Postfix / Dovecot / Let'sEncrypt - клиенты Gmail / электронной почты говорят, что электронные письма с моего сервера не шифруются должным образом (красная блокировка)

863
Sonic656

Я не являюсь экспертом в настройке почтового сервера, и я не настолько хорошо знаком со всем, что мне нужно сделать, чтобы заставить работать электронную почту (в основном, настраивать записи DNS для работы с доставкой электронной почты), как брелок без проблем. Поэтому я был бы рад получить несколько ссылок на отличные видеоролики, объясняющие, как это работает, какие шаги мне нужно выполнить, чтобы настроить все в соответствии с некоторыми общими рекомендациями или частями информации о том, что не так с моей конфигурацией, потому что я пробовал разные вещи и не повезло решить мою проблему.

У меня есть собственный Linux-сервер под управлением Ubuntu 17.04, и у меня есть постфиксы и dovecot для электронных писем моей компании.

Проблема в том, что всякий раз, когда я отправляю электронные письма на учетную запись Gmail, в информации вы можете видеть красный значок ( http://puu.sh/x8ses/9c1a5fef89.png ) и он говорит: «bisart.eu не шифровал это сообщение".

Оригинал сообщения:

Delivered-To: test@gmail.com Received: by 10.12.169.5 with SMTP id y5csp2584881qva; Sat, 12 Aug 2017 13:07:14 -0700 (PDT) X-Received: by 10.223.151.212 with SMTP id t20mr12538728wrb.233.1502568434417; Sat, 12 Aug 2017 13:07:14 -0700 (PDT) ARC-Seal: i=1; a=rsa-sha256; t=1502568434; cv=none; d=google.com; s=arc-20160816; b=izg+I4FrioYQ9iZXkCeJMpZwi8bNCUbQjzsQgGKxLXdaSnp9KcpLNNKhbPKBep5vnG JIoPaEX/mh1NiwI8ptQJJERxUT168OldzKgUZ7+EVL545Yk0EWBnRCNtdtSZa0yjr88O 8fRnGzp93bn5NR/RE22Fvaw13QMvA4xVFc7m6J+BW7pOSmMwB976UoMw6s0jtUCHYkPR CxITyX7Wy8G2rR9Px5INQeH+PsKSOQQQAQoMl88Dcy9DOvF6yo8XR/g7tic8jExKO/BT Cn49sfI3Eg4S8Rs1DatWwp/lw7EViKwHEhZPVqRkxTXP0z3gKhNPdlFnABvUGdDG3Id4 Ly+w== ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816; h=content-language:content-transfer-encoding:mime-version:user-agent :date:message-id:subject:from:to:arc-authentication-results; bh=QgRLF+6w7sye7fqLzlu3qDfNO47+yGPgui7mTGt5S7Y=; b=bPF5SMjoQhKivKP4wLWgg9uOkDudgfg/BLWiWycB9kmKxB7Eox9jMrJGSu+1wwHYMw HadoG0fdXLRFUj3D+/Ur2pWxIfREALH+zHGMIErkTUAN8H6rXZoQrsdrmAFvXYqKMKdq hk3JyUNoIED2whYzcb1lbS8ANks7hYSXwf0gTKUuzrAoCrRPoIcwWmyXMZEhZeNKhQBW cGmwbCnwijOSk8iAB/aX/C6cyE4OZ+K9uXbTzbwpL9u/rF83FC54JlTOSd0jpQ3MFv6Y sCduxKIhz9doud9ebsuB5WqKXXy7m2DlpWbzRsCozbbiKsnT0zZ0+a2UukTu+IZ87mYW HZ7g== ARC-Authentication-Results: i=1; mx.google.com; spf=pass (google.com: domain of dodancs@moow.info designates 185.160.111.248 as permitted sender) smtp.mailfrom=dodancs@moow.info Return-Path: <dodancs@moow.info> Received: from mail.moowdesign.eu (moowdesign.bisart.eu. [185.160.111.248]) by mx.google.com with ESMTP id k16si2937045wrk.226.2017.08.12.13.07.13 for <test@gmail.com>; Sat, 12 Aug 2017 13:07:13 -0700 (PDT) Received-SPF: pass (google.com: domain of dodancs@moow.info designates 185.160.111.248 as permitted sender) client-ip=185.160.111.248; Authentication-Results: mx.google.com; spf=pass (google.com: domain of dodancs@moow.info designates 185.160.111.248 as permitted sender) smtp.mailfrom=dodancs@moow.info Received: from [192.168.1.69] (unknown [84.245.121.111]) by mail.moowdesign.eu (Postfix) with ESMTPSA id 19378121987 for <test@gmail.com>; Sat, 12 Aug 2017 22:07:12 +0200 (CEST) To: test@gmail.com From: Dominik Dancs <dodancs@moow.info> Subject: dsadas Message-ID: <a5bae74f-1645-fc4e-8301-4d4bf5ababc3@moow.info> Date: Sat, 12 Aug 2017 22:07:10 +0200 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.2.1 MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 7bit Content-Language: en-US

Дело в том, что у меня есть несколько доменов, указывающих на один и тот же хост, и используется один и тот же почтовый сервер (moowdesign.eu, moow.info, fenixportal.eu и т. Д.), И мне нужно, чтобы все они имели шифрование электронной почты SSL.

Каждый домен указывает на IP-адрес, а mail.domain.tld задается как запись DNS MX (которая также указывает на IP-адрес сервера).

Мои порты пересылаются, поэтому весь почтовый трафик может передаваться на сервер.

Я использую клиента Let'sEncrypt acme.sh ( https://github.com/Neilpang/acme.sh ) для создания группового сертификата для всех доменов в одном сертификате, а затем использую его в dovecot и postfix.

Проблема:

Итак, клиент Gmail запрашивает, чтобы письма были подписаны "bisart.eu", но этот домен не имеет никакого отношения к моему серверу, за исключением того, что moowdesign.bisart.eu указывает на мой сервер и имеет обратные записи для него . Я не могу подписать сертификат, используя этот домен / сервер, хотя.

Что я должен делать? Я знаю, что это не лучше оставить как есть, потому что люди увидят красный значок и подумают, что это мошенническое письмо или что-то в этом роде, и, скорее всего, все письма будут направлены прямо в спам. Я надеюсь, что есть какое-то решение.

Кроме того, мои записи DNS для всех доменов (соответственно):

 3600 IN MX 10 mail @ 3600 IN A 185.160.111.248 moow.info. 3600 IN TXT "v=spf1 mx a ptr ip4:185.160.111.248/32 a:mail.moow.info a:moowdesign.bisart.eu ~all" mail 3600 IN A 185.160.111.248

Мой main.cf (файл конфигурации Postfix)

compatibility_level = 2 debug_peer_level = 2  smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = no  queue_directory = /var/spool/postfix command_directory = /usr/sbin #daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix  mail_owner = postfix  default_privs = nobody  myhostname = mail.moowdesign.eu mydomain = moowdesign.eu myorigin = $mydomain mydestination = localhost  append_dot_mydomain = no  unknown_local_recipient_reject_code = 550  mynetworks_style = host  relay_domains = *  alias_maps = hash:/etc/aliases  debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5  sendmail_path = /usr/sbin/sendmail newaliases_path = /usr/bin/newaliases mailq_path = /usr/bin/mailq  setgid_group = vmail  inet_protocols = ipv4 inet_interfaces = all  meta_directory = /etc/postfix shlib_directory = /usr/lib/postfix html_directory = /usr/doc/postfix-3.1.2/html manpage_directory = /usr/man sample_directory = /etc/postfix readme_directory = no  smtpd_tls_cert_file = /etc/dovecot/letsencrypt.crt smtpd_tls_CAfile = /etc/dovecot/letsencrypt.chain smtpd_tls_key_file = /etc/dovecot/letsencrypt.key #smtpd_tls_cert_file = /etc/dovecot/private/mail.crt #smtpd_tls_key_file = /etc/dovecot/private/mail.key  smtpd_use_tls = yes smtpd_tls_auth_only = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes  smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_reverse_client_hostname, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_invalid_hostname, reject_rbl_client zen.spamhaus.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client barracudacentral.org  smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination  virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains_maps.cf virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_catchall_maps.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_mailbox_maps.cf  virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp alias_database = hash:/etc/aliases

Вход для отправки электронного письма:

Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: warning: hostname 84-245-121-111.dynamic.swanmobile.sk does not resolve to address 84.245.121.111: Name or service not known Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: connect from unknown[84.245.121.111] Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: 472971201BC: client=unknown[84.245.121.111], sasl_method=PLAIN, sasl_username=dodancs@moow.info Aug 13 13:03:27 production postfix/cleanup[8772]: 472971201BC: message-id=<220f13ed-554d-383e-116c-6ae3b0592088@moow.info> Aug 13 13:03:27 production postfix/qmgr[29192]: 472971201BC: from=<dodancs@moow.info>, size=627, nrcpt=1 (queue active) Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: disconnect from unknown[84.245.121.111] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6 Aug 13 13:03:29 production postfix/smtp[8775]: 472971201BC: to=<test@gmail.com>, relay=gmail-smtp-in.l.google.com[64.233.167.27]:25, delay=1.9, delays=0.17/0/0.87/0.89, dsn=2.0.0, status=sent (250 2.0.0 OK 1502622209 y42si3780413wrd.170 - gsmtp) Aug 13 13:03:29 production postfix/qmgr[29192]: 472971201BC: removed

Есть ли что-то еще, что мне нужно предоставить информацию, чтобы иметь возможность решить эту проблему?

Я старался:

  • Создание самозаверяющего сертификата на сервере bisart.eu, затем использование его на моем сервере с dovecot и postfix (не помогло, все еще говорится: «bisart.eu не шифровал это сообщение»)
  • Создание собственного сертификата на моем сервере (не помогло)
  • Изменение свойств myhostname и mydomain в main.cf в постфиксной конфигурации
  • Добавление spf-записи в мой DNS

Заранее спасибо.

1
_Outgoing_ почта должна быть не связана с вашим сертификатом сервера. Пожалуйста, предоставьте выдержки из журнала Postfix для почты, отправленной в Google. Jens Erat 6 лет назад 0

1 ответ на вопрос

3
grawity

Шифрование исходящего трафика не имеет ничего общего с любым из вышеперечисленного.

При отправке почты ваш Postfix подключается к Gmail (поэтому не участвуют ни переадресация портов, ни записи MX) и действует как клиент TLS (т.е. как веб-браузер, а не веб-сервер); он может предоставить собственный сертификат, но не нуждается в этом.

Кроме того, Postfix имеет отдельные настройки для TLS в режимах сервера и клиента, под smtpd_tls_*и smtp_tls_*соответственно. Не перепутайте два.

Убедитесь, что у вас включены эти настройки:

smtp_tls_security_level = may smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtp_tls_loglevel = 1

Настройте smtp_tls_CAfileв соответствии с вашей ОС. smtp_tls_loglevelУстановка не требуется, но может оказаться полезным при чтении журналов.

Установка smtp_tls_cert_fileи smtp_tls_key_fileне обязательна (многие почтовые серверы либо игнорируют сертификат клиента, либо используют его только для целей регистрации).

Я использую smtpd_tls_ *. В чем разница между установкой SSL для smtp_ и smtpd_? Я обновил пост и добавил свой main.cf. Должен ли я попробовать заменить мои настройки вашим предложением? Спасибо! Sonic656 6 лет назад 0
Разве я не упомянул это? Один для режима _client_, другой для режима _server_. grawity 6 лет назад 0
Извините, я вижу это сейчас, поэтому я должен удалить старые настройки или просто оставить их там и добавить новые? Спасибо за терпение со мной. Sonic656 6 лет назад 0
Вам нужны оба, так как вы используете Postfix в обоих режимах - в качестве клиента при отправке почты, * и * в качестве сервера при получении почты. grawity 6 лет назад 0
Спасибо! Видимо, это решило мою проблему! Я больше не получаю ошибку. Странно то, что я посмотрел на конфигурацию моего старого VPS и не использовал эти параметры, только те, которые имели smtpd_tls_ *, и все работало нормально. Я рад, что ваше предложение помогло. Спасибо еще раз. Хорошего дня. Sonic656 6 лет назад 0

Похожие вопросы