Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
используеться так же TLS.
В логах theBat!
16.05.2007 15.02.04 Отправка почты-писем в очереди:1
16.05.2007 15.02.52 Начинаю приветствие TLS
и.тд
Те до момента запроса пароля прошло 48 сек.В debug.log
16.05.2007 15.02.05 sql auxprop plugin use pgsql engine
16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua48 сек.. куда пропадают
>Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
>
>используеться так же TLS.
>В логах theBat!
>16.05.2007 15.02.04 Отправка почты-писем в очереди:1
>16.05.2007 15.02.52 Начинаю приветствие TLS
>и.тд
>Те до момента запроса пароля прошло 48 сек.
>
>В debug.log
>16.05.2007 15.02.05 sql auxprop plugin use pgsql engine
>16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua
>
>48 сек.. куда пропадают
а без TLS задержка есть?
Нифига не понимаю..
ставлю в отправке почты: Соеденение обычное
пишит что SMTP соеденение прошло удачно.
Внимание: не удалось обнаружить на сервере подходящих алгоритмов аунтификации
Отправка письма user@domen.ru
Отправлено письмо для user@domen.ru
Соеденение завершено-отправлено 1 письмо.Круто.. хоть и стоит требование сертификата, а письмо было отправлено
в main.cf стоит
smtpd_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
broken_sasl_auth_clients = yessmtp_use_tls = yes
smtp_tls_key_file = /etc/ssl/ssl.key/server.key
smtp_tls_cert_file = /etc/ssl/ssl.crt/server.crt
smtp_tls_CAfile = /etc/ssl/server-ca.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_loglevel = 0
smtpd_tls_auth_only = yes
smtpd_use_tls = yes
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_key_file = /etc/ssl/ssl.key/server.key
smtpd_tls_cert_file = /etc/ssl/ssl.crt/server.crt
smtpd_tls_CAfile = /etc/ssl/server-ca.pem
>Круто.. хоть и стоит требование сертификата, а письмо было отправлено
в этом кусочке конфига нет запрета на релей без TLS.
Тормоза - у вас проблемы с DNS.
>>Круто.. хоть и стоит требование сертификата, а письмо было отправлено
>в этом кусочке конфига нет запрета на релей без TLS.
>Тормоза - у вас проблемы с DNS.Подскажите мне пожалуйста этот кусочек..
насчет торозов из-за DNS -не согласен. с любого локального компьютера мгновенно пингуется и возращается по nslookup
>Подскажите мне пожалуйста этот кусочек..
smtpd_recipient_restrictions>насчет торозов из-за DNS -не согласен. с любого локального компьютера мгновенно пингуется
>и возращается по nslookup
т.е. telnet your.postfix.host 25 проходит без задержки?
>>Подскажите мне пожалуйста этот кусочек..
>smtpd_recipient_restrictions
>
>>насчет торозов из-за DNS -не согласен. с любого локального компьютера мгновенно пингуется
>>и возращается по nslookup
>т.е. telnet your.postfix.host 25 проходит без задержки?Вот из моего конфига
smtpd_recipient_restrictions =reject_unauth_pipelining,permit_sasl_authenticated,permit_mynetworks,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_unlisted_recipient,check_recipient_access regexp:/etc/postfix/recipient_access,reject_unauth_destination,permitsmtpd_client_restrictions =permit_mynetworks,check_client_access hash:/etc/postfix/client_access,check_client_access regexp:/etc/postfix/dul_checks,reject_rbl_client bl.spamcop.net,reject_rbl_client list.dsbl.org,reject_rbl_client cbl.abuseat.org,reject_rbl_client relays.ordb.org,reject_rbl_client relays.ordb.org,permit
А вот по поводу т.е. "telnet your.postfix.host 25 проходит без задержки?"-действительно идет задержка, а вот telnet your.postfix.host 110 -проходит мгновенно
>Вот из моего конфига
тут тоже нет требования использовать TLS.>А вот по поводу т.е. "telnet your.postfix.host 25 проходит без задержки?"-действительно идет
>задержка, а вот telnet your.postfix.host 110 -проходит мгновенно
99% что у вас проблемы с обраткой dns
>>тут тоже нет требования использовать TLS.
я и прошу написать строчку которая требовала бы TLS
>>99% что у вас проблемы с обраткой dns
по telnet 10.10.10.10(мой IPадресс) 25 -таже фигня с задержкой.
>>>тут тоже нет требования использовать TLS.
>я и прошу написать строчку которая требовала бы TLS
зависит от того какие сертификаты используете вы и клиенты.>>>99% что у вас проблемы с обраткой dns
>по telnet 10.10.10.10(мой IPадресс) 25 -таже фигня с задержкой.
Ну так и настройте обратную зону.
>>>>тут тоже нет требования использовать TLS.
>>я и прошу написать строчку которая требовала бы TLS
>зависит от того какие сертификаты используете вы и клиенты.
>
>>>>99% что у вас проблемы с обраткой dns
>>по telnet 10.10.10.10(мой IPадресс) 25 -таже фигня с задержкой.
>Ну так и настройте обратную зону.
бр... простите не понимаю... причем тут обратная зона когда даже при соеденении на ip адресс идет задержка. DNS не используется.
>бр... простите не понимаю... причем тут обратная зона когда даже при соеденении
>на ip адресс идет задержка. DNS не используется.
postfix берет ip клиента и делает gethostbyaddr() - вот тут у вас и возникает пауза.
короче настройте dns и все будет хорошо
>>бр... простите не понимаю... причем тут обратная зона когда даже при соеденении
>>на ip адресс идет задержка. DNS не используется.
>postfix берет ip клиента и делает gethostbyaddr() - вот тут у вас
>и возникает пауза.
>короче настройте dns и все будет хорошо
бр.. теперь как настроить DNS то..
мне зона DNS с помощью bind не нужна..у меня все DNS сервера стоят в resolv.conf
первым стоит мой WIN2000Server с поднятой DNS.
>первым стоит мой WIN2000Server с поднятой DNS.
я не знаю как прописывают прямую и обратную зоны на WIN2000Server. Попробуйте спросить это на каком-нибудь форуме где говорят о win платформе...
>>первым стоит мой WIN2000Server с поднятой DNS.
>я не знаю как прописывают прямую и обратную зоны на WIN2000Server. Попробуйте
>спросить это на каком-нибудь форуме где говорят о win платформе...бр.. и как оно у меня раньше работало.
Смотри.FREBSD имеет 2 адресса:внутренний и внешний. Внешний адрес(например 119.24.78.54) на котором у меня стоит postfix имеет обратную зону 54.78.provider.net(этот адрес мне предосталяется провайдером и он его держит) мой почтовый сервер имеет название router.domen.ru;DNS сервер не позволит что бы я создал ему обратную зону с таким ip у себя
я так понимаю что проблема у вас при обращении к серверу из lan.
И хоть режьте не понимаю кто вам запрещает поднять свой внутренний dns который и будет держать зону для вашей же lan.
согласен...никто не запрещает держать свой dns
Вопрос решился вот как.
Для того что бы шлюз мог определять DNS локальных компьютеров,нужно что бы локальный DNS сервер стоял первым в resolv.conf
и был прописан в hosts.Теперь вторая часть вопроса.Почему при отсылки письма у клиента пишет:"Не удалось обнаружить на сервере подходящих алгоритмов
аутентификации" но в то же время письма отправляются.
Конфигурация main.cf приведена чуть выше.
Было написано: "в этом кусочке конфига нет запрета на релей без TLS."
но помоему строка smtpd_tls_auth_only = yes-об этом и говорит.
Вот допустим с этой статье http://www.linuxcenter.ru/lib/articles/networking/postfix-pg...
говорится, что "Опция smtpd_tls_auth_only = yes позволяет производить SMTP авторизацию только в режиме TLS"
Что у меня не правильно то?
>Было написано: "в этом кусочке конфига нет запрета на релей без TLS."
>
>но помоему строка smtpd_tls_auth_only = yes-об этом и говорит.
>Вот допустим с этой статье http://www.linuxcenter.ru/lib/articles/networking/postfix-pg...
>говорится, что "Опция smtpd_tls_auth_only = yes позволяет производить SMTP авторизацию только в
>режиме TLS"
все верно. sasl у вас разрешен только если используется tls. Это никоим образом не запрещает вашему postfix релеить почту клиентов не использующих TLS и SASL.
>Что у меня не правильно то?
У вас в голове бардак:)
>
>>Что у меня не правильно то?
>У вас в голове бардак:)Я добиваюсь что бы вы привеоли мне строчку конфига которая бы этот релей запрещала бы.
>>
>>>Что у меня не правильно то?
>>У вас в голове бардак:)
>
>Я добиваюсь что бы вы привеоли мне строчку конфига которая бы этот
>релей запрещала бы.
Да мне не жалко:) на выбор: smtpd_enforce_tls=yes/smtpd_tls_security_level=encrypt
Эта строчка требует использовать TLS _всех_ клиентов _без_ исключения.
PS: вы бы четко сформулировали чего собственно вам хочется добиться...
>>>
>>>>Что у меня не правильно то?
>>>У вас в голове бардак:)
>>
>>Я добиваюсь что бы вы привеоли мне строчку конфига которая бы этот
>>релей запрещала бы.
>Да мне не жалко:) на выбор: smtpd_enforce_tls=yes/smtpd_tls_security_level=encrypt
>Эта строчка требует использовать TLS _всех_ клиентов _без_ исключения.
>PS: вы бы четко сформулировали чего собственно вам хочется добиться...
Огромное спасибо, за то что вы со мной столько мучались..сенкс.. попробую..и отпишусь.
Еще раз спасибо все получилось
>Еще раз спасибо все получилось
Это снова я.. оказываается выявилась проблемка небольшая..
я ставил опцию smtpd_enforce_tls=yes.. да при авторизации smtp стало требовать STARTTLS, но для fetchmail который передает письма с домменого ящика на Postfix тоже требует его..и почта к клиенту соответственно не доходит. как побороть это.?
>>Эта строчка требует использовать TLS _всех_ клиентов _без_ исключения.
я вас предупреждал:)уберите smtpd_enforce_tls из main.cf и сделайте так:
http://www.opennet.me/openforum/vsluhforumID1/74105.html#3
>>>Эта строчка требует использовать TLS _всех_ клиентов _без_ исключения.
>я вас предупреждал:)
>
>уберите smtpd_enforce_tls из main.cf и сделайте так:
>http://www.opennet.me/openforum/vsluhforumID1/74105.html#3
вот эта строчка инетерсует
lan:
192.168.0.0/24 lan
...
10.10.1.0.0/16 lan192.168.0.0/24-моя сеть
...
10.10.1.0.0/16 lan -???????????
это немного не понятно.
формат такой: network_address[/network_mask] result
в примере: 10.10.1.0.0/16 lanчто не понятно???5
>формат такой: network_address[/network_mask] result
>в примере: 10.10.1.0.0/16 lan
>
>что не понятно???5
да понимаю что формат.
тут идет просто перечисления для сетей которым требуется авторизация.вопрос в том сеть 10.10.1.0.0/16 lan -это просто пример или обязательная к добавлению в список., и как сделать список сетей не к которым требовать авторизацию, а наооборот, к которым не требовать, т.е смысл в том, что все сети перечислить то невозможно, а вот написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
>вопрос в том сеть 10.10.1.0.0/16 lan -это просто пример или обязательная
>к добавлению в список., и как сделать список сетей не к
>которым требовать авторизацию, а наооборот, к которым не требовать, т.е
>смысл в том, что все сети перечислить то невозможно, а вот
>написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
smtpd_tls_auth_only = yes
smtpd_recipient_restrictions = check_client_access hash:$config_directory/no_tls,
permit_sasl_authenticated, reject
no_tls:
1.2.3.4 permit
>>вопрос в том сеть 10.10.1.0.0/16 lan -это просто пример или обязательная
>>к добавлению в список., и как сделать список сетей не к
>>которым требовать авторизацию, а наооборот, к которым не требовать, т.е
>>смысл в том, что все сети перечислить то невозможно, а вот
>>написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
>smtpd_tls_auth_only = yes
>smtpd_recipient_restrictions = check_client_access hash:$config_directory/no_tls,
> permit_sasl_authenticated, reject
>no_tls:
>1.2.3.4 permit
спасибо буду пробовать.. главное что бы опять почта не застряла.
>>>вопрос в том сеть 10.10.1.0.0/16 lan -это просто пример или обязательная
>>>к добавлению в список., и как сделать список сетей не к
>>>которым требовать авторизацию, а наооборот, к которым не требовать, т.е
>>>смысл в том, что все сети перечислить то невозможно, а вот
>>>написать что для всех кроме 127.0.0.1/32 думаю что можно, вопрос как?
>>smtpd_tls_auth_only = yes
>>smtpd_recipient_restrictions = check_client_access hash:$config_directory/no_tls,
>> permit_sasl_authenticated, reject
>>no_tls:
>>1.2.3.4 permit
>возникло пара вопросов.
>check_client_access hash:$config_directory/no_tls -это те узлы которым разрешеносоеденение без tls, т.е там долже быть адресс моего сервера,который соекденяется с доменным ящиком.
вот мой smtpd_recipient_restrictions:
smtpd_recipient_restrictions =reject_unauth_pipelining,permit_sasl_authenticated,permit_mynetworks,reject_non_fqdn_recipient,reject_unknown_recipient_domain,reject_unlisted_recipient,check_recipient_access regexp:/etc/postfix/recipient_access,reject_unauth_destination,permit
т.е сюда добавить надо reject no_tls:1.2.3.4 permit ,что означает 1.2.3.4
>Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
>
>используеться так же TLS.
>В логах theBat!
>16.05.2007 15.02.04 Отправка почты-писем в очереди:1
>16.05.2007 15.02.52 Начинаю приветствие TLS
>и.тд
>Те до момента запроса пароля прошло 48 сек.
>
>В debug.log
>16.05.2007 15.02.05 sql auxprop plugin use pgsql engine
>16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua
>
>48 сек.. куда пропадают
Посмотрите чтобы у тебя всё блек листы который ты используешь в конфиге сендмейла (etc.) Были живыми, или для начало отруби их, если таковы есть
>>Не могу никак понять. Вдруг начало тормозить соеденение с почтовым сервером Postfix.
>>
>>используеться так же TLS.
>>В логах theBat!
>>16.05.2007 15.02.04 Отправка почты-писем в очереди:1
>>16.05.2007 15.02.52 Начинаю приветствие TLS
>>и.тд
>>Те до момента запроса пароля прошло 48 сек.
>>
>>В debug.log
>>16.05.2007 15.02.05 sql auxprop plugin use pgsql engine
>>16.05.2007 15.02.53 sql plugin Parse the username zz@xxx.ua
>>
>>48 сек.. куда пропадают
>
>
>Посмотрите чтобы у тебя всё блек листы который ты используешь в конфиге
>сендмейла (etc.) Были живыми, или для начало отруби их, если таковы
>есть
Например dsbl.org уже давно неработает а в некоторых конфигах осталось.
>Телевизор
мы уже непосредственно вопрос звучавший в названии темы решили.. и немного отклонились в сторону настроек SASL/TLS
>>Телевизор
> мы уже непосредственно вопрос звучавший в названии темы решили.. и немного отклонились
> в сторону настроек SASL/TLSПочитайте - выше пишущие товарищи суть проблемы не растолковали.
smtpd_use_tls (default: no)
Opportunistic TLS: announce STARTTLS support to remote SMTP clients, but do not require that clients use TLS encryption.
Note: when invoked via "sendmail -bs", Postfix will never offer STARTTLS due to insufficient privileges to access the server private key. This is intended behavior.
This feature is available in Postfix 2.2 and later. With Postfix 2.3 and later use smtpd_tls_security_level instead.
smtpd_tls_security_level (default: empty)
The SMTP TLS security level for the Postfix SMTP server; when a non-empty value is specified, this overrides the obsolete parameters smtpd_use_tls and smtpd_enforce_tls. This parameter is ignored with "smtpd_tls_wrappermode = yes".
Specify one of the following security levels:
none
TLS will not be used.
may
Opportunistic TLS: announce STARTTLS support to remote SMTP clients, but do not require that clients use TLS encryption.
encrypt
Mandatory TLS encryption: announce STARTTLS support to remote SMTP clients, and require that clients use TLS encryption. According to RFC 2487 this MUST NOT be applied in case of a publicly-referenced SMTP server. Instead, this option should be used only on dedicated servers.