LINUX.ORG.RU
ФорумAdmin

Outlook + Postfix (tls/ssl)


0

1

поднял почтовый сервер на Postfxix+dovecot+tls/ssl(создал сертификаты openssl ) В качестве почтового клиента использую Outlook Express 6 при старте он выкидывает

"Используемый сервер имеет сертификат безопасности, 
который невозможно проверить. Цепочка сертификатов 
обработана правильно, но обработка прервана на корневом 
сертификате, у которого отсутствует отношение доверия с 
поставщиком доверия. Продолжить использование данного 
сервера?"
Как это побороть ?

Установить в систему сертификат сервера или CA, которым он подписан?

А лучше установить нормальный почтовый клиент.

Deleted ()
Ответ на: комментарий от drac753

1) Добавить свой сертификат в список доверенных на клиенте (дабл-клик на your_cert.crt)

2) Купить сертификат подписанный CA которые уже есть в винде. Например verisign и т.п.

zgen ★★★★★ ()
Ответ на: комментарий от Deleted

А лучше установить нормальный почтовый клиент.

А чем «нормальный» почтовый клиент поможет в случае, когда используется self-signed cert?

ps. сам пользуюсь tb

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Вопрос по птичке , я тут заметил что в на сервере в каталоге с почтовым ящиком она создаёт два каталога /.Trash и /.Send , для чего ?

drac753 ★★ ()
Ответ на: комментарий от drac753

Очевидно для того, чтобы складывать на сервер мусор и отправленные.
Или у вас словаря для перевода нет?

zgen ★★★★★ ()
Ответ на: комментарий от drac753

Возникла не большая проблема , при создании я ящика в параметрах сервера , задаю имя пароль ssl/tls , в Сервер исходящей почты - ip сервака , порт по у молчанию 25 , когда пытаюсь выставить защиту соединения ssl/tls он автоматом меняется на 465 так и должно быть ?

drac753 ★★ ()
Ответ на: комментарий от cac2s

странно если в Сервер исходящей почты не ставить ssl\tls почта приходит и уходит, а если поставить то вылазиет -

Ошибка отправления сообщения. Сообщение не может быть отправлено, так как время ожидания соединения с SMTP-сервером «192.168.4.25» истекло. Попробуйте снова или свяжитесь с администратором сети.

шифрование вроде настроено, 465 порт на фаере открыт

iptables -A INPUT -i eth0 -p tcp -m multiport --dport 25,80,22,110,143,995,993,465 -j ACCEPT

# TLS parameters 
#### подгоняем этот участок к такому виду - начало
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_recipient_restrictions=permit_mynetworks,per mit_sasl_a uthenticated,reject_unauth_destination
smtpd_tls_cert_file=/etc/ssl/certs/postfix.pem
smtpd_tls_key_file=/etc/ssl/private/postfix.pem
### конец 

где может быть косяк ?

drac753 ★★ ()
Ответ на: комментарий от drac753

в master.cf есть что-то наподобие таких строчек:

smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
??

cac2s ()
Ответ на: комментарий от cac2s

smtps включил

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
   -o smtpd_tls_wrappermode=yes
   -o smtpd_sasl_auth_enable=yes
   -o smtpd_client_restrictions=permit_sasl_authenticated,reject
   -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp 
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
dovecot unix - n n - - pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}
Но почта не отправляется в логах
Jun  1 12:48:29 posts postfix/smtpd[31393]: warning: TLS library problem: 31393:error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown:s3_pkt.c:1102:SSL alert number 46:

Jun  1 12:48:29 posts postfix/smtpd[31393]: connect from unknown[192.168.4.15]
Jun  1 12:48:29 posts postfix/smtpd[31393]: SSL_accept error from unknown[192.168.4.15]: 0
Jun  1 12:48:29 posts postfix/smtpd[31393]: warning: TLS library problem: 31393:error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown:s3_pkt.c:1102:SSL alert number 46:
Jun  1 12:48:29 posts postfix/smtpd[31393]: lost connection after CONNECT from unknown[192.168.4.15]
Jun  1 12:48:29 posts postfix/smtpd[31393]: disconnect from unknown[192.168.4.15]
Jun  1 12:48:50 posts postfix/smtpd[31393]: connect from unknown[192.168.4.15]
Jun  1 12:48:52 posts postfix/smtpd[31393]: disconnect from unknown[192.168.4.15]
Jun  1 12:48:57 posts postfix/smtpd[31393]: connect from unknown[192.168.4.15]
Jun  1 12:50:39 posts postfix/smtpd[31393]: disconnect from unknown[192.168.4.15]

Похоже что-то не сто c SSL буду разбираться

drac753 ★★ ()
Ответ на: комментарий от cac2s

Что-то я сертификатами подзапутался , на сервере создал два сертификата

openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/dovecot.pem \
-keyout /etc/ssl/private/dovecot.pem


openssl req -new -x509 -days 3650 -nodes -out /etc/ssl/certs/postfix.pem \
-keyout /etc/ssl/private/postfix.pem
Таедербёрду ничего не скармливал , получается мне нужно один из этих сертфикатов подсунуть ему ?

drac753 ★★ ()
Ответ на: комментарий от cac2s
root@posts:/var/log# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 posts.dracon753.ru ESMTP Postfix (Debian/GNU)
ehlo localhost
250-posts.dracon753.ru
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
starttls
220 2.0.0 Ready to start TLS

вродебы работает я на OUtlook пробовал tls/ssl фунциклировал (письма шифровались) , правда там он через 25 порт шёл

drac753 ★★ ()
Ответ на: комментарий от drac753

сертификат импортируется при настройке акаунта

cac2s ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.