Сообщения oaealex

Postfix сбой аутентифкации при SASL CRAM-MD5

Здравствуйте ! Не могу победить аутентификацию MD5 при отсылке почты локальному адресату почтовым клиентом TheBat! При отправке получаю ошибку: smtpd[3643]: warning: xxx.xxx.ru[192.168.1.228]: SASL CRAM-MD5 authentication failed: authentication failure

Содержимое smtpd.conf:

log_level: 7
pwcheck_method: auxprop
auxprop_plugin: sasldb
mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5

Пользователь test

#sasldblistusers2
test@xxx.ru: userPassword

# hostname
mail.xxx.ru

# postconf -d mail_version
mail_version = 3.5.6

Система debian 11 # uname -r
5.10.0-10-amd64

Лог ошибки:

...
Jan 12 12:53:44 mail postfix/smtpd[3807]: event: SMFIC_HELO; macros: (none)
Jan 12 12:53:44 mail postfix/smtpd[3807]: skipping event SMFIC_HELO for milter inet:localhost:7357
Jan 12 12:53:44 mail postfix/smtpd[3807]: match_hostname: smtpd_sasl_exceptions_networks: oaealex.xxx.ru ~? 192.168.1.0/24
Jan 12 12:53:44 mail postfix/smtpd[3807]: match_hostaddr: smtpd_sasl_exceptions_networks: 192.168.1.228 ~? 192.168.1.0/24
Jan 12 12:53:44 mail postfix/smtpd[3807]: sasl_exceptions: oaealex.prominform.ru[192.168.1.228], match=0
Jan 12 12:53:44 mail postfix/smtpd[3807]: match_list_match: oaealex.xxx.ru: no match
Jan 12 12:53:44 mail postfix/smtpd[3807]: match_list_match: 192.168.1.228: no match
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.xxx.ru[192.168.1.228]: 250-mail.xxx.ru
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-PIPELINING
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-SIZE 30720000
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-ETRN
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-AUTH CRAM-MD5 DIGEST-MD5
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-AUTH=CRAM-MD5 DIGEST-MD5
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-ENHANCEDSTATUSCODES
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-8BITMIME
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250-DSN
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 250 CHUNKING
Jan 12 12:53:44 mail postfix/smtpd[3807]: watchdog_pat: 0x563b6244c800
Jan 12 12:53:44 mail postfix/smtpd[3807]: < oaealex.prominform.ru[192.168.1.228]: AUTH CRAM-MD5
Jan 12 12:53:44 mail postfix/smtpd[3807]: query milter states for other event
Jan 12 12:53:44 mail postfix/smtpd[3807]: milter8_other_event: milter inet:localhost:7357
Jan 12 12:53:44 mail postfix/smtpd[3807]: xsasl_cyrus_server_first: sasl_method CRAM-MD5
Jan 12 12:53:44 mail postfix/smtpd[3807]: xsasl_cyrus_server_auth_response: uncoded server challenge: <3385465035.14584169@mail.prominform.ru>
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.xxx.ru[192.168.1.228]: 334 PDMzODU0NjUwMzUuMTQ1ODQxNjlAbWFpbC5wcm9taW5mb3JtLnJ1Pg==
Jan 12 12:53:44 mail postfix/smtpd[3807]: < oaealex.xxx.ru[192.168.1.228]: dGVzdEBwcm9taW5mb3JtLnJ1IDI3OTIwOTE1NGI3OTg0MjQyOTA1YWRkMzJiZjcyNDQw
Jan 12 12:53:44 mail postfix/smtpd[3807]: xsasl_cyrus_server_next: decoded response: test@xxx.ru 279209154b7984242905add32bf72440
Jan 12 12:53:44 mail postfix/smtpd[3807]: warning: oaealex.xxx.ru[192.168.1.228]: SASL CRAM-MD5 authentication failed: authentication failure
Jan 12 12:53:44 mail postfix/smtpd[3807]: > oaealex.prominform.ru[192.168.1.228]: 535 5.7.8 Error: authentication failed: authentication failure
Jan 12 12:53:44 mail postfix/smtpd[3807]: watchdog_pat: 0x563b6244c800
Jan 12 12:53:44 mail postfix/smtpd[3807]: < oaealex.xxx.ru[192.168.1.228]: MAIL FROM:<test@xxx.ru> SIZE=484
...

Содержимое main.cf:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
default_process_limit = 2000
disable_vrfy_command = yes
html_directory = no
inet_interfaces = all
inet_protocols = ipv4
mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
message_size_limit = 30720000
mydestination = $mydomain, $myhostname, localhost.$mydomain, localhost
mydomain = xxx.ru
myhostname = mail.prominform.ru
mynetworks = 127.0.0.1/32, 192.168.1.0/24
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix/README_FILES
sample_directory = /usr/share/doc/postfix/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_always_send_ehlo = yes
smtpd_client_connection_count_limit = 500
smtpd_error_sleep_time = 0
smtpd_helo_required = yes
smtpd_recipient_limit = 1000
smtpd_reject_unlisted_recipient = yes
smtpd_reject_unlisted_sender = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_exceptions_networks = !192.168.1.0/24
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_security_options = noplaintext, noanonymous
smtpd_sasl_type = cyrus
strict_rfc821_envelopes = yes

smtpd_restriction_classes = local_only, insiders_only
local_only = check_recipient_access hash:/etc/postfix/access_local, reject
insiders_only = check_sender_access hash:/etc/postfix/access_insiders, reject

# Ограничения на этапе установке подключения
smtpd_client_restrictions =
    # Разрешить клиентов, прошедших аутентификацию
    permit_sasl_authenticated,
    check_client_access regexp:/etc/postfix/access_client,
    reject_unauth_pipelining,
    reject_unknown_client_hostname,
    reject_rbl_client b.barracudacentral.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client psbl.surriel.com,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2,
    reject_rbl_client spamsources.fabel.dk,
    permit

# Ограничения на этапе команды HELO/EHLO
smtpd_helo_restrictions =
    # Разрешить клиентов, прошедших аутентификацию
    permit_sasl_authenticated,
    # Отклонять клиентов, указывающих в HELO не полное доменное имя
    reject_invalid_helo_hostname,
    reject_non_fqdn_helo_hostname,
    reject_unknown_helo_hostname,
    check_helo_access hash:/etc/postfix/access_helo,
    check_helo_access regexp:/etc/postfix/access_client,
    permit

# Ограничения на этапе команды MAIL FROM
smtpd_sender_restrictions =
    # Разрешить клиентов, прошедших аутентификацию
    permit_sasl_authenticated,
    reject_authenticated_sender_login_mismatch,
    # Отклонять почту от отправителей с неполным доменным именем
    reject_non_fqdn_sender,
    # Отклонять почту от отправителей из несуществующего домена
    reject_unknown_sender_domain,
    check_sender_access hash:/etc/postfix/access_sender,
 check_sender_mx_access cidr:/etc/postfix/access_mx,
    reject_unlisted_sender,
    permit

smtpd_relay_restrictions =
    permit_mynetworks,
    # permit_sasl_authenticated,
    reject_unauth_destination

# Ограничения на этапе команды RCPT TO
smtpd_recipient_restrictions =
    # Отклонять почту для получателей с неполным доменным именем
    reject_non_fqdn_recipient,
    # Отклонять почту для получателей в несуществующем домене
    reject_unknown_recipient_domain,
    permit_mynetworks,
    #permit_sasl_authenticated,
    check_recipient_access hash:/etc/postfix/access_recipient,
    check_policy_service unix:/var/spool/postfix/postgrey/socket
    permit

unknown_local_recipient_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps
virtual_transport = lmtp:unix:/var/lib/imap/socket/lmtp

milter_protocol = 6
milter_default_action = tempfail
smtpd_milters = inet:localhost:7357
non_smtpd_milters = inet:localhost:7357

Третий день туплю :( Кто знает - куда копать ?

md5, postfix

oaealex
(12.01.22 11:15:43 MSK)

1 комментарий

DNS error (broken trust chain)

Здравствуйте ! Заранее извиняюсь - если вопрос глупый. В последнее время стал замечать что некоторые имена не резолвятся DNS. Причем не постоянно. Например: Хороший запрос: [root@mail etc]# host 92.53.117.34 34.117.53.92.in-addr.arpa domain name pointer smtpout4.timeweb.ru.

Тутже даю следующий запрос - и он уже не успешный: [root@mail etc]# host 92.53.117.34 Host 34.117.53.92.in-addr.arpa. not found: 3(NXDOMAIN)

Смотрим логи: [root@mail etc]# tail /var/log/messages Apr 23 18:28:49 mail named[1370]: error (broken trust chain) resolving ‘34.117.53.92.in-addr.arpa/PTR/IN’: 92.53.116.200#53 Apr 23 18:51:11 mail named[1370]: validating @0x7f820c61c560: 117.53.92.in-addr.arpa SOA: no valid signature found Apr 23 18:51:11 mail named[1370]: validating @0x7f820c61c560: 117.53.92.in-addr.arpa NSEC: no valid signature found Apr 23 18:51:11 mail named[1370]: error (broken trust chain) resolving ‘34.117.53.92.in-addr.arpa/DNSKEY/IN’: 92.53.98.100#53 Apr 23 18:51:11 mail named[1370]: error (broken trust chain) resolving ‘34.117.53.92.in-addr.arpa/PTR/IN’: 92.53.116.200#53

Как я понимаю - проблемма в DNSSEC, но как грамотно разрулить ситуацию не понимаю. Пишут что нужно отключить DNSSEC. Хороший ли это путь ? Как правильно поступить в данной ситуации ?

Некоторые конфиги: [root@mail etc]# cat /etc/centos-release CentOS Linux release 7.0.1406 (Core)

[root@mail etc]# cat /etc/resolv.conf search my_domain.ru nameserver 127.0.0.1 nameserver 8.8.8.8

[root@mail etc]# cat /etc/named.conf options { listen-on port 53 {192.168.1.201; 127.0.0.1;}; directory «/var/named»; dump-file «/var/named/data/cache_dump.db»; statistics-file «/var/named/data/named_stats.txt»; memstatistics-file «/var/named/data/named_mem_stats.txt»; // forward only; // forwarders {8.8.8.8; 8.8.4.4;}; allow-query {192.168.1.0/24; 127.0.0.1;}; version «WinDNS 1.01»; notify no; recursion yes;

    dnssec-enable yes;
    dnssec-validation yes;
    dnssec-lookaside auto;

    /* Path to ISC DLV key */
    bindkeys-file "/etc/named.iscdlv.key";
    managed-keys-directory "/var/named/dynamic";
    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";

};

logging { channel default_debug { file «data/named.run»; severity dynamic; }; };

include «/etc/named.rfc1912.zones»; include «/etc/named.root.key»;

Установка параметра - dnssec-validation no; - решает проблемму. Очевидно, что после перезапуска сервиса named - первый запрос с опцией dnssec отдается вышестоящему серверу DNS и успешно разрешается им. Далее наш локальный сервер кэшурует этот ответ, помнит что ответ у него уже есть, но при включенном DNSSEC - генерирует ошибку «error (broken trust chain) resolving» и не разрешает ip адрес в имя. До тех пор пока не «забудет» о своем кэше и опять не отдаст запрос выше стоящему серверу.

nxdomain

oaealex
(23.04.20 17:24:44 MSK)

2 комментария

Скажи, что не так ? (Гуру TCP - разомнитесь :)

В продолжении темы "timed out while sending message body" http://www.linux.org.ru/view-message.jsp?msgid=3697344&lastmod=1242621447015

Программой tcpdump был снят лог обмена. - http://www.prominform.ru/files/tcpdump.log который можно просмоотреть программой wireshark http://www.wireshark.org/download/win32/

Расшифрованный программой wireshark лог хранится здесь: http://www.prominform.ru/files/wireshark.out

10.1.1.10 - мой интерфейс.

Вопрос: Какая из сторон нарушает протокол передачи тела письма и чем эту ситуацию можно исправить ?

oaealex
(18.05.09 08:56:46 MSD)

18 комментариев

timed out while sending message body

При отправке сообщения (postfix) с вложением получаю ошибку

Apr 28 11:16:00 mail postfix/smtp[3208]: 532D8118616: to=<xxx@chel.usi.ru>, relay=mumin.chel.usi.ru[212.57.144.25]:25, delay=75139, delays=74533/0.71/234/370, dsn=4.4.2, status=deferred (conversation with mumin.chel.usi.ru[212.57.144.25] timed out while sending message body)

MTU утановлен в 1400, tcpdump ом ICMP сообщений - не наблюдаю. Канал - ADSL 256 Кбит. Вложение - 800 Кб. Письма без вложений (небольшие) - ходят нормально. OC - SUSE 10, iptables.

Здесь также описывается эта проблемма http://inf.susu.ac.ru/docs/postfix/faq.html#timeouts

Но как ее грамотно диагностинвать ??? Пробовал: устанавливать MTU =512, (по умолчанию - 1400) sysctl net.ipv4.ip_no_pmtu_disc=1 (по умолчанию - 0) - не помогло :(

Проблемма обнаружена только с доменом chel.usi.ru, На другие домены - почта уходит.

Лог poctfix: Apr 29 08:46:51 mail postfix/smtp[4489]: 710C0117FF3: conversation with mumin.chel.usi.ru[212.57.144.25] timed out while sending message body Apr 29 08:46:51 mail postfix/smtp[4489]: vstream_buf_get_ready: fd 13 got 23 Apr 29 08:46:51 mail postfix/smtp[4489]: < nexus.chel.usi.ru[212.57.144.30]: 220 nexus.chel.usi.ru Apr 29 08:46:51 mail postfix/smtp[4489]: > nexus.chel.usi.ru[212.57.144.30]: EHLO mail.mydomain.ru Apr 29 08:46:51 mail postfix/smtp[4489]: vstream_fflush_some: fd 13 flush 25 Apr 29 08:46:51 mail postfix/smtp[4489]: vstream_buf_get_ready: fd 13 got 126 Apr 29 08:46:51 mail postfix/smtp[4489]: < nexus.chel.usi.ru[212.57.144.30]: 250-nexus.chel.usi.ru Apr 29 08:46:51 mail postfix/smtp[4489]: < nexus.chel.usi.ru[212.57.144.30]: 250-PIPELINING ... A6R+CvhpbX Apr 29 08:48:42 mail postfix/smtp[4489]: vstream_buf_get_ready: fd 11 got 4096 Apr 29 08:48:42 mail postfix/smtp[4489]: rec_get: type N len 72 data t2jS5tLYko Apr 29 08:48:42 mail postfix/smtp[4489]: vstream_fflush_some: fd 13 flush 4096 Apr 29 08:51:42 mail postfix/smtp[4489]: connect to subsystem private/defer Apr 29 08:51:42 mail postfix/smtp[4489]: send attr nrequest = 0 Apr 29 08:51:42 mail postfix/smtp[4489]: send attr flags = 0 Apr 29 08:51:42 mail postfix/smtp[4489]: send attr queue_id = 710C0117FF3 Apr 29 08:51:42 mail postfix/smtp[4489]: send attr original_recipient = xxx@chel.usi.ru Apr 29 08:51:42 mail postfix/smtp[4489]: send attr recipient = xxx@chel.usi.ru Apr 29 08:51:42 mail postfix/smtp[4489]: send attr offset = 670 Apr 29 08:51:42 mail postfix/smtp[4489]: send attr dsn_orig_rcpt = rfc822;xxx@chel.usi.ru Apr 29 08:51:42 mail postfix/smtp[4489]: send attr notify_flags = 0 Apr 29 08:51:42 mail postfix/smtp[4489]: send attr status = 4.4.2 Apr 29 08:51:42 mail postfix/smtp[4489]: send attr diag_type = Apr 29 08:51:42 mail postfix/smtp[4489]: send attr diag_text = Apr 29 08:51:42 mail postfix/smtp[4489]: send attr mta_type = Apr 29 08:51:42 mail postfix/smtp[4489]: send attr mta_mname = Apr 29 08:51:42 mail postfix/smtp[4489]: send attr action = delayed Apr 29 08:51:42 mail postfix/smtp[4489]: send attr reason = conversation with nexus.chel.usi.ru[212.57.144.30] timed out while sending message body Apr 29 08:51:42 mail postfix/smtp[4489]: vstream_fflush_some: fd 14 flush 349 Apr 29 08:51:42 mail postfix/smtp[4489]: vstream_buf_get_ready: fd 14 got 10 Apr 29 08:51:42 mail postfix/smtp[4489]: private/defer socket: wanted attribute: status Apr 29 08:51:42 mail postfix/smtp[4489]: input attribute name: status Apr 29 08:51:42 mail postfix/smtp[4489]: input attribute value: 0 Apr 29 08:51:42 mail postfix/smtp[4489]: private/defer socket: wanted attribute: (list terminator) Apr 29 08:51:42 mail postfix/smtp[4489]: input attribute name: (end) Apr 29 08:51:42 mail postfix/smtp[4489]: 710C0117FF3: to=<xxx@chel.usi.ru>, relay=nexus.chel.usi.ru[212.57.144.30]:25, delay=154143, delays=153571/0.09/281/291, dsn=4.4.2, status=deferred (conversation with nexus.chel.usi.ru[212.57.144.30] timed out while sending message body) Apr 29 08:51:42 mail postfix/smtp[4489]: flush_add: site chel.usi.ru id 710C0117FF3 Apr 29 08:51:42 mail postfix/smtp[4489]: match_list_match: chel.usi.ru: no match Apr 29 08:51:42 mail postfix/smtp[4489]: flush_add: site chel.usi.ru id 710C0117FF3 status 4 Apr 29 08:51:42 mail postfix/smtp[4489]: name_mask: resource Apr 29 08:51:42 mail postfix/smtp[4489]: name_mask: software Apr 29 08:51:42 mail postfix/smtp[4489]: vstream_fflush_some: fd 13 flush 4096 Apr 29 08:51:42 mail postfix/smtp[4489]: vstream_fflush_some: fd 13 flush 4096 _________________ -- С уважением, Алексей.

oaealex
(12.05.09 14:35:22 MSD)

18 комментариев

RSS подписка на новые темы