üdv mindenkinek,
van egy lenny-m postfix-szel, courier-rel, mysql-lel és virtuális domain-ekkel.
A levél fogadás hálózaton belül és kívül is működik. A küldés viszont sehonnan. A hitelesítés be van pipálva a kliens-ben.
"...Protokoll: SMTP, Kiszolgáló válasza: '554 5.7.1 : Client host rejected: Access denied', Port: 25, Biztonságos (SSL): Igen, Kiszolgálóhiba: 554, Hibaszám: 0x800CCC79"
Idemásolom a main.cf és a master.cf konfigot:
main.cf
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = /usr/share/doc/postfix
# TLS parameters
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = mydomain.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost,
relayhost = mail.chello.hu
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
home_mailbox = Maildir/
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
#Sajat cuccok
smtpd_helo_required = yes
disable_vrfy_command = yes
smtpd_recipient_restrictions =
permit_auth_destination,
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_sender_access hash:/etc/postfix/sender_checks,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client list.dsbl.org
smtpd_client_restrictions = permit_sasl_authenticated, reject
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
master.cf
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
#submission inet n - - - - smtpd
# -o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#smtps inet n - - - - smtpd
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - - 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay unix - - - - - smtp
-o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}
Szerintetek mi lehet a bibi?
Köszi!
- 3348 megtekintés
Hozzászólások
annyi az info, hogy
- hálózaton belül tudok küldeni imélt, de csak saját domain-re, ami a mysql-be fel van véve, külső domain-re nem tudok küldeni,
- és ezt is ugy, hogy sajnos nem veszi figyelembe, hogy a kimenö szerver hitelesitése be van-e pipálva vagy sem az OE-ben.
Igy esetleg?
- A hozzászóláshoz be kell jelentkezni
smtpd_recipient_restrictions =
permit_auth_destination,
permit_mynetworks,
permit_sasl_authenticated, [...]
ezeket sorban értelmezi. tehát permit mynetworks utén már küldhetsz is belső hálóból ($mynetworks), auth nélkül. ezt esetleg hagyd ki, vagy cseréld meg a permit sals authenticated-del.
valamint mynetworks nem jól van megadva
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
nagyon köszi, mit kell megadnom a mynetworks-höz, hogy mindenhonnan fogadjon?
átirtam a main.cf-et az alábbi módon:
smtpd_recipient_restrictions =
permit_auth_destination,
permit_sasl_authenticated,
permit_mynetworks,
...
Kiszolgáló válasza: '554 5.7.1 <*@sample.com>: Relay access denied', Port: 25, Biztonságos (SSL): Nem, Kiszolgálóhiba: 554, Hibaszám: 0x800CCC79
- A hozzászóláshoz be kell jelentkezni
igazából én most fáradt vagyok ehhez, alig látok már, kifolyik a szemem... :)
de neked igazából szerintem a smtpd client restrictions kellene főleg, az szabályozza, milyen kliensek küldhetnek. az smtpd recipient restrictions inkább a címzettekre vonatkozik, hogy kinek küldhetnek.
nálam ezek vannak (csak a releváns részek):
myhostname = localhostneve
mydomain = sajat.domainem.hu
mydestination = $myhostname, $mydomain, localhost.localdomain, localhost
mynetworks = 127.0.0.0/8 192.168.2.0/24
relayhost = [smtp.szolgaltatom.hu]
(a zárójeleket... nézz utána)
smtpd_client_restrictions = permit_sasl_authenticated, reject
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
ha mondjuk hálózaton belül ($mynetworks) azt szeretnéd, hogy ne is kelljen authentikálni, de hálózaton kívülről igen, akkor:
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject
nálam ugye ilyen nincs, nálam hálózaton belül is kell authentikálni.
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
nagyon megköszönöm a fáradozásodat, ha lesz időd a nappal folyamán, nagyon örülnék.
Megcsináltam, ahogy Nálad is van:
myhostname = localhostneve
mydomain = sajat.domainem.hu
mydestination = $myhostname, $mydomain, localhost.localdomain, localhost
mynetworks = 127.0.0.0/8 192.168.3.0/24
relayhost = [smtp.szolgaltatom.hu]
smtpd_client_restrictions = permit_sasl_authenticated, reject
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
eredmény a log fájlban:
NOQUEUE: reject: RCPT from unknown [192.168.3.1]: 554 5.7.1 : Client host rejected: Access denied;
Kiszolgáló válasza: '554 5.7.1 : Client host rejected: Access denied', Port: 25, Biztonságos (SSL): Nem, Kiszolgálóhiba: 554, Hibaszám: 0x800CCC79
- A hozzászóláshoz be kell jelentkezni
"mit kell megadnom a mynetworks-höz, hogy mindenhonnan fogadjon?"
mynetworks = 0.0.0.0/0
:D
Ezzel tudsz egy akkora open relay szervert gyártani mint egy mozdony.
Viszont nem fogsz access denied üzenetet kapni.
Ne vedd komolyan, csak feldobtad a magas labdát, és nem bírtam nem lecsapni. :)
Szóval ezt ne írd a mynetwork-höz. Érdemi jótanács lejjebb...
---
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Úgy látom sasl-el akarsz authentikálni.
Saslauthd fut? -> /etc/init.d/saslauthd start
A felhasználó fel van véve a sasldb-be? -> man saslpasswd2
Postfix látja a sasldb-t? -> a postfix alapértelmezésben chroot-os. /var/spool/postfix a könyvtára. Tehát a /etc/sasldb2 file-t a /var/spool/postfix/etc/sasldb2 helyen keresi. Másold oda az eredetit, vagy felhasználó hozzáadásánál paraméterezd a saslpasswd2 -t.
Postfix látja a /var/run/saslauthd könyvtárat? -> mint említettem chroot-os a postfix, tehát a saslauthd futásáról fogalma sincs, hacsak nem mountolod fel a postfix alá:
# /etc/init.d/saslauthd stop
# mount --bind /var/run/saslauthd/ /var/spool/postfix/var/run/saslauthd
# /etc/init.d/saslauthd startA master.cf -ben ki vannak kommentezve az sasl sorok... az nem javítja a működést ;) Az alábbi sorok elől vedd ki a kommentet
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,rejectNyilvánvalóan mindezek végén : /etc/init.d/postfix restart
---
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Nagyon köszi, este kipróbálom és írok!
Azt hogy tudom lecsekkolni, hogy a postfix látja-e a sasldb-t? Vagy hogy mit lát?
biztos, hogy nincs felmountolva a saslauthd a postfix alá. Akkor ezt az fstab-ban is rögzitsem, hogy mindig mountolva legyen?
- A hozzászóláshoz be kell jelentkezni
váááá :)
tessék, ez egy hasznos kis leírás
a sasl az egy kedves állat, főleg chrootolt postfixszel... de végülis annyira nem vészes, én hónapok alatt rájöttem nagyjából :)
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
Akkor én egész szerencsés vagyok, meló után, néha éjszakába nyúlóan alig egy fél nyár kellett, és megcsináltam a Apache + postfix + SASL auth + Dovecot stb dolgokat :D Nehezítésképpen mindent kézzel fordítva. Méginkább nehezítésképpen pedig big endian ARM-ra :D
(A TLS még hátravan...)
--
http://tselmeci.nop.hu
- A hozzászóláshoz be kell jelentkezni
most olvastam utána, hogy a upc is szüri a 25-ös portot, ezért átraktam az smtp-t az 50-es portra.
Igy a napoloban ez láthato:
warning: No server certs available. TLS won't be enabled.
- A hozzászóláshoz be kell jelentkezni
ennek aztán semmi köze persze egymáshoz...
talán kapcsold ki a tls-t, ha nem kell, vagy amíg nincs beállítva. (cert olvasható a postfix számára? elérési út rendben? jogosultságok rendben? postfix tagja-e ssl-cert csoportnak? stb.)
úgy látom, elég káosz van nálad, valószínűleg innenonnan összeollózott howto-k alapján próbáltad beállítani, de gyakorlatilag semmi sem megy. :) ilyenkor a szoksáso minimal configra kéne ráállni, addig bűvölni, amíg az tökéletes, aztán építkezni lépésről lépésre a kívánt eredmény felé.
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
Így van, én is így csinálam. Előszőr csak fogadni tudtam leveleket, aztán küldeni is, jött az authentikáció, a következő pedig nálam is a TLS lesz.
--
http://tselmeci.nop.hu
- A hozzászóláshoz be kell jelentkezni
igen igen, ez lenne a célom!
- A hozzászóláshoz be kell jelentkezni
igen igen, ez lenne a célom! De még a sima küldés sem megy, ezért gondoltam, hogy ahhoz kell a tls.
Egy sima küldést szeretnék megvalósitani, egy sima konfigot idemásolnál, hogy mi az a minimális dolog, ami ehhez kell?
például az alap tls nélküli hitelesitéshez a sasl kell?
nagyon köszi, nagyon új vagyok a téren, ezért köszönöm a segitségeket!
- A hozzászóláshoz be kell jelentkezni
bár önmagában a config fájlok nem elegek, de tessék. (de nem ám ész nélkül copy paste! van benne pár dolog, ami neked nem lesz jó)
/etc/postfix/main.cf
/etc/postfix/master.cf
/etc/postfix/sasl/smtpd.conf
/etc/default/saslauthd
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni
persze, nem paste, csak átnézném, és összehasonlitanám az ennyémmel.
nagyon köszönöm!
- A hozzászóláshoz be kell jelentkezni
ahhoz, hogy a sasl auth működjön, kell még pár okosság. mivel postfix chrootban fut alapból.
ez is kellhet:
mkdir -p /var/spool/postfix/var/run/saslauthd
dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd
saslpasswd2-vel hozz létre usereket és jelszavakat. majd a /etc/sasldb2 fájlt linkeld be a postfix chrootba. nézd meg a fájl jogosultságait, asszem root:sasl, más nem olvashatja, így a postfix sem fog hozzáférni. ezért postfix usert add hozzá a sasl csoporthoz, hogy tudja olvasni.
postfix main.cf-ben állítsd először inet interfaces = loopback only-ra, amíg tesztelsz. aztán a gépről telnetezz a localhost 25-ös portra, majd ehlo localhost. ha a listában látsz auth-os sort, akkor van valamilyen authentikáció. elvileg azokat az auth eljárásokat kell lásd, amik az /etc/postfix/sasl/smtpd.conf-ban vannak.
minden egyes lépésnél nézzed erősen a log fájlokat, hogy minend jól megy-e. ha valami hiba van, akkor google (vagy ide is beírhatod...)
vannak sasl tesztelő kliensek, azokat is érdemes felrakni és használni.
----------------------------------
feel the beat - it's everywhere!
- A hozzászóláshoz be kell jelentkezni