-MTA для такой цели.
> > > Кажется, ssmtp в том числе.
После беглого гугления закрались подозрения, что для моих целей ssmtp
не решение.
freemail.ukr.net проверяет поле From:
поэтому мне просто жизненно необходима функция postfix-а
smtp_sender_dependent_authentication = yes
надо его (postfix) побороть, блин
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 8:02 ` Oleg Dolgov
@ 2009-02-17 9:52 ` Oleg Dolgov
2009-02-17 15:13 ` Oleg Dolgov
1 sibling, 0 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 9:52 UTC (permalink / raw)
To: sysadmins
On Tue, 17 Feb 2009 10:02:22 +0200 Oleg Dolgov wrote:
> после минутного ожидания в очереди отвалился с сообщением
> qmgr[16569]: 73B7D1397A: from=<dolgov_o@ukr.net>, size=1025, nrcpt=1
> (queue active)
> smtp[16572]: initializing the client-side TLS engine
> smtp[16572]: 73B7D1397A: to=<into_zp@ukr.net>, relay=smtp.ukr.net
> [195.214.192.101]:465, delay=2873, delays=2573/0.23/300/0, dsn=4.4.2,
> status=deferred (conversation with smtp.ukr.net[195.214.192.101] timed
> out while receiving the initial server greeting)
>
Докрутил до такого
# postconf | grep smtp_tls
smtp_tls_CAfile =
smtp_tls_CApath =
smtp_tls_cert_file =
smtp_tls_dcert_file =
smtp_tls_dkey_file = $smtp_tls_dcert_file
smtp_tls_enforce_peername = yes
smtp_tls_exclude_ciphers =
smtp_tls_key_file = $smtp_tls_cert_file
smtp_tls_loglevel = 4
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtp_tls_mandatory_protocols = SSLv3, TLSv1
smtp_tls_note_starttls_offer = yes
smtp_tls_per_site =
smtp_tls_policy_maps =
smtp_tls_scert_verifydepth = 1
smtp_tls_secure_cert_match = nexthop, dot-nexthop
smtp_tls_security_level = may
smtp_tls_session_cache_database =
smtp_tls_session_cache_timeout = 3600s
smtp_tls_verify_cert_match = none
Результат неизменный. Куда бежать, кого бить?
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 8:02 ` Oleg Dolgov
2009-02-17 9:52 ` Oleg Dolgov
@ 2009-02-17 15:13 ` Oleg Dolgov
2009-02-17 16:16 ` Dmitriy Kruglikov
2009-02-18 5:43 ` Serge
1 sibling, 2 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-17 15:13 UTC (permalink / raw)
To: sysadmins
On Tue, 17 Feb 2009 10:02:22 +0200 Oleg Dolgov wrote:
> установил
> smtp_use_tls = yes
> smtp_tls_security_level = may
> smtp_tls_loglevel = 3
>
> после минутного ожидания в очереди отвалился с сообщением
> qmgr[16569]: 73B7D1397A: from=<dolgov_o@ukr.net>, size=1025, nrcpt=1
> (queue active)
> smtp[16572]: initializing the client-side TLS engine
> smtp[16572]: 73B7D1397A: to=<into_zp@ukr.net>, relay=smtp.ukr.net
> [195.214.192.101]:465, delay=2873, delays=2573/0.23/300/0, dsn=4.4.2,
> status=deferred (conversation with smtp.ukr.net[195.214.192.101] timed
> out while receiving the initial server greeting)
Попробовал отправить письмо напрямую из клиента (Sylpheed-2.3.0beta2
win32) и посмотрел лог:
[13:43:25] * message: Соединение с сервером SMTP: smtp.ukr.net ...
[13:43:29] ** LibSylph-WARNING: smtp.ukr.net: SSL certificate verify
failed (20: unable to get local issuer certificate)
[13:43:29] SMTP< 220 ISP UkrNet SMTP.in (storage.ukr.net) ESMTP Tue, 17
Feb 2009 13:43:27 +0200
[13:43:29] ESMTP> EHLO unknown
[13:43:29] ESMTP< 250-storage.ukr.net Hello
148-86-113-92.pool.ukrtel.net [92.113.86.148]
[13:43:29] ESMTP< 250-SIZE 26214400
[13:43:29] ESMTP< 250-8BITMIME
[13:43:29] ESMTP< 250-PIPELINING
[13:43:29] ESMTP< 250-AUTH PLAIN LOGIN
[13:43:29] ESMTP< 250 HELP
[13:43:29] ESMTP> AUTH PLAIN ********
[13:43:30] ESMTP< 235 Authentication succeeded
[13:43:30] SMTP> MAIL FROM:<я на ukr.net>
[13:43:30] SMTP< 250 OK
[13:43:30] SMTP> RCPT TO:<они на ukr.net>
[13:43:30] SMTP< 250 Accepted
[13:43:30] SMTP> DATA
[13:43:30] SMTP< 354 Enter message, ending with "." on a line by itself
[13:43:30] SMTP> . (EOM)
[13:43:31] SMTP< 250 OK id=1LZOMK-000Imw-VD
[13:43:31] SMTP> QUIT
[13:43:31] SMTP< 221 storage.ukr.net closing connection
смущает строка ESMTP< 250-AUTH PLAIN LOGIN и ESMTP> AUTH PLAIN ********
наряду с тем, что выдает мне postconf
smtp_sasl_security_options = noplaintext, noanonymous
smtp_sasl_tls_security_options = $smtp_sasl_security_options
smtp_sasl_tls_verified_security_options =
$smtp_sasl_tls_security_options
Может кто-нить просвятить меня по этому поводу?
Заранее благодарен всем, кто меня еще терпит :)
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 15:13 ` Oleg Dolgov
@ 2009-02-17 16:16 ` Dmitriy Kruglikov
2009-02-18 7:42 ` Oleg Dolgov
2009-02-18 5:43 ` Serge
1 sibling, 1 reply; 39+ messages in thread
From: Dmitriy Kruglikov @ 2009-02-17 16:16 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
17 февраля 2009 г. 17:13 пользователь Oleg Dolgov написал:
А тут http://www.opennet.ru/openforum/vsluhforumID1/74789.html
нет ответов на твои вопросы ?
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 15:13 ` Oleg Dolgov
2009-02-17 16:16 ` Dmitriy Kruglikov
@ 2009-02-18 5:43 ` Serge
2009-02-18 7:46 ` Oleg Dolgov
1 sibling, 1 reply; 39+ messages in thread
From: Serge @ 2009-02-18 5:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Может кто-нить просвятить меня по этому поводу?
>
> Заранее благодарен всем, кто меня еще терпит :)
попробуйте отключить firewall на время настройки
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-17 16:16 ` Dmitriy Kruglikov
@ 2009-02-18 7:42 ` Oleg Dolgov
2009-02-18 7:49 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-18 7:42 UTC (permalink / raw)
To: sysadmins
On Tue, 17 Feb 2009 18:16:46 +0200 Dmitriy Kruglikov wrote:
> 17 февраля 2009 г. 17:13 пользователь Oleg Dolgov написал:
>
> А тут http://www.opennet.ru/openforum/vsluhforumID1/74789.html
> нет ответов на твои вопросы ?
>
К сожалению, нет :(
Приведенный по ссылке совет относительно нулевого значения
smtp_sasl_security_options =
не помог.
Так-как подавляющее большинство статей в интернете относительно postfix
и SSL/TLS описывают настройку сервера для работы с клиентами по приему
почты, но нет (по крайней мере я пока не нашел) рекомендаций и описаний
возможных проблем настройки postfix в качестве клиента, для авторизации
на удаленном smtp, используя защищенное соединение, решил сравнить
приводимые примеры логов со своими.
Так вот, меня смутило, что затык происходит на
smtp[16572]: initializing the client-side TLS engine
затем долгое молчание, и наконец
postfix/smtp[26143]: 9792F1397A: to=<кому-то на ukr.net>,
relay=smtp.ukr.net[195.214.192.101]:465, delay=1915,
delays=1614/0.1/300/0, dsn=4.4.2, status=deferred (conversation with
smtp.ukr.net[195.214.192.101] timed out while receiving the initial
server greeting)
Вот где бы подробно узнать о проблеме?
Даже "smtp_tls_loglevel = 4" не помог. Если
чего и пишет подробно, то куда он это делает - я не нашел :(
Можно ли каким-то образом увидеть результат общения postfix-а с
smtp.ukr.net как, например это видно в логе Сильфиды? На каком этапе
происходит затык? EHLO не посланно или еще чего, например? Ведь
соединение посредством
openssl s_client -connect smtp.ukr.net:465
проходит на ура.
Пошел копаться в /var/log/
Нашел в /var/log/auth/messages записи вида
postfix/smtp[26001]: looking for plugins in '/etc/postfix/sasl', failed
to open directory, error: No such file or directory
Является ли это проблемой?
# rpm -qa | grep postfix
postfix-cyrus-2.4.9-alt0.M41.1
docs-postfix-0.1-alt2
postfix-2.4.9-alt0.M41.1
postfix-tls-2.4.9-alt0.M41.1
postfix-control-1.6.1-alt1
alterator-postfix-sasl-0.1-alt10
alterator-postfix-restrictions-0.1-alt5
postfix-dovecot-2.4.9-alt0.M41.1
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-18 5:43 ` Serge
@ 2009-02-18 7:46 ` Oleg Dolgov
0 siblings, 0 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-18 7:46 UTC (permalink / raw)
To: sysadmins
On Wed, 18 Feb 2009 07:43:45 +0200 Serge wrote:
> > Может кто-нить просвятить меня по этому поводу?
> >
> > Заранее благодарен всем, кто меня еще терпит :)
> попробуйте отключить firewall на время настройки
service iptables stop
не помог :(
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-18 7:42 ` Oleg Dolgov
@ 2009-02-18 7:49 ` Konstantin A. Lepikhov
2009-02-18 12:03 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Konstantin A. Lepikhov @ 2009-02-18 7:49 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Oleg!
Wednesday 18, at 09:42:57 AM you wrote:
> Вот где бы подробно узнать о проблеме?
> Даже "smtp_tls_loglevel = 4" не помог. Если
> чего и пишет подробно, то куда он это делает - я не нашел :(
> Можно ли каким-то образом увидеть результат общения postfix-а с
> smtp.ukr.net как, например это видно в логе Сильфиды? На каком этапе
> происходит затык? EHLO не посланно или еще чего, например? Ведь
> соединение посредством
> openssl s_client -connect smtp.ukr.net:465
> проходит на ура.
>
tcpdump вам в руки и wireshark.
--
WBR et al.
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-18 7:49 ` Konstantin A. Lepikhov
@ 2009-02-18 12:03 ` Oleg Dolgov
2009-02-19 13:17 ` Vladimir V. Kamarzin
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-18 12:03 UTC (permalink / raw)
To: sysadmins
On Wed, 18 Feb 2009 10:49:51 +0300 Konstantin A. Lepikhov wrote:
> tcpdump вам в руки и wireshark.
>
Захватил сеанс попытки отправить письмо:
tshark -i eth0 -x -f 'host smtp.ukr.net' > smtp.ukr.net.dump
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
7 packets captured
при этом размер файла 2761 байт. содержимое для меня - темный лес, но
похоже, что банально нет ответа с той стороны.
При этом в логе неизменное
postfix/qmgr[32497]: 991EC1397E: from=<dolgov_o@ukr.net>, size=1025,
nrcpt=1 (queue active)
postfix/smtp[32511]: initializing the client-side TLS engine
postfix/smtp[32511]: 991EC1397E: to=<кому-то на ukr.net>,
relay=smtp.ukr.net[195.214.192.101]:465, delay=3494,
delays=3194/0.1/300/0, dsn=4.4.2, status=deferred (conversation with
smtp.ukr.net[195.214.192.101] timed out while receiving the initial
server greeting)
Повторил дамп при соединении посредством openssl:
tshark -i eth0 -x -f 'host smtp.ukr.net' > openssl.smtp.ukr.net.dump
Running as user "root" and group "root". This could be dangerous.
Capturing on eth0
41 packets captured
размер файла 35706 байт. При просмотре даже видны данные. А именно
описание присланного сертификата и т.п. Но посланных мною команд ehlo и
quit уже на видно, т.к. подозреваю, что трафик уже шифровался :)
В общем ситуация для меня остается непонятной и неразрешенной. Сами
файлы дампов, если это поможет разрешить проблему, могу приатачить в
рассылке или выслать в личку.
Неужели я один в целом мире :( который пытается постфиксом достучаться
до ukr.net? Или попробовать продублировать в community?
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 13:51 [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS Oleg Dolgov
2009-02-16 14:09 ` Michael Shigorin
2009-02-16 15:03 ` Konstantin A. Lepikhov
@ 2009-02-18 12:40 ` Anton Kvashin
2009-02-18 13:36 ` Oleg Dolgov
2 siblings, 1 reply; 39+ messages in thread
From: Anton Kvashin @ 2009-02-18 12:40 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
http://www.postfix.org/SASL_README.html#client_sasl
Postfix does not deliver mail via TCP port 465 (the obsolete
"wrappermode" protocol). See TLS_README for a solution that uses the
"stunnel" command.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-18 12:40 ` Anton Kvashin
@ 2009-02-18 13:36 ` Oleg Dolgov
2009-02-19 9:01 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-18 13:36 UTC (permalink / raw)
To: sysadmins
On Wed, 18 Feb 2009 17:40:01 +0500 Anton Kvashin wrote:
> Oleg Dolgov пишет:
> > Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
>
> http://www.postfix.org/SASL_README.html#client_sasl
>
> Postfix does not deliver mail via TCP port 465 (the obsolete
> "wrappermode" protocol). See TLS_README for a solution that uses the
> "stunnel" command.
>
Хм, а в /etc/postfix/README_FILES/SASL_README нет этого упоминания...
Пошел вдумчиво читать на сайте.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-18 13:36 ` Oleg Dolgov
@ 2009-02-19 9:01 ` Oleg Dolgov
2009-02-19 9:56 ` Владимир
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 9:01 UTC (permalink / raw)
To: sysadmins
On Wed, 18 Feb 2009 15:36:05 +0200 Oleg Dolgov wrote:
> On Wed, 18 Feb 2009 17:40:01 +0500 Anton Kvashin wrote:
> > Oleg Dolgov пишет:
> > > Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
> >
> > http://www.postfix.org/SASL_README.html#client_sasl
> >
> > Postfix does not deliver mail via TCP port 465 (the obsolete
> > "wrappermode" protocol). See TLS_README for a solution that uses
> > the "stunnel" command.
> >
>
> Хм, а в /etc/postfix/README_FILES/SASL_README нет этого упоминания...
>
> Пошел вдумчиво читать на сайте.
>
Чесно говоря не понял скрытого смысла в посылании на
http://www.postfix.org/SASL_README.html#client_sasl
В руководстве говорится, что надо крутить опции
smtp_tls_... и иже с ними, но не выходит каменный цветок :(
Ответ от саппорта ukr.net вдохновил еще больше:
Здравствуйте.
На странице http://wiki.ukr.net/ приведены примеры настроек
популярных почтовых клиентов. Вам необходимо настроить Ваш клиент
согласно этих рекомендаций. Если Вам по каким-либо причинам не
удаётся этого сделать, обращайтесь к справочному руководству по этой
почтовой программе или к разработчикам этого ПО.
--
Svetlana Aleksandrova
Support Department
ISP UkrNet
Вот такие вот разговорчивые люди, блин.
Я в трауре...
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 9:01 ` Oleg Dolgov
@ 2009-02-19 9:56 ` Владимир
2009-02-19 11:21 ` Oleg Dolgov
2009-02-19 11:41 ` Oleg Dolgov
0 siblings, 2 replies; 39+ messages in thread
From: Владимир @ 2009-02-19 9:56 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
>>> Oleg Dolgov пишет:
>>>
>>>> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
>>>>
А вы уверены, что там открыт open-relay?
Судя по всему, на relay там открыт только 465 порт,
чтобы отправлять почту могли только зарегистрированные клиенты
через клиентские программы после аутентификации (что есть правильно).
А если через них могли бы делать relay чужие сервера,
то их админа нужно было бы уволить.
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 9:56 ` Владимир
@ 2009-02-19 11:21 ` Oleg Dolgov
2009-02-19 13:02 ` Владимир
2009-02-19 11:41 ` Oleg Dolgov
1 sibling, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 11:21 UTC (permalink / raw)
To: sysadmins
On Thu, 19 Feb 2009 12:56:59 +0300 Владимир wrote:
> Oleg Dolgov пишет:
> >>> Oleg Dolgov пишет:
> >>>
> >>>> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
> >>>>
>
> А вы уверены, что там открыт open-relay?
А я про open-relay ни в одном своем посте и не говорил. Я
зарегистрированный пользователь ukr.net
Отправлять письма клиентской программой могу (Силфид, например).
Могу соединится с сервером посредством
openssl s_client -tls1 -connect smtp.ukr.net:465
Все проходит нормально.
В документации к Postfix сказано, что клиентская часть для работы по
защищенному каналу (TLS) регулируется опциями из разряда
smtp_tls_... и т.п.
> Судя по всему, на relay там открыт только 465 порт,
> чтобы отправлять почту могли только зарегистрированные клиенты
> через клиентские программы после аутентификации (что есть правильно).
> А если через них могли бы делать relay чужие сервера,
> то их админа нужно было бы уволить.
Вы хотите сказать, что если я могу авторизоваться почтовой программой и
с помощью openssl, то не факт, что тот сервер пустит именно postfix?
Т.е. постфикс не может прикинуться клиентской программой? Бред какой-то.
Я так думаю, что у меня что-то недокрученно именно в опциях
smtp_tls_... для работы именно с ukr.net, но что конкретно, не знаю, и
никто внятно объяснить не может. Особенно удручает приветливость
саппорта. Через другие сервера с авторизацией (но без TLS) отправляю
почту нормально.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 9:56 ` Владимир
2009-02-19 11:21 ` Oleg Dolgov
@ 2009-02-19 11:41 ` Oleg Dolgov
2009-02-19 11:44 ` Dmitriy Kruglikov
2009-02-19 12:22 ` Anton Kvashin
1 sibling, 2 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 11:41 UTC (permalink / raw)
To: sysadmins
On Thu, 19 Feb 2009 12:56:59 +0300 Владимир wrote:
> Судя по всему, на relay там открыт только 465 порт,
> чтобы отправлять почту могли только зарегистрированные клиенты
> через клиентские программы после аутентификации (что есть правильно).
Так оно и есть. postfix так не умеет?
> А если через них могли бы делать relay чужие сервера,
> то их админа нужно было бы уволить.
Хорошо. Перефразирую вопрос. Допустим у меня
_полноценный_почтовый_сервер_ с реальным адресом на базе postfix,
короче, провайдер я :)
Мои пользователи отправляют письмо пользователям ukr.net
Как в этом случае должен вести себя postfix? Передать письмо более
умному серверу, который на дилижансе довезет письмо на ukr.net?
Сорри, я просто выдохся уже...
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 11:41 ` Oleg Dolgov
@ 2009-02-19 11:44 ` Dmitriy Kruglikov
2009-02-19 13:15 ` Oleg Dolgov
2009-02-19 12:22 ` Anton Kvashin
1 sibling, 1 reply; 39+ messages in thread
From: Dmitriy Kruglikov @ 2009-02-19 11:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
19 февраля 2009 г. 13:41 пользователь Oleg Dolgov написал:
> Мои пользователи отправляют письмо пользователям ukr.net
Есть там тестовый адрес, на который можно отправиь письмо, и человек
не испугается ?
Потому как я от своих не получал жалоб, а специально ни чего не настраивал ...
Проверим...
--
Как правильно задавать вопросы:
http://maddog.sitengine.ru/smart-question-ru.html
Помогает:
http://search.altlinux.org
Best regards,
Dmitriy L. Kruglikov
Dmitriy.Kruglikov_at_gmail_dot_com
DKR6-RIPE
DKR6-UANIC
XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 11:41 ` Oleg Dolgov
2009-02-19 11:44 ` Dmitriy Kruglikov
@ 2009-02-19 12:22 ` Anton Kvashin
1 sibling, 0 replies; 39+ messages in thread
From: Anton Kvashin @ 2009-02-19 12:22 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
> Хорошо. Перефразирую вопрос. Допустим у меня
> _полноценный_почтовый_сервер_ с реальным адресом на базе postfix,
> короче, провайдер я :)
> Мои пользователи отправляют письмо пользователям ukr.net
> Как в этом случае должен вести себя postfix? Передать письмо более
> умному серверу, который на дилижансе довезет письмо на ukr.net?
> Сорри, я просто выдохся уже...
Postfix попытается найти mx для ukr.net и осуществить доставку.
Если есть свой домен, юзеры делают smtp-auth и отправляют в мир.
Своего домена нет, тогда MTA работает только на отправку (решить вопрос
о PTR), 25/465/567 порты открыты только для локальной сети. Получая
письмо, делать (?) sender/recipient verify, таким образом проверяя
валидность отправителя и получателя, можно описать допустимые домены для
отправки/приема. Заодно проверить на вирус, установить ratelimit (чтобы
не откачать из локалки кучу спама). И отправить письмо получателю.
Проблемы могут быть с SPF, greylisting'ом поначалу.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 11:21 ` Oleg Dolgov
@ 2009-02-19 13:02 ` Владимир
2009-02-19 13:21 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Владимир @ 2009-02-19 13:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
> On Thu, 19 Feb 2009 12:56:59 +0300 Владимир wrote:
>
>> Oleg Dolgov пишет:
>>
>>>>> Oleg Dolgov пишет:
>>>>>
>>>>>
>>>>>> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
>>>>>>
>>>>>>
>> А вы уверены, что там открыт open-relay?
>>
>
> А я про open-relay ни в одном своем посте и не говорил. Я
> зарегистрированный пользователь ukr.net
> Отправлять письма клиентской программой могу (Силфид, например).
> Могу соединится с сервером посредством
> openssl s_client -tls1 -connect smtp.ukr.net:465
> Все проходит нормально.
>
> В документации к Postfix сказано, что клиентская часть для работы по
> защищенному каналу (TLS) регулируется опциями из разряда
> smtp_tls_... и т.п.
>
>
Это чтобы просто отправлять почту по шифрованному каналу
(без login - password). А smtp.ukr.net требует еще sasl_auth, что
должны уметь делать клиенты, но не MTA
>> Судя по всему, на relay там открыт только 465 порт,
>> чтобы отправлять почту могли только зарегистрированные клиенты
>> через клиентские программы после аутентификации (что есть правильно).
>> А если через них могли бы делать relay чужие сервера,
>> то их админа нужно было бы уволить.
>>
>
> Вы хотите сказать, что если я могу авторизоваться почтовой программой и
> с помощью openssl, то не факт, что тот сервер пустит именно postfix?
>
Разумеется, и не только postfix, а любой другой "лигитимный" MTA.
> Т.е. постфикс не может прикинуться клиентской программой? Бред какой-то.
>
>
--
Vladimir Kholmanov
fmfm@mmascience.ru
fmfm@mma.ru
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 11:44 ` Dmitriy Kruglikov
@ 2009-02-19 13:15 ` Oleg Dolgov
0 siblings, 0 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 13:15 UTC (permalink / raw)
To: sysadmins
On Thu, 19 Feb 2009 13:44:28 +0200 Dmitriy Kruglikov wrote:
> 19 февраля 2009 г. 13:41 пользователь Oleg Dolgov написал:
>
> > Мои пользователи отправляют письмо пользователям ukr.net
> Есть там тестовый адрес, на который можно отправиь письмо, и человек
> не испугается ?
Мне отправьте.
dolgov_o на ukr.net
> Потому как я от своих не получал жалоб, а специально ни чего не
> настраивал ... Проверим...
>
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-18 12:03 ` Oleg Dolgov
@ 2009-02-19 13:17 ` Vladimir V. Kamarzin
2009-02-19 13:43 ` Oleg Dolgov
0 siblings, 1 reply; 39+ messages in thread
From: Vladimir V. Kamarzin @ 2009-02-19 13:17 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
>>>>> On 18 Feb 2009 at 17:03 "OD" == Oleg Dolgov writes:
OD> On Wed, 18 Feb 2009 10:49:51 +0300 Konstantin A. Lepikhov wrote:
>> tcpdump вам в руки и wireshark.
>>
OD> Захватил сеанс попытки отправить письмо:
OD> tshark -i eth0 -x -f 'host smtp.ukr.net' > smtp.ukr.net.dump
OD> Running as user "root" and group "root". This could be dangerous.
OD> Capturing on eth0
OD> 7 packets captured
OD> при этом размер файла 2761 байт. содержимое для меня - темный лес, но
OD> похоже, что банально нет ответа с той стороны.
OD> При этом в логе неизменное
OD> postfix/qmgr[32497]: 991EC1397E: from=<dolgov_o@ukr.net>, size=1025,
OD> nrcpt=1 (queue active)
OD> postfix/smtp[32511]: initializing the client-side TLS engine
OD> postfix/smtp[32511]: 991EC1397E: to=<кому-то на ukr.net>,
OD> relay=smtp.ukr.net[195.214.192.101]:465, delay=3494,
OD> delays=3194/0.1/300/0, dsn=4.4.2, status=deferred (conversation with
OD> smtp.ukr.net[195.214.192.101] timed out while receiving the initial
OD> server greeting)
У вас проблема на этапе установки соединения. Как уже сказано, нужно вдумчиво
поработать сниффером, копайте в эту сторону.
--
vvk
Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix
Russian Postfix irc: irc.freenode.net #postfix-ru
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:02 ` Владимир
@ 2009-02-19 13:21 ` Oleg Dolgov
2009-02-19 14:46 ` Konstantin A. Lepikhov
0 siblings, 1 reply; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 13:21 UTC (permalink / raw)
To: sysadmins
On Thu, 19 Feb 2009 16:02:28 +0300 Владимир wrote:
> Это чтобы просто отправлять почту по шифрованному каналу
> (без login - password). А smtp.ukr.net требует еще sasl_auth, что
> должны уметь делать клиенты, но не MTA
Т.е. подведем итог:
postfix _не_умеет_ sasl_auth over TLS.
Я вас правильно понял? Авторизовываться на smtp.ukr.net:465 используя
безопасное соединение SSL/TLS могут ТОЛЬКО почтовые клиенты, к коим
postfix не относится?
Печально. :(
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:17 ` Vladimir V. Kamarzin
@ 2009-02-19 13:43 ` Oleg Dolgov
2009-02-19 13:55 ` Dmitry Lebkov
2009-02-19 14:09 ` Dmitry Lebkov
0 siblings, 2 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 13:43 UTC (permalink / raw)
To: sysadmins
On Thu, 19 Feb 2009 18:17:54 +0500 Vladimir V. Kamarzin wrote:
> OD> postfix/smtp[32511]: 991EC1397E: to=<кому-то на ukr.net>,
> OD> relay=smtp.ukr.net[195.214.192.101]:465, delay=3494,
> OD> delays=3194/0.1/300/0, dsn=4.4.2, status=deferred (conversation
> OD> with smtp.ukr.net[195.214.192.101] timed out while receiving the
> OD> initial server greeting)
>
> У вас проблема на этапе установки соединения. Как уже сказано, нужно
> вдумчиво поработать сниффером, копайте в эту сторону.
А можно с этого места чуток подробнее? Я не совсем силен в данном
вопросе.
Заранее благодарен.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-16 14:21 ` Oleg Dolgov
2009-02-16 14:40 ` Yuriy Kashirin
2009-02-16 14:42 ` Michael Shigorin
@ 2009-02-19 13:44 ` Dmitry Lebkov
2009-02-21 19:28 ` Michael Shigorin
2 siblings, 1 reply; 39+ messages in thread
From: Dmitry Lebkov @ 2009-02-19 13:44 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
> On Mon, 16 Feb 2009 16:09:34 +0200 Michael Shigorin wrote:
>> On Mon, Feb 16, 2009 at 03:51:35PM +0200, Oleg Dolgov wrote:
>>> Пытаюсь заставить postfix отправлять почту через smtp.ukr.net:465
>>> По рекомендациям сайта необходимо использовать "защищённое
>>> соединение SSL/TLS".
>> Это для клиентов, которые авторизуются, насколько понимаю.
>> Каким именно пользователем ukr.net должен был бы прикидываться
>> postfix? :)
>>
>
> Надо чтобы постфикс смог отправить письмо через
> relayhost = smtp.ukr.net:465
>
> используя "защищённое соединение SSL/TLS"
>
> авторизовавшись как user@ukr.net с соответствующим паролем.
man smtp на предмет smtp_sasl_auth_enable, smtp_sasl_password_maps
и smtp_tls_policy_maps до кучи.
ну и tls и всё, с ним связанное должно быть правильно настроено
(сертификаты, опции и т.п.).
Postfix, как клиент, _умеет_ и SSL/TLS, и авторизоваться на сервере
поверх SSL/TLS.
--
WBR, Dmitry Lebkov
PS. Занимался этим вопросом очень давно. Тесты были вполне успешны.
>
> на данном этапе в логах
> Feb 16 14:13:50 server postfix/qmgr[4824]: D6E1513976:
> from=<dolgov_o@ukr.net>, size=1025, nrcpt=1 (queue active)
> Feb 16 14:13:51 server postfix/smtp[4837]: connect to blackhole.ukr.net
> [127.0.0.1]: Connection refused (port 465)
> Feb 16 14:13:51 server postfix/smtp[4837]: D6E1513976:
> to=<into_zp@ukr.net>, relay=none, delay=70, delays=69/0.16/0.28/0,
> dsn=4.4.1, status=deferred (connect to blackhole.ukr.net[127.0.0.1]:
> Connection refused)
>
> Пробовал достучаться telnet-ом.... не пускает, а вот
> openssl s_client -connect smtp.ukr.net:465
> отрабатывает нормально.
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:43 ` Oleg Dolgov
@ 2009-02-19 13:55 ` Dmitry Lebkov
2009-02-19 14:23 ` Oleg Dolgov
2009-02-19 14:09 ` Dmitry Lebkov
1 sibling, 1 reply; 39+ messages in thread
From: Dmitry Lebkov @ 2009-02-19 13:55 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
> On Thu, 19 Feb 2009 18:17:54 +0500 Vladimir V. Kamarzin wrote:
>> OD> postfix/smtp[32511]: 991EC1397E: to=<кому-то на ukr.net>,
>> OD> relay=smtp.ukr.net[195.214.192.101]:465, delay=3494,
>> OD> delays=3194/0.1/300/0, dsn=4.4.2, status=deferred (conversation
>> OD> with smtp.ukr.net[195.214.192.101] timed out while receiving the
>> OD> initial server greeting)
>>
>> У вас проблема на этапе установки соединения. Как уже сказано, нужно
>> вдумчиво поработать сниффером, копайте в эту сторону.
:)) Зачем там снифер? Из треда и так понятно, что пытаются сунуть
PLAIN SMTP (relayhost = [smtp.ukr.net]:465) туда, где ожидается
сразу SSL:
$ cat /etc/services | grep 465
urd 465/tcp smtps
что и подтверждается вот этим:
---
> openssl s_client -tls1 -status -connect smtp.ukr.net:465
соединяется нормально, правда без параметра -status. выругался, что не
знает такого :(
---
>
> А можно с этого места чуток подробнее? Я не совсем силен в данном
> вопросе.
Смотри мой соседний ответ в начале треда, а так же man smtp на предмет
smtp_tls_policy_maps и TLS_LEGACY_README / TLS_README в постфикусовых
README_FILES.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:43 ` Oleg Dolgov
2009-02-19 13:55 ` Dmitry Lebkov
@ 2009-02-19 14:09 ` Dmitry Lebkov
2009-02-19 14:21 ` Oleg Dolgov
1 sibling, 1 reply; 39+ messages in thread
From: Dmitry Lebkov @ 2009-02-19 14:09 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Oleg Dolgov пишет:
> On Thu, 19 Feb 2009 18:17:54 +0500 Vladimir V. Kamarzin wrote:
>> OD> postfix/smtp[32511]: 991EC1397E: to=<кому-то на ukr.net>,
>> OD> relay=smtp.ukr.net[195.214.192.101]:465, delay=3494,
>> OD> delays=3194/0.1/300/0, dsn=4.4.2, status=deferred (conversation
>> OD> with smtp.ukr.net[195.214.192.101] timed out while receiving the
>> OD> initial server greeting)
>>
>> У вас проблема на этапе установки соединения. Как уже сказано, нужно
>> вдумчиво поработать сниффером, копайте в эту сторону.
>
> А можно с этого места чуток подробнее? Я не совсем силен в данном
> вопросе.
> Заранее благодарен.
Вдогонку ...
Сначала с помощью настройки smtp_tls_policy_maps и прочего, относящегося
к ssl/tls, добиваешся того, чтоб твой постфикус при установке соединения
с smtp.ukr.net:465 безоговорочно использовал SSL (а не пытался скомандовать
STARTTLS удаленному серверу).
После этого через настройку smtp_sasl_auth_enable и smtp_sasl_password_maps
добиваешся использования нужного имени и пароля для SMTP-авторизации при
отправке почты от имени user@ukr.net. Т.е. для всех юзеров@ukr.net, которые
будут отправлять почту через твой сервер, ихние SMTP-пароли для smtp.ukr.net
должны быть прописаны в smtp_sasl_password_maps.
--
WBR, Dmitry Lebkov
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 14:09 ` Dmitry Lebkov
@ 2009-02-19 14:21 ` Oleg Dolgov
0 siblings, 0 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 14:21 UTC (permalink / raw)
To: sysadmins
On Fri, 20 Feb 2009 00:09:55 +1000 Dmitry Lebkov wrote:
> Сначала с помощью настройки smtp_tls_policy_maps и прочего,
> относящегося к ssl/tls, добиваешся того, чтоб твой постфикус при
> установке соединения с smtp.ukr.net:465 безоговорочно использовал SSL
> (а не пытался скомандовать STARTTLS удаленному серверу).
Наконец-то появился свет в конце тонеля, правда тонель, сцука...
(с) Надеюсь знаете кто. :)
Спасибо за надежду и наводку на smtp_tls_policy_maps
Завтра попробую разобраться. На сегодня все :( Хватит с меня. Домой
пора....
Еще раз спасибо.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:55 ` Dmitry Lebkov
@ 2009-02-19 14:23 ` Oleg Dolgov
0 siblings, 0 replies; 39+ messages in thread
From: Oleg Dolgov @ 2009-02-19 14:23 UTC (permalink / raw)
To: sysadmins
On Thu, 19 Feb 2009 23:55:46 +1000 Dmitry Lebkov wrote:
> TLS_LEGACY_README / TLS_README
А случаем нет данных документов на русском. На языке оригинала, блин,
пока въеду... со своими познаниями.
--
С наилучшими,
Олег Долгов
<dolgov_o AT ukr.net>
Registered Linux user #315454
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:21 ` Oleg Dolgov
@ 2009-02-19 14:46 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 39+ messages in thread
From: Konstantin A. Lepikhov @ 2009-02-19 14:46 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hi Oleg!
Thursday 19, at 03:21:31 PM you wrote:
> On Thu, 19 Feb 2009 16:02:28 +0300 Владимир wrote:
> > Это чтобы просто отправлять почту по шифрованному каналу
> > (без login - password). А smtp.ukr.net требует еще sasl_auth, что
> > должны уметь делать клиенты, но не MTA
>
> Т.е. подведем итог:
> postfix _не_умеет_ sasl_auth over TLS.
>
> Я вас правильно понял? Авторизовываться на smtp.ukr.net:465 используя
> безопасное соединение SSL/TLS могут ТОЛЬКО почтовые клиенты, к коим
> postfix не относится?
>
> Печально. :(
Умеет, и отлично. Просто ему надо сказать, что на порту 465 висит тоже
самое, что и на порту 587 ;)
--
WBR et al.
^ permalink raw reply [flat|nested] 39+ messages in thread
* Re: [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS
2009-02-19 13:44 ` Dmitry Lebkov
@ 2009-02-21 19:28 ` Michael Shigorin
0 siblings, 0 replies; 39+ messages in thread
From: Michael Shigorin @ 2009-02-21 19:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 305 bytes --]
On Thu, Feb 19, 2009 at 11:44:07PM +1000, Dmitry Lebkov wrote:
> Postfix, как клиент, _умеет_ и SSL/TLS, и авторизоваться на
> сервере поверх SSL/TLS.
Упс, мои извинения за введение в заблуждение.
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 39+ messages in thread
end of thread, other threads:[~2009-02-21 19:28 UTC | newest]
Thread overview: 39+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2009-02-16 13:51 [Sysadmins] отправка postfix-ом писем через smtp провайдера с использованием SSL/TLS Oleg Dolgov
2009-02-16 14:09 ` Michael Shigorin
2009-02-16 14:21 ` Oleg Dolgov
2009-02-16 14:40 ` Yuriy Kashirin
2009-02-17 7:53 ` Oleg Dolgov
2009-02-17 8:02 ` Oleg Dolgov
2009-02-17 9:52 ` Oleg Dolgov
2009-02-17 15:13 ` Oleg Dolgov
2009-02-17 16:16 ` Dmitriy Kruglikov
2009-02-18 7:42 ` Oleg Dolgov
2009-02-18 7:49 ` Konstantin A. Lepikhov
2009-02-18 12:03 ` Oleg Dolgov
2009-02-19 13:17 ` Vladimir V. Kamarzin
2009-02-19 13:43 ` Oleg Dolgov
2009-02-19 13:55 ` Dmitry Lebkov
2009-02-19 14:23 ` Oleg Dolgov
2009-02-19 14:09 ` Dmitry Lebkov
2009-02-19 14:21 ` Oleg Dolgov
2009-02-18 5:43 ` Serge
2009-02-18 7:46 ` Oleg Dolgov
2009-02-16 14:42 ` Michael Shigorin
2009-02-17 8:31 ` Oleg Dolgov
2009-02-17 8:57 ` Oleg Dolgov
2009-02-17 9:34 ` Oleg Dolgov
2009-02-19 13:44 ` Dmitry Lebkov
2009-02-21 19:28 ` Michael Shigorin
2009-02-16 15:03 ` Konstantin A. Lepikhov
2009-02-18 12:40 ` Anton Kvashin
2009-02-18 13:36 ` Oleg Dolgov
2009-02-19 9:01 ` Oleg Dolgov
2009-02-19 9:56 ` Владимир
2009-02-19 11:21 ` Oleg Dolgov
2009-02-19 13:02 ` Владимир
2009-02-19 13:21 ` Oleg Dolgov
2009-02-19 14:46 ` Konstantin A. Lepikhov
2009-02-19 11:41 ` Oleg Dolgov
2009-02-19 11:44 ` Dmitriy Kruglikov
2009-02-19 13:15 ` Oleg Dolgov
2009-02-19 12:22 ` Anton Kvashin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git