HowTo. Почтовый сервер Postfix, Courier, MySQL и SquirrelMail (Ubuntu 8,04)

[Karl500]

Странно. А так?

openssl s_client -CAfile ~/ca.pem -starttls smtp -crlf -connect 1.2.3.4:25

(здесь ~/ca.pem - это Ваш сертификат CA в формате pem. Если он у Вас в формате crt, нужно его конвертировать в нужный формат в два шага:
openssl x509 -in ca.crt -out ca.der -outform DER
openssl x509 -in ca.der -inform DER -out ca.pem -outform PEM
предполагая, что изначально он называется ca.crt)

На всякий случай: не вводите команды вручную, а просто скопируйте, возможно, Вы ошибаетесь в буквах.

UPD: Ясно. Вначале разберитесь с сертификатом. У Вас отключен TLS из-за проблем.

[Avolon]

маленький вопрос
Вот смотрите стоит сервак и антиспамеры всякие спам отбивают хорошо , смотрю обьем трафика у провайдера посмвоему договору  пусть будет 2гб в январе
а смотрю по своей считалки что я письма получил на 1гб  и спама нет проктически и я так понял что оставшийся 1 гб ушел на спам который отбили??
ЭЭ поправте если не прав
Отсюда вопрос как уменьшить этот траф спама???

[AnrDaemon]

А "считалка" какой трафик считает?... Вот тебе и ответ. Считать надо реальный трафик на интерфейсе, а не неизвестно что.

[Avolon]

я просто парсю логи

[Karl500]

"парсю логи" это хорошо. Но как Вы определяете по логам объем данных, принятых при приеме писем? Соглашусь с уважаемым AnrDaemon по поводу того, что считать нужно реальный трафик.
По "лишнему трафику" (почтовому) вот чуть информации к размышлению:
1. При приеме писем есть некоторый объем дополнительного входящего трафика (не входящего в "размер писем"): собственно протокольный "овердрафт" плюс дополнительные затраты на "антиспамерские" меры (ответы от DNS-серверов) и т.п.
2. Даже непринятые письма (т.е. те, которые отражены антиспамом) генерят входящий трафик (такой же, как и легитимные). Но - таких отраженных писем значительно больше (у меня, например, порядка 90%).

[Do$]

Странно. А так?

openssl s_client -CAfile ~/ca.pem -starttls smtp -crlf -connect 1.2.3.4:25

(здесь ~/ca.pem - это Ваш сертификат CA в формате pem. Если он у Вас в формате crt, нужно его конвертировать в нужный формат в два шага:
openssl x509 -in ca.crt -out ca.der -outform DER
openssl x509 -in ca.der -inform DER -out ca.pem -outform PEM
предполагая, что изначально он называется ca.crt)

На всякий случай: не вводите команды вручную, а просто скопируйте, возможно, Вы ошибаетесь в буквах.

UPD: Ясно. Вначале разберитесь с сертификатом. У Вас отключен TLS из-за проблем.

Огромное спасибо за помощь, данную проблему решил, дело было в сертификате.
Теперь возник другой вопрос, отправку почты произвожу через почтовый шлюз провайдера, если отправляю на любой ящик провайдера то письмо доходит.
А если например на мейл.ру, то возникает ошибка:

<xxx@mail.ru>: host mail.te.net.ua[195.138.80.34] said: 571 xxx@mail.ru
    prohibited. We do not relay (in reply to RCPT TO command)

Подскажите в чем загвостка.

[Karl500]

mail.te.net.ua - это провайдер? При отправке писем через него тоже должна быть авторизация, иначе он релеить на сторонние сервера не будет. По этому поводу лучше всего обратиться к провайдеру (нужна либо авторизация, либо включение Вашего IP в список доверенных, или что-то подобное).

[Avolon]

"парсю логи" это хорошо. Но как Вы определяете по логам объем данных, принятых при приеме писем? Соглашусь с уважаемым AnrDaemon по поводу того, что считать нужно реальный трафик.
По "лишнему трафику" (почтовому) вот чуть информации к размышлению:
1. При приеме писем есть некоторый объем дополнительного входящего трафика (не входящего в "размер писем"): собственно протокольный "овердрафт" плюс дополнительные затраты на "антиспамерские" меры (ответы от DNS-серверов) и т.п.
2. Даже непринятые письма (т.е. те, которые отражены антиспамом) генерят входящий трафик (такой же, как и легитимные). Но - таких отраженных писем значительно больше (у меня, например, порядка 90%).

Спасибо за разьеснение

[Do$]

mail.te.net.ua - это провайдер? При отправке писем через него тоже должна быть авторизация, иначе он релеить на сторонние сервера не будет. По этому поводу лучше всего обратиться к провайдеру (нужна либо авторизация, либо включение Вашего IP в список доверенных, или что-то подобное).

Спасибо за ваше сообщение. У меня была раньше настроена авторизация с почтовым сервером провайдера, а сейчас чего-то она не работает.
Как я понимаю провайдер проверяет только мой сертификат, видит, что с ним что-то не так, и дальше меня не пускает.
Вот сообщение ошибки:
Feb  3 14:06:03 Server postfix/smtp[4092]: certificate verification failed for mail.te.net.ua[195.138.80.34]:25: untrusted issuer /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA


На всякий случай выкладываю еще раз конфигурацию постфикса:
Main.cf

(Нажмите, чтобы показать/скрыть)

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters


smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_tls_auth_only = no

smtp_tls_security_level = may
smtpd_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/ssl/private/smtpd.key
smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom


smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = ххх.od.ua
relayhost = [mail.te.net.ua]
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = gms.od.ua, Server, localhost.localdomain, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.0.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
home_mailbox = Maildir/


#SMTP RELAY
smtpd_sasl_local_domain =
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_always_send_ehlo = yes
inet_interfaces = all



#ANTIVIRUS, SPAM
content_filter = smtp-amavis:[127.0.0.1]:10024

# Ограничиваем максимальный размер письма до 10 Мб

message_size_limit = 10242880

Пересмотрел еще раз файл конфигурации и не могу понять в чем может быть дело.
Прошу помочь

[Karl500]

Сертификат mail.te.net.ua подписан от имени /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
Этого сертификата нет в списке доверенных CA. Нужно получить этот сертификат и вставить его в список доверенных. Или не использовать TLS при общении с провайдером.

[Do$]

Сертификат mail.te.net.ua подписан от имени /C=BE/O=GlobalSign nv-sa/OU=Root CA/CN=GlobalSign Root CA
Этого сертификата нет в списке доверенных CA. Нужно получить этот сертификат и вставить его в список доверенных. Или не использовать TLS при общении с провайдером.

Подскажите как отключить TLS при общении с провайдером.
Пробывал
smtp_use_tls = no
smtpd_use_tls = no

Но это не помогло, попрежнему идет ругань насчет сертификата.

[Karl500]

Попробуйте вставить строку

smtp_tls_security_level = fingerprint
smtp_tls_security_level = none

(у Вас сейчас стоит "may" - это значит, что если хост провайдера поддерживает TLS, он будет выбран. А он поддерживает - я посмотрел.)

[tagilchanin]

А сервер почтовый подключен напряму к инету? Или он в локалке и проброшены порты?  Если второе, то скорее всего надо сделать правильный DNAT

Проблема осталось немного в другом плане, если добавляю правило:

(Нажмите, чтобы показать/скрыть)

-A POSTROUTING -d 192.168.0.1 -p tcp -j SNAT --to-source 192.168.0.9
где 192.168.0.1 почтовый сервер,
192.168.0.9 внутренний ip шлюза

тогда изнутри я нормально подключаюсь телнетом по внешниму ip изнутри офиса, но мой сервер тогда становиться релеем. Подскажите что я не правильно делаю

[Karl500]

Релей никак не связан ни с какими правилами iptables. Это - только вопрос конфигурации postfix. Перефразирую: "не стать релеем" - это не значит "написать правильные правила iptables", а - "правильно сконфигурировать postfix": сервер без всяких правил вообще (т.е. полностью открытый) не должен быть открытым релеем.

[Do$]

Попробуйте вставить строку

smtp_tls_security_level = fingerprint
smtp_tls_security_level = none

(у Вас сейчас стоит "may" - это значит, что если хост провайдера поддерживает TLS, он будет выбран. А он поддерживает - я посмотрел.)

Что-то я запутался. Сделал то что Вы сказали, но все равно ошибка
Аeb  3 16:08:13 Server postfix/smtp[6026]: 9C5EEDE086E: to=<xxx@mail.ru>, relay=127.0.0.1[127.0.0.1]:10024, delay=584, delays=584/0.01/0/0, dsn=4.7.4, status=deferred (TLS is required, but was not offered by host 127.0.0.1[127.0.0.1])

Такое ощущение, что теперь провайдер требует TLS.