LINUX.ORG.RU
решено ФорумAdmin

exim4 STARTTLS

 , , ,


1

1

Привет!

В продолжение прошлой темы, есть мой сервачек, на сервачке Vesta CP + exim4 + Ubuntu 16.04 Как сделать так, чтобы работал STARTTLS? Вот конфиг эксима.

######################################################################
#                                                                    #
#          Exim configuration file for Vesta Control Panel           #
#                                                                    #
######################################################################

SPAMASSASSIN = yes
SPAM_SCORE = 50
#CLAMD =  yes

add_environment = <; PATH=/bin:/usr/bin
keep_environment =
disable_ipv6 = true

domainlist local_domains = dsearch;/etc/exim4/domains/
domainlist relay_to_domains = dsearch;/etc/exim4/domains/
hostlist relay_from_hosts = 127.0.0.1
hostlist whitelist = net-iplsearch;/etc/exim4/white-blocks.conf
hostlist spammers = net-iplsearch;/etc/exim4/spam-blocks.conf
no_local_from_check
untrusted_set_sender = *
acl_smtp_connect = acl_check_spammers
acl_smtp_mail = acl_check_mail
acl_smtp_rcpt = acl_check_rcpt
acl_smtp_data = acl_check_data
acl_smtp_mime = acl_check_mime

.ifdef SPAMASSASSIN
spamd_address = 127.0.0.1 783
.endif

.ifdef CLAMD
av_scanner = clamd: /var/run/clamav/clamd.ctl
.endif

tls_advertise_hosts = *
tls_certificate = /usr/local/vesta/ssl/certificate.crt
tls_privatekey = /usr/local/vesta/ssl/certificate.key
daemon_smtp_ports = 25 : 465 : 587 : 2525
tls_on_connect_ports = 587 : 465
never_users = root
host_lookup = *
rfc1413_hosts = *
rfc1413_query_timeout = 5s
ignore_bounce_errors_after = 2d
timeout_frozen_after = 7d

DKIM_DOMAIN = ${lc:${domain:$h_from:}}
DKIM_FILE = /etc/exim4/domains/${lc:${domain:$h_from:}}/dkim.pem
DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}



######################################################################
#                       ACL CONFIGURATION                            #
#         Specifies access control lists for incoming SMTP mail      #
######################################################################
begin acl

acl_check_spammers:
  accept  hosts         = +whitelist

  drop    message       = Your host in blacklist on this server.
          log_message   = Host in blacklist
          hosts         = +spammers

  accept


acl_check_mail:
  deny    condition     = ${if eq{$sender_helo_name}{}}
          message       = HELO required before MAIL

  drop    message       = Helo name contains a ip address (HELO was $sender_helo_name) and not is valid
          condition     = ${if match{$sender_helo_name}{\N((\d{1,3}[.-]\d{1,3}[.-]\d{1,3}[.-]\d{1,3})|([0-9a-f]{8})|([0-9A-F]{8}))\N}{yes}{no}}
          condition     = ${if match {${lookup dnsdb{>: defer_never,ptr=$sender_host_address}}\}{$sender_helo_name}{no}{yes}}
          delay         = 45s

  drop    condition     = ${if isip{$sender_helo_name}}
          message       = Access denied - Invalid HELO name (See RFC2821 4.1.3)

  drop    condition     = ${if eq{[$interface_address]}{$sender_helo_name}}
          message       = $interface_address is _my_ address

  accept


acl_check_rcpt:
  accept  hosts         = :

  deny    message       = Restricted characters in address
          domains       = +local_domains
          local_parts   = ^[.] : ^.*[@%!/|]

  deny    message       = Restricted characters in address
          domains       = !+local_domains
          local_parts   = ^[./|] : ^.*[@%!] : ^.*/\\.\\./

  require verify        = sender

  accept  hosts         = +relay_from_hosts
          control       = submission

  accept  authenticated = *
          control       = submission/domain=

  deny    message       = Rejected because $sender_host_address is in a black list at $dnslist_domain\n$dnslist_text
          hosts         = !+whitelist
          dnslists      = ${readfile {/etc/exim4/dnsbl.conf}{:}}

  require message       = relay not permitted
          domains       = +local_domains : +relay_to_domains

  deny    message       = smtp auth requried
         sender_domains = +local_domains
         !authenticated = *

  require verify        = recipient

.ifdef CLAMD
  warn    set acl_m0    = no

  warn    condition     = ${if exists {/etc/exim4/domains/$domain/antivirus}{yes}{no}}
          set acl_m0    = yes
.endif

.ifdef SPAMASSASSIN
  warn    set acl_m1    = no

  warn    condition     = ${if exists {/etc/exim4/domains/$domain/antispam}{yes}{no}}
          set acl_m1    = yes
.endif

  accept


acl_check_data:
.ifdef CLAMD
  deny   message        = Message contains a virus ($malware_name) and has been rejected
         malware        = *
         condition      = ${if eq{$acl_m0}{yes}{yes}{no}}
.endif

.ifdef SPAMASSASSIN
  warn   !authenticated = *
         hosts          = !+relay_from_hosts
         condition      = ${if < {$message_size}{100K}}
         condition      = ${if eq{$acl_m1}{yes}{yes}{no}}
         spam           = nobody:true/defer_ok
         add_header     = X-Spam-Score: $spam_score_int
         add_header     = X-Spam-Bar: $spam_bar
         add_header     = X-Spam-Report: $spam_report
         set acl_m2     = $spam_score_int

  warn   condition      = ${if !eq{$acl_m2}{} {yes}{no}}
         condition      = ${if >{$acl_m2}{SPAM_SCORE} {yes}{no}}
         add_header     = X-Spam-Status: Yes
         message        = SpamAssassin detected spam (from $sender_address to $recipients).
.endif

  accept


acl_check_mime:
  deny   message        = Blacklisted file extension detected
         condition      = ${if match {${lc:$mime_filename}}{\N(\.ade|\.adp|\.bat|\.chm|\.cmd|\.com|\.cpl|\.exe|\.hta|\.ins|\.isp|\.jse|\.lib|\.lnk|\.mde|\.msc|\.msp|\.mst|\.pif|\.scr|\.sct|\.shb|\.sys|\.vb|\.vbe|\.vbs|\.vxd|\.wsc|\.wsf|\.wsh)$\N}{1}{0}}

  accept



######################################################################
#                   AUTHENTICATION CONFIGURATION                     #
######################################################################
begin authenticators

dovecot_plain:
  driver = dovecot
  public_name = PLAIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1

dovecot_login:
  driver = dovecot
  public_name = LOGIN
  server_socket = /var/run/dovecot/auth-client
  server_set_id = $auth1



######################################################################
#                      ROUTERS CONFIGURATION                         #
#               Specifies how addresses are handled                  #
######################################################################
begin routers

#smarthost:
#  driver = manualroute
#  domains = ! +local_domains
#  transport = remote_smtp
#  route_list = * smartrelay.vestacp.com
#  no_more
#  no_verify

dnslookup:
  driver = dnslookup
  domains = !+local_domains
  transport = remote_smtp
  no_more

userforward:
  driver = redirect
  check_local_user
  file = $home/.forward
  allow_filter
  no_verify
  no_expn
  check_ancestor
  file_transport = address_file
  pipe_transport = address_pipe
  reply_transport = address_reply

procmail:
  driver = accept
  check_local_user
  require_files = ${local_part}:+${home}/.procmailrc:/usr/bin/procmail
  transport = procmail
  no_verify

autoreplay:
  driver = accept
  require_files = /etc/exim4/domains/$domain/autoreply.${local_part}.msg
  condition = ${if exists{/etc/exim4/domains/$domain/autoreply.${local_part}.msg}{yes}{no}}
  retry_use_local_part
  transport = userautoreply
  unseen

aliases:
  driver = redirect
  headers_add = X-redirected: yes
  data = ${extract{1}{:}{${lookup{$local_part@$domain}lsearch{/etc/exim4/domains/$domain/aliases}}}}
  require_files = /etc/exim4/domains/$domain/aliases
  redirect_router = dnslookup
  pipe_transport = address_pipe
  unseen

localuser_fwd_only:
  driver = accept
  transport = devnull
  condition = ${if exists{/etc/exim4/domains/$domain/fwd_only}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/fwd_only}{true}{false}}}}

localuser_spam:
  driver = accept
  transport = local_spam_delivery
  condition = ${if eq {${if match{$h_X-Spam-Status:}{\N^Yes\N}{yes}{no}}} {${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}{yes}{no_such_user}}}}

localuser:
  driver = accept
  transport = local_delivery
  condition = ${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}{true}{false}}

catchall:
  driver = redirect
  headers_add = X-redirected: yes
  require_files = /etc/exim4/domains/$domain/aliases
  data = ${extract{1}{:}{${lookup{*@$domain}lsearch{/etc/exim4/domains/$domain/aliases}}}}
  file_transport = local_delivery
  redirect_router = dnslookup

terminate_alias:
  driver = accept
  transport = devnull
  condition = ${lookup{$local_part@$domain}lsearch{/etc/exim4/domains/$domain/aliases}{true}{false}}



######################################################################
#                      TRANSPORTS CONFIGURATION                      #
######################################################################
begin transports

remote_smtp:
  driver = smtp
  #helo_data = $sender_address_domain
  dkim_domain = DKIM_DOMAIN
  dkim_selector = mail
  dkim_private_key = DKIM_PRIVATE_KEY
  dkim_canon = relaxed
  dkim_strict = 0

procmail:
  driver = pipe
  command = "/usr/bin/procmail -d $local_part"
  return_path_add
  delivery_date_add
  envelope_to_add
  user = $local_part
  initgroups
  return_output

local_delivery:
  driver = appendfile
  maildir_format
  maildir_use_size_file
  user = ${extract{2}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}
  group = mail
  create_directory
  directory_mode = 770
  mode = 660
  use_lockfile = no
  delivery_date_add
  envelope_to_add
  return_path_add
  directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}/mail/$domain/$local_part"
  quota = ${extract{6}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}M
  quota_warn_threshold = 75%

local_spam_delivery:
  driver = appendfile
  maildir_format
  maildir_use_size_file
  user = ${extract{2}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}
  group = mail
  create_directory
  directory_mode = 770
  mode = 660
  use_lockfile = no
  delivery_date_add
  envelope_to_add
  return_path_add
  directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}/mail/$domain/$local_part/.Spam"
  quota = ${extract{6}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}M
  quota_directory = "${extract{5}{:}{${lookup{$local_part}lsearch{/etc/exim4/domains/$domain/passwd}}}}/mail/$domain/$local_part"
  quota_warn_threshold = 75%

address_pipe:
  driver = pipe
  return_output

address_file:
  driver = appendfile
  delivery_date_add
  envelope_to_add
  return_path_add

address_reply:
  driver = autoreply

userautoreply:
  driver = autoreply
  file = /etc/exim4/domains/$domain/autoreply.${local_part}.msg
  from = "${local_part}@${domain}"
  headers = Content-Type: text/plain; charset=utf-8;\nContent-Transfer-Encoding: 8bit
  subject = "${if def:h_Subject: {Autoreply: \"${rfc2047:$h_Subject:}\"} {Autoreply Message}}"
  to = "${sender_address}"

devnull:
  driver = appendfile
  file = /dev/null


######################################################################
#                      RETRY CONFIGURATION                           #
######################################################################
begin retry

# Address or Domain    Error       Retries
# -----------------    -----       -------
*                      *           F,2h,15m; G,16h,1h,1.5; F,4d,6h



######################################################################
#                      REWRITE CONFIGURATION                         #
######################################################################
begin rewrite



######################################################################

Как сделать так, чтобы для SMTP работал STARTTLS? Т.е. перенаправляло с 25-го на 465/587-й порт и все нормально отправляло.

Вновь sudo cast constin, MrClon

Теперь exim4.

Перемещено shell-script из talks

★★★★★

а не надо перенаправлять, надо включить на 25 порту TSL , он же не насильно его впихивать будет, а только предлагать. таким образом общение с серверами продолжится как было, общение с клиентами будет через TSL

tls_on_connect_ports = 25 : 587 : 465

но вообще exim не мой конек, я его редко использую.

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от constin

ну и я ошибся, а он у тебя точно не предлагает starttls на 25 по умолчанию?

telnet localhost 25
ehlo blabla.com

что показывает?

Вообще у тебя vestacp , а она по умолчанию это все умеет.

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 1)

оно же как работает , идет обычный коннект ( не шифрованный вначале(), и сервер говорит привет, я типа сервер. Клиент говорит, привет, а я типа вася пупкин. Сервер - отлично я умею то, то и вот то, и STARTTLS умею. Клиент: отлично, давай-ка STARTTLS Сервер: ок, пошло шифрование Клиент- ок авторизуюсь ( если он почтовый клиент)

проверить это можно телнетом, как я писал выше

root@:# telnet localhost 25
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 blabla ESMTP ready, who are you gonna pretend to be today?
ehlo sfef  <---- это написал я 
250-mail.blabla.net Hello localhost [127.0.0.1]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP
STARTTLS <---- это написал я 
220 TLS go ahead

constin ★★★★ ()
Ответ на: комментарий от constin
250-site.in.ua Hello site.co.ua [127.0.0.1]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP

А Громоптица не хочет поддерживать STARTTLS, хотя он есть.

Twissel ★★★★★ ()
Ответ на: комментарий от constin

telnet localhost 25

openssl s_client -connect tld:25 -starttls smtp
Проверить starttls наверное лучше так. Хотя бы письмо руками получится отправить.

imul ★★★★★ ()

Вновь sudo cast constin, MrClon

С exim вообще не работал, да и до TLS в почте руки так и не дошли

MrClon ★★★★★ ()
Ответ на: комментарий от imul

Обидно и непонятно, ведь на другом сервере на postfix все работает без танцев с бубном.

А какой почтовик с гуем посоветуешь под Linux?

Twissel ★★★★★ ()
Ответ на: комментарий от constin

Пришлось добавить свою подсеть в список hostlist relay_from_hosts

И подключаться нужно на порт 2525, все вопрос вроде бы решен.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

он не должен ругаться на имя хоста, если клиент авторизован.

constin ★★★★ ()
Ответ на: комментарий от Twissel

это не решение, а костыль. завтра потыркаю линуксовым тандером в exim у себя на полигоне.

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от Twissel

еще тебе до кучи, я как-то нашел проблему взаимоотношений exim и thunderbird.

Пропарси в логах

next input sent too soon: pipelining was not advertised

Проблема в том, что thunderbird не очень соблюдает RFC при тесте аккаунта слишком торопится и не может настроить аккаунт из-за этой ошибки.

Решение в том, чтобы сделать exim немного помягче. В начале конфига /etc/exim4/exim4.conf.template добавляем

smtp_enforce_sync = false

перегружаем exim

constin ★★★★ ()
Ответ на: комментарий от constin

ОК, спасибо. Пока в качестве клиента перешел на Sylpheed, отправка работает. Но и с тундером еще поковыряюсь, ради интереса.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

на самом деле я думаю, что причина именно в этом. я только ночью вспомнил, что у меня были проблемы с тандером и vestacp при тесте. Ребята сделали неплохую панель, но кое-где работали невнимательно. Еще есть ошибка с грейлистингом, тоже могу описать.

Посмотри плз /var/log/exim/mainlog не было ли у тебя ошибок в самом начале next input sent too soon: pipelining was not advertised, до того, как ты внес подсеть в доверенные хосты.

пропиши smtp_enforce_sync = false , убери свою подсеть из доверенных. и попробуй еще раз по нормальному порту , вообще надо не 25 , а 587, если уж совсем правильно. но 25 тоже должен работать. Если не пойдет, то скинь лог exim во время коннекта.

constin ★★★★ ()
Ответ на: комментарий от Twissel

2525 они сделали ДОБАВОЧНО только потому, что у пользователя может быть заблокирован 25 порт провайдером и тогда он сможет использовать 2525. MTA может слушать любой порт, ему все равно.

Есть некий стандарт. 587 submission - используется для отправки почты почтовым клиентом, 25 порт используется для получения почты от других серверов. 465 на самом деле устарел и более не используется и использовался он не долго. Но, конечно, никто не мешает тебе использовать любые порты для чего угодно.

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от constin

Кстати, заметил, что сейчас эксим работает на передачу, но на прием почты плюется такой вот ошибкой

The TLS connection was non-properly terminated.

Видно я где-то скосячил. Что можешь сказать?

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

не, это уже перебор, сорри, ты там меняешь конфиги на ходу, а я должен угадывать?)

Решай проблемы по мере из поступления, плз. Сначала с тандером, потом отдельный пост с логами про TLS.

constin ★★★★ ()
Ответ на: комментарий от constin

ОК, свою подсеть убрал из разрешенных к релею, с тандером STARTTLS работает на порту 2525, напрямую на 587-м не хочет.

2017-09-23 16:11:36 TLS error on connection from mail.pleskan.co.ua [91.214.114.117] (gnutls_handshake): The TLS connection was non-properly terminated.

Вот с этим выхлопом не хочет принимать почту. Отправляю с другой моей тестовой vps-ки. Т.к. эксим неосвоенный, я не знаю что за хрень это есть)))

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

я бы советовал тебе вернуться к дефолтному конфигу vestacp плюс добавить

smtp_enforce_sync = false

ты там много уже навертел , например 587 порт ты вообще убрал, конечно он теперь не будет работать. и тд итп. Это уже не помощь, а работа. Сорри, я не буду разбирать весь конфиг, тем более, что я писал, что exim не мой конек)

ну и логи не забывай кидать

constin ★★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от constin

Да я и сам думаю вернуть дефолтный.

Спасибо и на том, что написал, все ОК!

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Они связаны с моей практикой использования, возможно проявляются в конкретной версии. Если ты с ними пока не столкнулся, то возможно их у тебя нет, или это тебе не нужно.

imul ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.