URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 85220
[ Назад ]

Исходное сообщение
"exim + openssl"

Отправлено InfinityNsu , 10-Май-09 05:49 
Никак не могу их подружить :( . Вот что вылазит при попытке сделать starttls:

vz1192# telnet localhost 25
Trying 127.0.0.1...        
Connected to localhost.    
Escape character is '^]'.  
220 vz1192 ESMTP Exim 4.69 Sun, 10 May 2009 05:18:50 +0400
ehlo localhost                                            
250-vz1192 Hello localhost [127.0.0.1]                    
250-SIZE 52428800                                        
250-PIPELINING                                            
250-AUTH PLAIN LOGIN                                      
250-STARTTLS                                              
250 HELP                                                  
starttls                                                  
220 TLS go ahead
auth login
554 Security failure - так на любую строку реагирует

если сразу на 465й порт коннектиться, то тоже ничего хорошего не выходит:

vz1192# telnet localhost 465
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
ehlo localhost
Connection closed by foreign host

в логах:

2009-05-10 05:38:37 TLS error on connection from (localhost) [127.0.0.1] (SSL_accept): error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol

кусок конфига, где про tls:

tls_advertise_hosts = *
tls_certificate = /etc/ssl/certs/mail.pem
tls_privatekey = /etc/ssl/certs/mail.pem
daemon_smtp_ports = 25 : 465
tls_on_connect_ports = 465

Сертификат генерила так:
openssl req -x509 -newkey rsa:1024 -keyout mail.pem -out mail.pem -days 3650 -nodes
права на него у exim'а есть.

Подскажите, пожалуйста, в чем может быть дело? Весь интернет перерыла, ничего не нашла :( .

На всякий случай про систему:
дистр: Gentoo

vz1192# exim -bV
Exim version 4.69 #1 built 07-May-2009 23:09:07
Copyright (c) University of Cambridge 2006
Berkeley DB: Berkeley DB 4.5.20: (September 20, 2006)
Support for: crypteq iconv() PAM Perl TCPwrappers OpenSSL
Lookups: lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmnz dsearch mysql passwd pgsql sqlite
Authenticators: cram_md5 cyrus_sasl dovecot plaintext spa
Routers: accept dnslookup ipliteral manualroute queryprogram redirect
Transports: appendfile/maildir/mailstore autoreply pipe smtp
Fixed never_users: 0
Size of off_t: 4
Configuration file is /etc/exim/exim.conf

OpenSSL> version
OpenSSL 0.9.8k 25 Mar 2009


Содержание

Сообщения в этом обсуждении
"exim + openssl"
Отправлено Vladimir , 10-Май-09 08:26 
>> если сразу на 465й порт коннектиться, то тоже ничего хорошего не выходит:

vz1192# telnet localhost 465
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
ehlo localhost
Connection closed by foreign host

в логах:

2009-05-10 05:38:37 TLS error on connection from (localhost) [127.0.0.1] (SSL_accept): error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol


  #openssl
  OpenSSL> s_client -connect 1.2.3.4:465


"exim + openssl"
Отправлено Hetzer , 10-Май-09 09:11 
>[оверквотинг удален]
>220 vz1192 ESMTP Exim 4.69 Sun, 10 May 2009 05:18:50 +0400
>ehlo localhost
>250-vz1192 Hello localhost [127.0.0.1]
>250-SIZE 52428800
>250-PIPELINING
>250-AUTH PLAIN LOGIN
>250-STARTTLS
>250 HELP
>starttls
>220 TLS go ahead

врядли у вас получится проверить работу ssl через telnet
$ openssl
OpenSSL> s_client  -starttls smtp -connect host:port

>>tls_on_connect_ports = 465

Уберите, поскольку 465 для старых систем (например древний lotus или exchange) и они туда идут на строгий ssl. Впрочем, для личных целей вы вольны делать как хочется.


"exim + openssl"
Отправлено InfinityNsu , 10-Май-09 14:24 
Большое спасибо, посмотрела - работает :)

>Уберите, поскольку 465 для старых систем (например древний lotus или exchange) и
>они туда идут на строгий ssl. Впрочем, для личных целей вы
>вольны делать как хочется.

Вообще закомментить эту опцию?

И еще вопрос немного не по теме: какие механизмы авторизации надо настроить, чтобы сервер принимал почту от Outlook и Thunderbird. Thunderbird'у вроде CRAM-MD5 надо, а с Outlook'ом непонятно, login ему пойдет?


"exim + openssl"
Отправлено Hetzer , 10-Май-09 19:35 
>[оверквотинг удален]
>
>>Уберите, поскольку 465 для старых систем (например древний lotus или exchange) и
>>они туда идут на строгий ssl. Впрочем, для личных целей вы
>>вольны делать как хочется.
>
>Вообще закомментить эту опцию?
>

да.


>И еще вопрос немного не по теме: какие механизмы авторизации надо настроить,
>чтобы сервер принимал почту от Outlook и Thunderbird. Thunderbird'у вроде CRAM-MD5
>надо, а с Outlook'ом непонятно, login ему пойдет?

при включенном tls, хватит plain и login


и ещё, добавьте в роутер
remote_smtp:
hosts_nopass_tls = *


"exim + openssl"
Отправлено InfinityNsu , 11-Май-09 23:09 
>и ещё, добавьте в роутер
>remote_smtp:
>hosts_nopass_tls = *

не совсем понятно назначение этой опции. Почитала документацию, я так понимаю, что если эта опция присутствует, то передача нескольких сообщений идет через один процесс, а не на каждое создается новый. А зачем это конкретно надо?

И еще, опять не в тему, но про exim :).
Спам достал, настроила нормально ACL и авторизацию, теперь спам не шлется, но в логах куча записей вида:

2009-05-11 22:59:11 [22252] H=(msg-g09pmirpcam) [190.69.85.58]:58617 I=[MY_IP]:25 F=<imr@163.com> rejected RCPT <booy.123@yahoo.com.tw>
2009-05-11 22:59:11 [22252] H=(msg-g09pmirpcam) [190.69.85.58]:58617 I=[MY_IP]:25 F=<imr@163.com> rejected RCPT <booy0310@yahoo.com.tw>
2009-05-11 22:59:11 [22252] H=(msg-g09pmirpcam) [190.69.85.58]:58617 I=[MY_IP]:25 F=<imr@163.com> rejected RCPT <booy0424@yahoo.com.tw>

из-за чего лог файл постоянно растет. Делать ротацию по нескольку раз в сутки не хочется. Пока вижу два выхода из ситуации:
1) настроить exim так, чтобы не писал в лог эту информацию
2) подождать, когда спамеры успокоятся.

Что еще можно сделать?


"exim + openssl"
Отправлено svn , 12-Май-09 00:29 
>1) настроить exim так, чтобы не писал в лог эту информацию

И как узнать о проблемах доставки почты?

>2) подождать, когда спамеры успокоятся.

Не дождётесь.

>Что еще можно сделать?

Можно ещё включить сжатие журналов, для экономии места на диске.