https://www.opennet.ru/openforum/vsluhforumID1/96554.html Добрый всем день.<br><br>Как побороть богомерзкую надпись Client certificate not present<br>в шапке почтового сообщения если слать его например на Яндекс со своего почтовика?<br>яндекс при этом выставляет письмам статус X-Yandex-Spam: 1<br><br>Пробую на postfix. <br>Пока удалось добиться следующего состояния:<br>1) spf=pass, <br>2) domain of example.ru designates ip as permitted sender,<br>3) dkim=pass,<br>4) DomainKey навсякий случай тоже стоит, сигнатура в письме есть,<br>5) Trusted TLS connection established to mx.yandex.ru - также имеется. (но тут под вопросом как бы это детализировать?)<br><br>Сертификаты пробую startssl и cacert - оба бесплатные.<br><br>Принципиально не понятна природа возникновения данного косяка, и какой сертификат его принципиально устраняет:<br>1. сертификат почтового сервера,<br>(это следуют например из статьи http://koti.kapsi.fi/ptk/postfix/postfix-tls-cacert.shtml<br>где данный баг успешно решается, но по статье у меня не выходит побороть яндекс),<br>2. либо сертификат клиента почтового сервера<br>(тут я нашел утилитку https://www.opennet.ru/openforum/vsluhforumID1/96554.html#10 Sun, 08 May 2016 17:16:37 GMT Что в таком случае означает данная запись со стороны Яндекса?<br>(Client certificate not present) <br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/96554.html#9 Sat, 07 May 2016 18:01:40 GMT &gt; И при установлении tls соединения c Яндексом эти данные не передаются видимо.<br><br>а разве должны?<br> https://www.opennet.ru/openforum/vsluhforumID1/96554.html#8 Fri, 06 May 2016 10:22:11 GMT &gt; А в чем глубокий смысл юзать и пароль и сертификат для аутентификации? <br><br>Таково скажем так требование.<br><br>&gt; Сертификат естественно никуда не должен передаваться. Ну и я так понял, что <br>&gt; сертификат у вас самоподписанный?<br><br>У меня сертификаты от STARTSSL.com 1-го класса.<br>1. на домен example.ru<br>2. на почтовый ящик test@example.ru<br>Сертификат на домен я также поставил на вебсайт (подключил в nginx), при заходе любой браузер не ругается как у самоподписанного, замочек показывает.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/96554.html#7 Fri, 06 May 2016 06:40:39 GMT А в чем глубокий смысл юзать и пароль и сертификат для аутентификации?<br><br>Сертификат естественно никуда не должен передаваться. Ну и я так понял, что сертификат у вас самоподписанный?<br> https://www.opennet.ru/openforum/vsluhforumID1/96554.html#6 Fri, 06 May 2016 06:20:58 GMT У меня как бы двойная: логин\пароль и сертификат.<br>Как я уже написал выше тесты провожу с утилитой ports/mail/ssmtp (в качестве эмулятора почтового клиента).<br>Ее можно использовать вместо стандартного sendmail, позволяет прописать логин\пароль и сертификат.<br><br><br>#<br># /etc/ssmtp.conf -- a config file for sSMTP sendmail.<br>#<br># Get enhanced (*really* enhanced) debugging information in the logs<br># If you want to have debugging of the config file parsing, move this option<br># to the top of the config file and uncomment<br>Debug=YES<br># The person who gets all mail for userids &lt; 1000<br># Make this empty to disable rewriting.<br>root=postmaster<br># The place where the mail goes. The actual machine name is required<br># no MX records are consulted. Commonly mailhosts are named mail.domain.com<br># The example will fit if you are in domain.com and your mailhub is so named.<br>mailhub=a.b.c.d:587<br># Example for SMTP port number 2525<br># mailhub=mail.your.domain:2525<br># Example for SMTP port number 25 (Standard/RFC)<br># mailhub=mail.yo https://www.opennet.ru/openforum/vsluhforumID1/96554.html#5 Thu, 05 May 2016 21:00:19 GMT smtpd_tls_req_ccert = yes<br>smtpd_tls_ask_ccert = yes<br><br>у вас что, аутентификация по сертификатам?<br> https://www.opennet.ru/openforum/vsluhforumID1/96554.html#4 Thu, 05 May 2016 19:33:49 GMT postconf -n<br><br>address_verify_sender =<br>alias_database = hash:/etc/aliases<br>alias_maps = hash:/etc/aliases<br>anvil_rate_time_unit = 60s<br>bounce_queue_lifetime = 1d<br>broken_sasl_auth_clients = yes<br>command_directory = /usr/local/sbin<br>compatibility_level = 2<br>cyrus_destination_recipient_limit = 1<br>daemon_directory = /usr/local/libexec/postfix<br>data_directory = /var/db/postfix<br>debug_peer_level = 4<br>debug_peer_list = example.ru<br>debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_ id & sleep 5<br>default_privs = nobody<br>disable_vrfy_command = yes<br>header_checks = regexp:/usr/local/etc/postfix/header_checks<br>html_directory = /usr/local/share/doc/postfix<br>inet_interfaces = a.b.c.d<br>inet_protocols = ipv4<br>local_recipient_maps = unix:passwd.byname $alias_maps<br>mail_owner = postfix<br>mail_spool_directory = /var/mail<br>mailbox_size_limit = 1 https://www.opennet.ru/openforum/vsluhforumID1/96554.html#3 Thu, 05 May 2016 19:20:23 GMT &gt; яндекс при этом выставляет письмам статус X-Yandex-Spam: 1 <br><br>с чего вы взяли, что именно из-за этого яндекс считает письмо спамом?<br><br>где вывод postconf -n?<br> https://www.opennet.ru/openforum/vsluhforumID1/96554.html#2 Thu, 05 May 2016 15:50:47 GMT Пример моего письма:<br><br><br>Received: from mxfront4h.mail.yandex.net ([127.0.0.1])<br>by mxfront4h.mail.yandex.net with LMTP id RghNXkJc<br>for &lt;test@yandex.ru&gt;; Thu, 5 May 2016 16:45:14 +0300<br>Received: from example.ru (example.ru [....])<br>by mxfront4h.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id mlGNA6ndWa-jDZGnfb0;<br>Thu, 05 May 2016 16:45:13 +0300<br> (using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))<br>(Client certificate not present) !!!!!<br>Return-Path: test@example.ru<br>X-Yandex-Front: mxfront4h.mail.yandex.net<br>X-Yandex-TimeMark: 1462455913<br>To: undisclosed-recipients:;<br>Authentication-Results: mxfront4h.mail.yandex.net; spf=pass (mxfront4h.mail.yandex.net: domain of example.ru designates ..... as permitted sender) smtp.mail=test@example.ru; dkim=pass header.i=@example.ru<br>X-Yandex-Spam: 1<br>From: "Charlie &" &lt;test@example.ru&gt;<br>DomainKey-Signature: a=rsa-sha1; s=email; d=example.ru; c=nofws; q=dns;<br>h=from:dkim-signature:date:message-id;<br>b=j0f1iTtq23zue39CYUM3PJ1