URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74087
[ Назад ]

Исходное сообщение
"тормозит соеденение SMTP"

Отправлено kunaksergey , 16-Май-07 16:15 
Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
используеться так же TLS.
В логах theBat!
16.05.2007 15.02.04 Отправка почты-писем в очереди:1
16.05.2007 15.02.52 Начинаю приветствие TLS
и.тд
Те до момента запроса пароля прошло 48 сек.

В debug.log
16.05.2007 15.02.05 sql auxprop plugin use pgsql  engine
16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua

48 сек.. куда пропадают


Содержание

Сообщения в этом обсуждении
"тормозит соеденение SMTP"
Отправлено ALex_hha , 16-Май-07 18:04 
>Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
>
>используеться так же TLS.
>В логах theBat!
>16.05.2007 15.02.04 Отправка почты-писем в очереди:1
>16.05.2007 15.02.52 Начинаю приветствие TLS
>и.тд
>Те до момента запроса пароля прошло 48 сек.
>
>В debug.log
>16.05.2007 15.02.05 sql auxprop plugin use pgsql  engine
>16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua
>
>48 сек.. куда пропадают
а без TLS задержка есть?


"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 18:19 
Нифига не понимаю..
ставлю в отправке почты: Соеденение обычное
пишит что SMTP соеденение прошло удачно.
Внимание: не удалось обнаружить на сервере подходящих алгоритмов аунтификации
Отправка письма user@domen.ru
Отправлено письмо для user@domen.ru
Соеденение завершено-отправлено 1 письмо.

Круто.. хоть и стоит требование сертификата, а письмо было отправлено



"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 18:36 
в main.cf стоит
smtpd_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

smtp_use_tls = yes
smtp_tls_key_file = /etc/ssl/ssl.key/server.key
smtp_tls_cert_file = /etc/ssl/ssl.crt/server.crt
smtp_tls_CAfile = /etc/ssl/server-ca.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_loglevel = 0
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_key_file = /etc/ssl/ssl.key/server.key
smtpd_tls_cert_file = /etc/ssl/ssl.crt/server.crt
smtpd_tls_CAfile = /etc/ssl/server-ca.pem



"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 19:48 
>Круто.. хоть и стоит требование сертификата, а письмо было отправлено
в этом кусочке конфига нет запрета на релей без TLS.
Тормоза - у вас проблемы с DNS.  



"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 20:34 
>>Круто.. хоть и стоит требование сертификата, а письмо было отправлено
>в этом кусочке конфига нет запрета на релей без TLS.
>Тормоза - у вас проблемы с DNS.

Подскажите мне пожалуйста этот кусочек..
насчет торозов из-за DNS -не согласен. с любого локального компьютера мгновенно пингуется и возращается по nslookup


"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 20:51 
>Подскажите мне пожалуйста этот кусочек..
smtpd_recipient_restrictions

>насчет торозов из-за DNS -не согласен. с любого локального компьютера мгновенно пингуется
>и возращается по nslookup
т.е. telnet your.postfix.host 25 проходит без задержки?


"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 21:03 
>>Подскажите мне пожалуйста этот кусочек..
>smtpd_recipient_restrictions
>
>>насчет торозов из-за DNS -не согласен. с любого локального компьютера мгновенно пингуется
>>и возращается по nslookup
>т.е. telnet your.postfix.host 25 проходит без задержки?

Вот из моего конфига
smtpd_recipient_restrictions =reject_unauth_pipelining,permit_sasl_authenticated,permit_mynetworks,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_unlisted_recipient,check_recipient_access regexp:/etc/postfix/recipient_access,reject_unauth_destination,permit

smtpd_client_restrictions =permit_mynetworks,check_client_access hash:/etc/postfix/client_access,check_client_access regexp:/etc/postfix/dul_checks,reject_rbl_client bl.spamcop.net,reject_rbl_client list.dsbl.org,reject_rbl_client cbl.abuseat.org,reject_rbl_client relays.ordb.org,reject_rbl_client relays.ordb.org,permit

А вот по поводу т.е. "telnet your.postfix.host 25 проходит без задержки?"-действительно идет задержка, а вот telnet your.postfix.host 110 -проходит мгновенно



"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 21:12 
>Вот из моего конфига
тут тоже нет требования использовать TLS.

>А вот по поводу т.е. "telnet your.postfix.host 25 проходит без задержки?"-действительно идет
>задержка, а вот telnet your.postfix.host 110 -проходит мгновенно
99% что у вас проблемы с обраткой dns


"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 21:25 
>>тут тоже нет требования использовать TLS.
я и прошу написать строчку которая требовала бы TLS
  
>>99% что у вас проблемы с обраткой dns
по telnet 10.10.10.10(мой IPадресс) 25 -таже фигня с задержкой.



"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 22:01 
>>>тут тоже нет требования использовать TLS.
>я и прошу написать строчку которая требовала бы TLS
зависит от того какие сертификаты используете вы и клиенты.

>>>99% что у вас проблемы с обраткой dns
>по telnet 10.10.10.10(мой IPадресс) 25 -таже фигня с задержкой.
Ну так и настройте обратную зону.


"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 22:06 
>>>>тут тоже нет требования использовать TLS.
>>я и прошу написать строчку которая требовала бы TLS
>зависит от того какие сертификаты используете вы и клиенты.
>
>>>>99% что у вас проблемы с обраткой dns
>>по telnet 10.10.10.10(мой IPадресс) 25 -таже фигня с задержкой.
>Ну так и настройте обратную зону.


бр... простите не понимаю... причем тут обратная зона когда даже при соеденении на ip адресс идет задержка. DNS не используется.


"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 22:20 
>бр... простите не понимаю... причем тут обратная зона когда даже при соеденении
>на ip адресс идет задержка. DNS не используется.
postfix берет ip клиента и делает gethostbyaddr() - вот тут у вас и возникает пауза.
короче настройте dns и все будет хорошо

"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 22:44 
>>бр... простите не понимаю... причем тут обратная зона когда даже при соеденении
>>на ip адресс идет задержка. DNS не используется.
>postfix берет ip клиента и делает gethostbyaddr() - вот тут у вас
>и возникает пауза.
>короче настройте dns и все будет хорошо


бр.. теперь как настроить DNS то..
мне зона DNS с помощью bind не нужна..

у меня все DNS сервера стоят в resolv.conf
первым стоит мой WIN2000Server с поднятой DNS.


"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 22:54 
>первым стоит мой WIN2000Server с поднятой DNS.
я не знаю как прописывают прямую и обратную зоны на WIN2000Server. Попробуйте спросить это на каком-нибудь форуме где говорят о win платформе...



"тормозит соеденение SMTP"
Отправлено kunaksergey , 16-Май-07 23:20 
>>первым стоит мой WIN2000Server с поднятой DNS.
>я не знаю как прописывают прямую и обратную зоны на WIN2000Server. Попробуйте
>спросить это на каком-нибудь форуме где говорят о win платформе...

бр.. и как оно у меня раньше работало.
Смотри.

FREBSD имеет 2 адресса:внутренний и внешний. Внешний адрес(например 119.24.78.54) на котором у меня стоит postfix имеет обратную зону 54.78.provider.net(этот адрес мне предосталяется провайдером и он его держит) мой почтовый сервер имеет название router.domen.ru;DNS сервер не позволит что бы я создал ему обратную зону с таким ip у себя


"тормозит соеденение SMTP"
Отправлено guest , 16-Май-07 23:37 
я так понимаю что проблема у вас при обращении к серверу из lan.
И хоть режьте не понимаю кто вам запрещает поднять свой внутренний dns  который и будет держать зону для вашей же lan.


"тормозит соеденение SMTP"
Отправлено V , 17-Май-07 01:45 
согласен...никто не запрещает держать свой dns



"тормозит соеденение SMTP"
Отправлено kunaksergey , 17-Май-07 09:50 
Вопрос решился вот как.
Для того что бы шлюз мог определять DNS локальных компьютеров,нужно что бы локальный DNS сервер стоял первым в resolv.conf
и был прописан в hosts.

Теперь вторая часть вопроса.Почему при отсылки письма у клиента пишет:"Не удалось обнаружить на сервере подходящих алгоритмов
аутентификации" но в то же время письма отправляются.
Конфигурация main.cf приведена чуть выше.
Было написано: "в этом кусочке конфига нет запрета на релей без TLS."
но помоему строка smtpd_tls_auth_only = yes-об этом и говорит.
Вот допустим с этой статье http://www.linuxcenter.ru/lib/articles/networking/postfix-pg...
говорится, что "Опция smtpd_tls_auth_only = yes позволяет производить SMTP авторизацию только в режиме TLS"
Что у меня не правильно то?



"тормозит соеденение SMTP"
Отправлено guest , 17-Май-07 10:24 
>Было написано: "в этом кусочке конфига нет запрета на релей без TLS."
>
>но помоему строка smtpd_tls_auth_only = yes-об этом и говорит.
>Вот допустим с этой статье http://www.linuxcenter.ru/lib/articles/networking/postfix-pg...
>говорится, что "Опция smtpd_tls_auth_only = yes позволяет производить SMTP авторизацию только в
>режиме TLS"
все верно. sasl у вас разрешен только если используется tls. Это никоим образом не запрещает вашему postfix релеить почту клиентов не использующих TLS и SASL.

>Что у меня не правильно то?
У вас в голове бардак:)


"тормозит соеденение SMTP"
Отправлено kunaksergey , 17-Май-07 10:36 
>
>>Что у меня не правильно то?
>У вас в голове бардак:)

Я добиваюсь что бы вы привеоли мне строчку конфига которая бы этот релей запрещала бы.


"тормозит соеденение SMTP"
Отправлено guest , 17-Май-07 10:49 
>>
>>>Что у меня не правильно то?
>>У вас в голове бардак:)
>
>Я добиваюсь что бы вы привеоли мне строчку конфига которая бы этот
>релей запрещала бы.
Да мне не жалко:) на выбор: smtpd_enforce_tls=yes/smtpd_tls_security_level=encrypt
Эта строчка требует  использовать TLS _всех_ клиентов _без_ исключения.
PS: вы бы четко сформулировали чего собственно вам хочется добиться...


"тормозит соеденение SMTP"
Отправлено kunaksergey , 17-Май-07 10:58 
>>>
>>>>Что у меня не правильно то?
>>>У вас в голове бардак:)
>>
>>Я добиваюсь что бы вы привеоли мне строчку конфига которая бы этот
>>релей запрещала бы.
>Да мне не жалко:) на выбор: smtpd_enforce_tls=yes/smtpd_tls_security_level=encrypt
>Эта строчка требует  использовать TLS _всех_ клиентов _без_ исключения.
>PS: вы бы четко сформулировали чего собственно вам хочется добиться...


Огромное спасибо, за то что вы со мной столько мучались..сенкс.. попробую..и отпишусь.


"тормозит соеденение SMTP"
Отправлено kunaksergey , 17-Май-07 11:19 
Еще раз спасибо все получилось


"тормозит соеденение SMTP"
Отправлено kunaksergey , 18-Май-07 11:08 
>Еще раз спасибо все получилось
Это снова я.. оказываается выявилась проблемка небольшая..
я ставил опцию smtpd_enforce_tls=yes.. да при авторизации smtp стало требовать STARTTLS, но для fetchmail который передает письма с домменого ящика на Postfix тоже требует его..и почта к клиенту соответственно не доходит. как побороть это.?


"тормозит соеденение SMTP"
Отправлено guest , 18-Май-07 11:38 
>>Эта строчка требует  использовать TLS _всех_ клиентов _без_ исключения.
я вас предупреждал:)

уберите smtpd_enforce_tls из main.cf и сделайте так:
http://www.opennet.me/openforum/vsluhforumID1/74105.html#3


"тормозит соеденение SMTP"
Отправлено kunaksergey , 18-Май-07 11:48 
>>>Эта строчка требует  использовать TLS _всех_ клиентов _без_ исключения.
>я вас предупреждал:)
>
>уберите smtpd_enforce_tls из main.cf и сделайте так:
>http://www.opennet.me/openforum/vsluhforumID1/74105.html#3


вот эта строчка инетерсует
lan:
192.168.0.0/24  lan
...
10.10.1.0.0/16  lan

192.168.0.0/24-моя сеть

...
10.10.1.0.0/16  lan -???????????
это немного не понятно.


"тормозит соеденение SMTP"
Отправлено guest , 18-Май-07 11:59 
формат такой: network_address[/network_mask]     result
в примере:    10.10.1.0.0/16  lan

что не понятно???5


"тормозит соеденение SMTP"
Отправлено kunaksergey , 18-Май-07 12:04 
>формат такой: network_address[/network_mask]     result
>в примере:    10.10.1.0.0/16  lan
>
>что не понятно???5


да понимаю что формат.
тут идет просто перечисления для сетей которым требуется авторизация.

вопрос в том сеть 10.10.1.0.0/16  lan -это просто пример или обязательная к добавлению в список., и как сделать список сетей не к которым требовать авторизацию, а наооборот, к которым не требовать, т.е  смысл в том, что все сети перечислить то невозможно, а вот написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?


"тормозит соеденение SMTP"
Отправлено guest , 18-Май-07 12:25 
>вопрос в том сеть 10.10.1.0.0/16  lan -это просто пример или обязательная
>к добавлению в список., и как сделать список сетей не к
>которым требовать авторизацию, а наооборот, к которым не требовать, т.е  
>смысл в том, что все сети перечислить то невозможно, а вот
>написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
smtpd_tls_auth_only = yes
smtpd_recipient_restrictions = check_client_access hash:$config_directory/no_tls,
  permit_sasl_authenticated, reject
no_tls:
1.2.3.4 permit



"тормозит соеденение SMTP"
Отправлено kunaksergey , 18-Май-07 12:36 
>>вопрос в том сеть 10.10.1.0.0/16  lan -это просто пример или обязательная
>>к добавлению в список., и как сделать список сетей не к
>>которым требовать авторизацию, а наооборот, к которым не требовать, т.е  
>>смысл в том, что все сети перечислить то невозможно, а вот
>>написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
>smtpd_tls_auth_only = yes
>smtpd_recipient_restrictions = check_client_access hash:$config_directory/no_tls,
>  permit_sasl_authenticated, reject
>no_tls:
>1.2.3.4 permit


спасибо буду пробовать.. главное что бы опять почта не застряла.


"тормозит соеденение SMTP"
Отправлено kunaksergey , 21-Май-07 13:32 
>>>вопрос в том сеть 10.10.1.0.0/16  lan -это просто пример или обязательная
>>>к добавлению в список., и как сделать список сетей не к
>>>которым требовать авторизацию, а наооборот, к которым не требовать, т.е  
>>>смысл в том, что все сети перечислить то невозможно, а вот
>>>написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
>>smtpd_tls_auth_only = yes
>>smtpd_recipient_restrictions = check_client_access hash:$config_directory/no_tls,
>>  permit_sasl_authenticated, reject
>>no_tls:
>>1.2.3.4 permit
>

возникло пара вопросов.

>check_client_access hash:$config_directory/no_tls -это те узлы которым разрешеносоеденение без tls, т.е там долже быть адресс моего сервера,который соекденяется с доменным ящиком.

вот мой smtpd_recipient_restrictions:
smtpd_recipient_restrictions =reject_unauth_pipelining,permit_sasl_authenticated,permit_mynetworks,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_unlisted_recipient,check_recipient_access regexp:/etc/postfix/recipient_access,reject_unauth_destination,permit
т.е сюда добавить надо  reject no_tls:1.2.3.4 permit ,что означает 1.2.3.4



"тормозит соеденение SMTP"
Отправлено Телевизор , 22-Май-07 11:42 
>Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
>
>используеться так же TLS.
>В логах theBat!
>16.05.2007 15.02.04 Отправка почты-писем в очереди:1
>16.05.2007 15.02.52 Начинаю приветствие TLS
>и.тд
>Те до момента запроса пароля прошло 48 сек.
>
>В debug.log
>16.05.2007 15.02.05 sql auxprop plugin use pgsql  engine
>16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua
>
>48 сек.. куда пропадают


Посмотрите чтобы у тебя всё блек листы который ты используешь в конфиге сендмейла (etc.) Были живыми, или для начало отруби их, если таковы есть


"тормозит соеденение SMTP"
Отправлено Телевизор , 22-Май-07 11:46 
>>Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
>>
>>используеться так же TLS.
>>В логах theBat!
>>16.05.2007 15.02.04 Отправка почты-писем в очереди:1
>>16.05.2007 15.02.52 Начинаю приветствие TLS
>>и.тд
>>Те до момента запроса пароля прошло 48 сек.
>>
>>В debug.log
>>16.05.2007 15.02.05 sql auxprop plugin use pgsql  engine
>>16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua
>>
>>48 сек.. куда пропадают
>
>
>Посмотрите чтобы у тебя всё блек листы который ты используешь в конфиге
>сендмейла (etc.) Были живыми, или для начало отруби их, если таковы
>есть
Например dsbl.org уже давно неработает а в некоторых конфигах осталось.


"тормозит соеденение SMTP"
Отправлено kunaksergey , 22-Май-07 13:08 
>Телевизор
мы уже непосредственно вопрос звучавший в названии темы решили.. и немного отклонились в сторону настроек SASL/TLS


"тормозит соеденение SMTP"
Отправлено Одиссей , 12-Апр-12 12:01 
>>Телевизор
> мы уже непосредственно вопрос звучавший в названии темы решили.. и немного отклонились
> в сторону настроек SASL/TLS

Почитайте - выше пишущие товарищи суть проблемы не растолковали.

smtpd_use_tls (default: no)
Opportunistic TLS: announce STARTTLS support to remote SMTP clients, but do not require that clients use TLS encryption.
Note: when invoked via "sendmail -bs", Postfix will never offer STARTTLS due to insufficient privileges to access the server private key. This is intended behavior.
This feature is available in Postfix 2.2 and later. With Postfix 2.3 and later use smtpd_tls_security_level instead.


smtpd_tls_security_level (default: empty)
The SMTP TLS security level for the Postfix SMTP server; when a non-empty value is specified, this overrides the obsolete parameters smtpd_use_tls and smtpd_enforce_tls. This parameter is ignored with "smtpd_tls_wrappermode = yes".
Specify one of the following security levels:
none
TLS will not be used.
may
Opportunistic TLS: announce STARTTLS support to remote SMTP clients, but do not require that clients use TLS encryption.
encrypt
Mandatory TLS encryption: announce STARTTLS support to remote SMTP clients, and require that clients use TLS encryption. According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced SMTP server. Instead, this option should be used only on dedicated servers.