[Ubuntu server] mail poslan iz serverja zazna kot vsiljeno pošto

huh, dobr find.

jaz rajši uporabljam complete colaboration suite, ki sliši na ime Zimbra kot main mail strežnik, in zadeva deluje odlično, poskrbi za te stvari sama. Tako, da predlagam, če rabiš za več accountov in zraven še pop3/imap dostop, ter koledar in podobne stvari, da si jo namestiš.

drgač je pa za izi pošiljanje aktivacijskih mailov in podobno čist kul simple postfix ja - čeprav v tem primeru, bi jaz naštimal kot relay in pošiljal prek siolovga SMTPja, kokr da bi sam se s tem ukvarjal.

hvala za posredovane nastavitve. z njimi sem potestiral, ampak mi ni uspelo podpisati sporočila. bega me datoteka master.cf. na netu sem iskal "step by step" razlago delovanja, ampak nisem našel nič, kar bi mi bilo v pomoč.

V bistvu rabim nasledno pot:
Postfix -> DKIM milter -> naprej...

rabim samo podpisovanje odhodne pošte.

če dobro zastopim rabim naslednja dva bloka v datoteki maste.cf:

Ta blok je za mojo odhodno pošto: SSL + SASL avtentikacija sta obvezna. Prejeto sporočilo gre skozi odhodno vejo Amavis.

submission inet n - n - - smtpd
-o content_filter=smtp:[127.0.0.1]:10026
-o header_checks=regexp:/etc/postfix/header_checks
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_sender_restrictions=reject_non_fqdn_sender,reject_unknown_sender_domain
-o smtpd_recipient_restrictions=reject_non_fqdn_recipient,permit_sasl_authenticated,reject
-o incoming_smtpd_helo_restrictions=
-o broken_sasl_auth_clients=yes


Ta blok je za odhodno pošto, ki se vrača iz Amavis. Porine ga še skozi odhoden DKIM milter, potem pa naprej proti svetu.

127.0.0.1:10027 inet n - - - 0 smtpd
-o content_filter=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o milter_macro_daemon_name=ORIGINATING
-o smtpd_milters=inet:127.0.0.1:3301

zanima me princip delovanja teh dveh blokov. nekako predvidevam, da gre meil skozi prvi blok (submission), ampak nevem kam nadaljuje pot. s katerim argumentom je označena nadaljnja pot?

zakaj porta 10026 in 10027? meni na teh dveh portih nič ne laufa.

-o content_filter=smtp:[127.0.0.1]:10026
127.0.0.1:10027

tole bo verjetno port, na katerem laufa dkim-filter:?

-o smtpd_milters=inet:127.0.0.1:3301

trenutno se v main.cf nahaja naslednje:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

reject_unknown_hostname, reject_non_fqdn_hostname


myhostname = mail.igratatin.co.cc
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = server.local.lan, localhost.local.lan, localhost, mail.igratatin.co.cc
relay_domains = $mydestination
relayhost =
mynetworks = 127.0.0.0/8, 192.168.1.0/24
mailbox_command =
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
virtual_alias_domains = igratatin.co.cc sloomaniak.co.cc
virtual_alias_maps = hash:/etc/postfix/virtual
home_mailbox = Maildir/
#header_checks = regexp:/etc/postfix/header_checks

milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891

če sta v master.cf vpisana zgornja dva bloka, potem v main.cf verjetno ne potrebujem zadnjih dveh vrstic?!

me lahko kdo napoti na stran, kjer bi bila napisana razlaga master.cf datoteke?

lp, sašo

zdaj mi je veliko bolj jasno. hvala

imam pa še en problem sedaj. do sedaj sem pošiljal maile preko porta 25 (telental sem se na port 25), tako da je možno, da je zadeva že prej delovala, ampak nisem uporabljal porta 587 za pošiljanje.

problem se pa pojavi, ker na portu 587 server zahteva zahteva "STARTTLS command". kako je mogoče preko telneta uspešno poslati meil?


pa še ena zadeva. predvidevam, da se naslednja vrstica nanaše na port 587:

submission inet n - n - - smtpd

vse kar je zapisanao pod njo pa se "zgodi", kadar postfix prejme zahtevo preko porta 587. je to res?

lp, sašo

testiram vse mogoče konfiguracije, ampak še vedno brez uspeha. se bom poglobil v ta dkim-filter in master.cf in prebral vso možno dokumentacijo od postfixa in dkim-filtra. sem pa v glavi sporočila zaznal še eno zadevo. in sicer, če si pošljem na gmail račun sporočilo iz volje (tuštelekom) je v headerju naslednji vpis:

Received: from localhost (webmail.volja.net [217.72.64.50])
by webmail.volja.net (Postfix) with ESMTP id DB5F173005
for smrkc.krep@gmail.com; Sat, 10 Jan 2009 13:51:40 +0100 (CET)

tale je pa moj:

Received: from mail.igratatin.co.cc (localhost [127.0.0.1])
by mail.igratatin.co.cc (Postfix) with ESMTP id 59F501FD30
for smrkc.krep@gmail.com; Sat, 10 Jan 2009 14:09:49 +0100 (CET)

volja svojih odhodnih meilov ne podpiše z DomainKey, ampak se sporočilo vseeno ne znajde med vsiljeno pošto. bi bilo možno, da bi zaradi te vrstice gmail-ov filter vtaknil sporočilo med spam?

kaj je potrebno storiti, če hočem, da header vrstica zgleda takole:

Received: from localhost (mail.igratatin.co.cc [193.77.83.253])
by mail.igratatin.co.cc (Postfix) with ESMTP id 59F501FD30
for smrkc.krep@gmail.com; Sat, 10 Jan 2009 14:09:49 +0100 (CET)

se pravi, rad bi, da je ime domene v oklepaju (pravtako zunanji IP - 193.77.83.253), localhost pa tam, kje je sedaj ime domene.

hvala, sašo

v logih (mail.log, mail.err, mail.warn) ni zaznati nobene napake. postfix se poveže z dkim-filter in meil se pošlje. problem je v tem, da meili niso podpisani.

se v meil headerju sploh vidi, da je podpisan?

zadevo sem preverjal na linku:

http://www.mailradar.com/domainkeys/

trenutna konfiguracija:

main.cf:

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#myhostname = server.local.lan
myhostname = mail.igratatin.co.cc
mydomain = mail.igratatin.co.cc
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = server.local.lan, localhost.local.lan, localhost, mail.igratatin.co.cc
#mydestination = mail.igratatin.co.cc
relay_domains = $mydestination
#relayhost = mail.siol.net
relayhost =
#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mynetworks = 127.0.0.0/8, 192.168.1.0/24
mailbox_command =
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
virtual_alias_domains = igratatin.co.cc sloomaniak.co.cc
virtual_alias_maps = hash:/etc/postfix/virtual
home_mailbox = Maildir/
#header_checks = regexp:/etc/postfix/header_checks

milter_default_action = accept
milter_protocol = 2
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = inet:127.0.0.1:8891

notify_classes = resource, software, bounce, delay, policy, protocol

master.cf:

#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
#smtps inet n - - - - smtpd
# -o smtpd_tls_wrappermode=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - - 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay unix - - - - - smtp
-o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}

smtp inet n - n - - smtpd
-o milter_macro_daemon_name=MTA
-o smtpd_milters=inet:127.0.0.1:8891
-o non_smtpd_milters=inet:127.0.0.1:8891
-o smtpd_helo_restrictions=$incoming_smtpd_helo_restrictions

submission inet n - n - - smtpd
-o milter_macro_daemon_name=ORIGINATING
-o smtpd_milters=inet:127.0.0.1:8891
-o non_smtpd_milters=inet:127.0.0.1:8891

je možno kako potestirati dkim-filter?

lp

ker imam samo 1 privatni ključ, ne uporabljam keylist, ampak kar KeyFile.

Kje in kako povečam stopnjo logiranje?

prej sem mel v master.cf:

...
...
smtp unix - - - - - smtp
...
...
...
smtp inet n - n - - smtpd
-o milter_macro_daemon_name=MTA
-o smtpd_milters=inet:127.0.0.1:8891
-o non_smtpd_milters=inet:127.0.0.1:8891
-o smtpd_helo_restrictions=$incoming_smtpd_helo_restrictions

sporočila so se uspešno poslala. sedaj sem pa zakomentiral prvo smtp vrstico:

...
...
#smtp unix - - - - - smtp
...
...
...
smtp inet n - n - - smtpd
-o milter_macro_daemon_name=MTA
-o smtpd_milters=inet:127.0.0.1:8891
-o non_smtpd_milters=inet:127.0.0.1:8891
-o smtpd_helo_restrictions=$incoming_smtpd_helo_restrictions

pa se meil več ne pošlje

v logih pa tole:

Jan 10 16:59:22 server postfix/smtpd[4967]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual
Jan 10 16:59:22 server postfix/smtpd[4967]: connect from localhost[127.0.0.1]
Jan 10 16:59:22 server postfix/cleanup[4972]: warning: database /etc/postfix/virtual.db is older than source file /etc/postfix/virtual
Jan 10 16:59:22 server postfix/smtpd[4967]: 62B2C1FD9A: client=localhost[127.0.0.1]
Jan 10 16:59:22 server postfix/cleanup[4972]: 62B2C1FD9A: message-id=3766a04d7b7befc8092db5571be1b332@mail.igratatin.co.cc
Jan 10 16:59:23 server postfix/qmgr[4966]: 62B2C1FD9A: from=saso@mail.igratatin.co.cc, size=2533, nrcpt=1 (queue active)
Jan 10 16:59:23 server postfix/smtpd[4967]: disconnect from localhost[127.0.0.1]
Jan 10 16:59:23 server postfix/qmgr[4966]: warning: connect to transport smtp: Connection refused
Jan 10 16:59:23 server postfix/error[4973]: 62B2C1FD9A: to=smrkc.krep@gmail.com, relay=none, delay=0.78, delays=0.67/0.05/0/0.06, dsn=4.3.0, status=deferred (mail transport unavailable)

Zakaj točno imaš vpisano

-o smtpd_milters=inet:127.0.0.1:8891
 -o non_smtpd_milters=inet:127.0.0.1:8891

DKIM milter je smtpd_milter in nič drugega...

Preko katerih vrat pošiljaš pošto in preko katerih jo prejemaš? Kaj imaš za ta dvoja vrata vpisano v master.cf?

Ali si povečal stopnjo diagnostike za milter, ki jo seveda spremeniš v nastavitveni datoteki za milter?

OK, greva malo drugače. Sicer bom še enkrat povedal isto, ampak bmo poskusil malo manj kriptično, glede na to, da ti tehnologija še ni "v krvi".

Najprej DKIM milter.

Ta dela dve različni zadevi. Sporočilo ti podpiše, ali pa ti podpis preveri. V njegovem .config mu ukažeš eno ali drugo z uporabo "MacroList {daemon_name}=ORIGINATING". To pomeni, da bo sporočilo podpisal, če bo imel parameter "{daemon_name}" vrednost "ORIGINATING". V vseh drugih primerih bo samo preveril podpis, če ta obstaja.

Potem je tukaj Postfix.

Ta mora DKIM milter uporabiti, kar mu dopoveš z nastavitvijo "smtpd_milters=inet:127.0.0.1:3301" sporočilo, ki bo šlo skozi SMTP komponento (smtpd daemon) Postifx-a bo ta poslal še na obdelavo v milter. To nastavitev pa lahko zapišeš kar v main.cf datoteko.

Vendar pa je potrebno povedati kaj naj milter naredi: podpiše ali preveri.

To je možno narediti na več različnih načinov, najpogostoje pa se to naredi z uporabo parametrov. Tisti "{daemon_name}", ki sem ga omenjal, moram v Postfix-u definirati. V primeru, da se sporočilo podpisuje definiram opcijo "milter_macro_daemon_name=ORIGINATING". V primeru, da se sporočilo preverja, pa moram definirati neko drugo ime. Npr. "milter_macro_daemon_name=MTA".

Sedaj pa imam dilemo. Če sporočila prejemam, mora v main.cf pisati eno, če pa sporočila pošiljam, pa mora v main.cf pisati nekaj drugega. Šele tukaj se lotim master.cf datoteke.

Njena struktura je v splošnem takšna, kot sem zgoraj napisal. Bolj po domače povedano pa gre to tako:
- prva vrstica bloka definira Postfix proces. Vrata na katerih posluša, ime daemon-a, tip komunikacije, ... tega se pravilma ne dotikaš, oziroma kvečjemu popravljaš naslov in vrata na katerih se nekaj dogaja.
- vsaka naslednja vrstica, ki se začne zamaknjeno, spada v isti blok s prvo vrstico.
- prva vrstica, ki se znova začne na prvem mestu, začne nov blok

Če se prve vrstice v bloku načeloma ne dotikaš, pa vse naslednje zamaknjene uporabiš za dodajanje opcij daemon-u, ki je definiran v prvi vrstici bloka po sistemu "-o macro=vrednost". Logika parametrov je namreč ta, da bo vsak daemon svoje opcije prebral iz main.cf, potem pa prepisal z vrednostmi iz ukazno vrstice. No, master.cf definira ukazne vrstice za posamezne komponente Postfix-a, ko si sporočilo podajajo med seboj.

To pa sedaj pomeni, da lahko narediš dva bloka (oziroma uporabiš dva že narejena):
"smtp inet ...." posluša na tcp 25, torej dobi "-o milter_macro_daemon_name=MTA"
"submission ..." posluša na tcp 587, torej dobi "-o milter_macro_daemon_name=ORIGINATING"

To sedaj pomeni, da se bo sporočila, ki prihajajo na tcp 25 preverjalo, sporočila, ki prihajajo na tcp 587 pa podpisovalo.

Edino, kar ti sedaj še ostane je, da tcp 587 zaščitiš, tako da ne bo mogel kar kdorsigažebodi pošiljati DKIM podpisanih sporočil skozi tvoj sistem. Uporabiš netfilter, omejiš povezave na 127.0.0.1 in ::1, zahtevaš SASL avetntikacijo, ... kar ti pač ustreza.

To pa je bolj ali manj vse, kar je mehanike. Za preverjanje delovanja pa v syslogd.conf poskrbiš, da se nekam vpisujejo tudi INFO in DEBUG sporočila - za INFO nisem prepričan, ampak DEBUG se, kolikor se spomnem Ubuntu-ja, privzeto ne shranjujejo.

Sporočilo je res šlo skozi milter in ta ga res ni podpisal, temveč samo označil svojo "prisotnost".

Si sporočilo poslal preko vrat 587 ali kako drugače?

Ali ima postfix težave s pravicami - branje datoteke s ključem?

V dkim-filter.conf lahko nastaviš še parametre "MilderDebug 9" in "SyslogSuccess yes". V syslog.conf pa morda dodaš še beleženje DEBUG sporočil. Zadnjega Ubuntu-ja sem se znebil nekaj mesecev nazaj, pa sem že pozabil kakšne so njegove privzete vrednosti.

našel sem orodje za testiranje paketa dkim-filter.

# dkim-testkey -d igratatin.co.cc -s mail

odgovorj je pa:

dkim-testkey: dkim.c:313: dkim_param_get: Assertion `set != ((void *)0)' failed.
Aborted

na mojem sistemu laufa:

Distributor ID: Ubuntu
Description: Ubuntu 8.04.1
Release: 8.04
Codename: hardy

se že v naprej zahvaljujem. glede na tvoj trud, ki ga vlagaš v ta moj post srčno upam, da boš tudi ti imel kaj od vsega tega.

lp

Domain igratatin.co.cc
Selector mail

končno je uspelo. sporočilo je sedaj podpisano. gmail ga še vedno vrže med vsiljeno pošto, tako da se bom moral sedaj še malo v DNS nastavitve poglobiti.

zelo sem hvaležen za vso pomoč.

BlueRunner: ne vem kako naj se ti zahvalim?! te lahko počastim s kako pijačo?

lp, sašo

Google ima svoj bazo.

Lahko pa še nekaj drugega preverim. Ali je ta IP naslov, ki se tukaj pojavlja resničen?

sporočam, da je menjava domene (.com) obrodila sadove. gmail me več ne da med spam. pri yahoo-ju pa se sporočila še vedno znajdejo med vsiljeno pošto. opazil sem, da yahoo ignorira DKIM-Signature, upošteva samo DomainKeys zapis v header glavi. lahko sporočilo podpišem z DKIM in DomainKeys hkrati?

lp