URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 61642
[ Назад ]

Исходное сообщение
"postfix+TLS (certificate verification failed )"

Отправлено Alexander , 09-Ноя-05 09:37 
Привет всем !

Господа, может кто сталкивался... Ситуация:
Postfix+Amavis-new+ClamAv+Spamassassin. Ниже кусочек конфига.
---
main.cf
^^^^^^^
...
#smtp_enforce_tls = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_loglevel = 1
smtp_sasl_auth_enable = no

smtp_tls_key_file = /etc/postfix/ssl/my-key.pem
smtp_tls_cert_file = /etc/postfix/ssl/my-cert.pem
smtp_tls_CAfile = /etc/postfix/ssl/cacert.pem

smtp_tls_session_cache_database = btree:/var/run/smtp_tls_session_cache
smtp_tls_session_cache_timeout = 3600s
smtp_tls_scert_verifydepth=1
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = $myhostname
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname
smtpd_error_sleep_time = 60
smtpd_soft_error_limit = 60
smtpd_hard_error_limit = 10
smtpd_sasl_security_options = noanonymous
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_tls_auth_only = yes

smtpd_tls_key_file = /etc/postfix/ssl/my-key.pem
smtpd_tls_cert_file = /etc/postfix/ssl/my-cert.pem
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem

smtpd_tls_session_cache_database = btree:/var/run/smtpd_tls_session_cache
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
...
---

Вроде по моей проблеме достаточно инфы. А проблема-то вот в чем: на некоторые хосты почта совсем не идет. Вообще почта ходит достаточно весело и туду и сюду, но есть релеи, на которые ну никак. Редко встречаются, но есть такие. Пишет, что "lost connection with mail.relay.smth[xxx.xxx.xxx.xxx] while receiving the STARTTLS response". Эт если mailq набрать. В логе немного подробнее:

certificate verification failed for mail.relay.smth: num=18:self signed certificate
certificate peer name verification failed for mail.relay.smth: CommonName mis-match: mail.relay.smth
Unverified: subject_CN=mail.relay.smth, issuer=mail.relay.smth
TLS connection established to mail.relay.smth: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Server certificate could not be verified
43C59128: to=<smb@relay.smth>, relay=mail.relay.smth[xxx.xxx.xxx.xxx], delay=58981, status=deferred (lost connection with mail.relay.smth[xxx.xxx.xxx.xxx] while receiving the STARTTLS response)

  Сертификат естессно самописный. Вопрос: в чем дело :) ? НЕкоторые говорят - лечится какой-то опцией (не смог найти), некоторые говорят, дескать сертификат нужно покупать на verio.com.
  А что скажет всезнающий ALL ?


Содержание

Сообщения в этом обсуждении
"postfix+TLS (certificate verification failed )"
Отправлено Alexander , 10-Ноя-05 09:52 
кое что выяснилось: на те релеи куда у меня не уходит, спокойно отправляется с другого хоста. Правда сертификат у них купленный.
Народ, кто что знает по этой проблеме ? Не молчите :) Нужна любая инфа. Не верю, что с этим никто не сталкивался.

"postfix+TLS (certificate verification failed )"
Отправлено DustpaN , 10-Ноя-05 10:05 
Если у тебя сертификат не подписан то весь смысл TSL пропадает.
Точнее он подписано но самим сабой,  а тот почтовик который тебя обламывает видмо настроен не пускаеть с самоподписанными.



"postfix+TLS (certificate verification failed )"
Отправлено KomaLex , 15-Апр-12 17:02 
Похожая проблема, не буду создавать новую тему. Вот конфиг.

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain
broken_sasl_auth_clients = yes
smtp_use_tls = yes
smtpd_use_tls = yes
#smtpd_tls_auth_only = yes
smtpd_tls_note_starttls_offer = yes
smtpd_tls_key_file = /usr/local/ssl/ca/ca.key
smtpd_tls_cert_file = /usr/local/ssl/ca/ca.crt
smtpd_tls_CAfile = /usr/local/ssl/ca/ca.crt
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_ask_ccert = yes
relay_clientcerts = hash:/usr/local/etc/postfix/fingerprints
tls_random_source = dev:/dev/urandom

unknown_local_recipient_reject_code = 550
maps_rbl_reject_code = 554
invalid_hostname_reject_code = 550
non_fqdn_reject_code = 550
unknown_address_reject_code = 550
unknown_client_reject_code = 550
unknown_hostname_code = 550
unverified_recipient_reject_code = 550
unverified_sender_reject_code = 550
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unauth_destination,
        reject_unauth_pipelining,
        check_client_access hash:/usr/local/etc/postfix/access_client,
        check_client_access pcre:/usr/local/etc/postfix/access_client.pcre,
        reject_unknown_client_hostname,
        check_helo_access hash:/usr/local/etc/postfix/access_helo,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname,
        check_sender_access hash:/usr/local/etc/postfix/access_sender,
        reject_non_fqdn_sender,
        reject_unknown_sender_domain,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client combined.njabl.org,
        reject_rbl_client dnsbl.njabl.org,
        reject_rbl_client dul.ru,
        reject_rbl_client opm.blitzed.org,
smtpd_etrn_restrictions =
        permit_mynetworks,
        reject

Не отправляет на gmail почту. На другие отправляет, а туда нет. Вот что пишет в логе.


Apr 15 21:49:32 bsdnet postfix/smtp[91472]: certificate verification failed for gmail-smtp-in.l.google.com[209.85.173.27]:25: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
Apr 15 21:49:32 bsdnet postfix/smtpd[91464]: disconnect from localhost[127.0.0.1]
Apr 15 21:49:34 bsdnet postfix/smtp[91472]: D237C12B08E: to=<imail@gmail.com>, relay=gmail-smtp-in.l.google.com[209.85.173.27]:25, delay=2.8, delays=0/0.02/1.1/1.7, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[209.85.173.27] said: 550-5.7.1 [93.189.201.218] The IP you're using to send mail is not authorized to 550-5.7.1 send email directly to our servers. Please use the SMTP relay at your 550-5.7.1 service provider instead. Learn more at 550 5.7.1 http://support.google.com/mail/bin/answer.py?answer=10336 o2si6219046lbl.66 (in reply to end of DATA command))
Apr 15 21:49:34 bsdnet postfix/cleanup[91467]: A2AB312B090: message-id=<20120415124934.A2AB312B090@mail.mydomain.ru>
Apr 15 21:49:34 bsdnet postfix/qmgr[1557]: A2AB312B090: from=<>, size=3443, nrcpt=1 (queue active)
Apr 15 21:49:34 bsdnet postfix/bounce[91474]: D237C12B08E: sender non-delivery notification: A2AB312B090
Apr 15 21:49:34 bsdnet postfix/qmgr[1557]: D237C12B08E: removed
Apr 15 21:49:34 bsdnet postfix/virtual[91475]: A2AB312B090: to=<komal@mydomain.ru>, relay=virtual, delay=0.02, delays=0/0.01/0/0, dsn=2.0.0, status=sent (delivered to maildir)
Apr 15 21:49:34 bsdnet postfix/qmgr[1557]: A2AB312B090: removed


"postfix+TLS (certificate verification failed )"
Отправлено KomaLex , 15-Апр-12 17:04 
Снимаю вопрос. В обратной зоне провайдера пока не прописан почтовик, гугл проверяет соответсвие адреса домену. Поэтому и отлупил.

"postfix+TLS (certificate verification failed )"
Отправлено KomaLex , 18-Апр-12 21:12 
> Снимаю вопрос. В обратной зоне провайдера пока не прописан почтовик, гугл проверяет
> соответсвие адреса домену. Поэтому и отлупил.

Вопрос остается актуальным, после добавления записи в обратной зоне моего провайдера, проблема не исчезла. Письма на gmail все равно не доходят. Если пройти по указанной сслыке там пишут следующее:


The IP you're using to send email... ("IP-адрес, используемый для отправки писем, не авторизован ...")
В целях борьбы со спамом Gmail отказывается принимать письма, если IP-адрес1 отправителя не совпадает с его доменом. При отправке писем со своего сервера на адреса Gmail используйте SMTP-сервер, предоставленный вашим поставщиком услуг Интернета. Обратите внимание, что в настоящее время у нас нет возможности вести белые списки IP-адресов или вносить их в список исключений каким-либо иным способом.

Вроде пишут как раз о несоответствии домена и адреса, но сейчас уже все нормально у меня. Может кто то пояснить чего им еще надо? С других моих почтовых серверов, настроенных подобным же образом все доходит нормально.


"postfix+TLS (certificate verification failed )"
Отправлено KomaLex , 19-Апр-12 13:33 
Разобрался, в одном из блеклистов адрес был. Видимо когда то вся подсеть попала.