Re: [Sysadmins] postgrey help need

[Igor Solovyov]

Hi!
On Fri, 23 Nov 2007 11:55:33 +0300
Nikolay A. Fetisov [EMAIL PROTECTED] wrote:

 On Fri, 23 Nov 2007 13:42:08 +0500
 Igor Solovyov wrote:
 
  ...
  Осталось разобраться почему. То ли я что-то не так настроил,
  то ли клентские TheBat настраивать нужно...
 
 Попробуйте отключить в настройках The Bat! использование TLS.

Дык их там никто и не включал... :-)
Видимо как раз включить надо.
Ладно, пойду винду  с батом искать, погляжу хоть в батовские настройки,
затем начальству отзвонюсь, попрошу настроить бат.

:-)))

-- 
Best Regars!
Igor Solovyov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Nikolay A. Fetisov]

On Fri, 23 Nov 2007 13:42:08 +0500
Igor Solovyov wrote:

 ...
 Осталось разобраться почему. То ли я что-то не так настроил,
 то ли клентские TheBat настраивать нужно...

Попробуйте отключить в настройках The Bat! использование TLS.

-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Igor Solovyov]

Hi!
On Fri, 23 Nov 2007 05:28:07 +1000
Dmitry Lebkov [EMAIL PROTECTED] wrote:

 Если грейлистит - значит клиенты таки совсем не authenticated. И
 искать надо причину этого, а не способ объяснить postgrey'ю про
 mynetworks. Вышеописанный набор огрничений должен работать именно
 так, как задумывалось.

Точно! Так и оказалось!
...
Nov 23 10:36:05 gate postfix/smtpd[11316]: warning: SASL authentication
failure: Password verification failed
Nov 23 10:36:05 gate postfix/smtpd[11316]: warning: 
unknown [192.168.151.200]: SASL PLAIN authentication failed:
...

а не заметил потому что смотрел лог через grep :-(

Осталось разобраться почему. То ли я что-то не так настроил,
то ли клентские TheBat настраивать нужно...

 Ну и конфиг постфикуса (postconf -n) и логи одной SMTP-сессии таки
 хотелось бы увидеть.

Собственно вот (не полностью, чтобы не раздувать
письмо, а то что касаемо tls и sasl):

mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtp_use_tls = yes

smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous

smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem 
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

-- 
Best regards!
Igor Solovyov

___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Igor Solovyov]

Hi!
On Fri, 23 Nov 2007 12:39:16 +0300
Алексей Шенцев [EMAIL PROTECTED] wrote:

  Или может недонастроил? :-)
 
  Сейчас у меня нет доступа к тому серверу, не могу посмотреть
  слушает ли он на 465 и 965 портах.
 
 Угу, а ещё посмотреть разрешены ли эти порты в файерволе, сделать
 тестовые подключения, а потом у же у клиентов.

Файерволом сейчас точно эти порты закрыты, так что снаружи мне не
проверить. Единственно выбрал сейчас в настройках sylpheed-ы
использовать STARTTLS, который как я понял использует на обычные
поры (25 и 110) и попробовал соединиться с pop-серевером, получил
отлуп в виде Error initializing TLS...

:-(

-- 
Best Regars!
Igor Solovyov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Алексей Шенцев]

В сообщении от Friday 23 November 2007 12:33:50 Igor Solovyov написал(а):
 Hi!
 On Fri, 23 Nov 2007 12:13:50 +0300

 Алексей Шенцев [EMAIL PROTECTED] wrote:
  В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал
 
   Ну вот! Так и оказалось, в бате надо настроить соединение:
   Бесопасное на спец.порт(TLS), вот только там порты предлагаются
   для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.
  
   Видимо нужно их исправить на 110 и 25 соответственно?
 
  Второе: нужные порты сначала нужно настроить на серваке, а потом у
  клиента.

 Не понял, что собственно настроить?
 Настроить postfix на TLS и SASL, дык вроде настроил...
 ..
 smtp_tls_note_starttls_offer = yes
 smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
 smtp_use_tls = yes

 smtpd_sasl_auth_enable = yes
 smtpd_sasl_authenticated_header = yes
 smtpd_sasl_local_domain =
 smtpd_sasl_security_options = noanonymous

 smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem
 smtpd_tls_auth_only = no
 smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt
 smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
 smtpd_tls_loglevel = 2
 smtpd_tls_received_header = yes
 smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
 smtpd_tls_session_cache_timeout = 3600s
 smtpd_use_tls = yes
 tls_random_source = dev:/dev/urandom
 

 Или может недонастроил? :-)

 Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли
 он на 465 и 965 портах.

Угу, а ещё посмотреть разрешены ли эти порты в файерволе, сделать тестовые 
подключения, а потом у же у клиентов.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: [EMAIL PROTECTED]
XMPP: [EMAIL PROTECTED], [EMAIL PROTECTED]
ICQ: 271053845
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Igor Solovyov]

Hi!
On Fri, 23 Nov 2007 12:13:50 +0300
Алексей Шенцев [EMAIL PROTECTED] wrote:

 В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал

  Ну вот! Так и оказалось, в бате надо настроить соединение:
  Бесопасное на спец.порт(TLS), вот только там порты предлагаются
  для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.
 
  Видимо нужно их исправить на 110 и 25 соответственно?
 
 Второе: нужные порты сначала нужно настроить на серваке, а потом у
 клиента.

Не понял, что собственно настроить? 
Настроить postfix на TLS и SASL, дык вроде настроил...
..
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtp_use_tls = yes

smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous

smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem 
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom


Или может недонастроил? :-)

Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли
он на 465 и 965 портах.

-- 
Best Regars!
Igor Solovyov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Алексей Шенцев]

В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал(а):
 Hi!
 On Fri, 23 Nov 2007 13:58:35 +0500

 Igor Solovyov [EMAIL PROTECTED] wrote:
   Попробуйте отключить в настройках The Bat! использование TLS.
 
  Дык их там никто и не включал... :-)
  Видимо как раз включить надо.
  Ладно, пойду винду  с батом искать, погляжу хоть в батовские
  настройки, затем начальству отзвонюсь, попрошу настроить бат.

 Ну вот! Так и оказалось, в бате надо настроить соединение:
 Бесопасное на спец.порт(TLS), вот только там порты предлагаются
 для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.

 Видимо нужно их исправить на 110 и 25 соответственно?

Первое:
[EMAIL PROTECTED] /]# cat /etc/services | grep pop
3com-tsmux  106/tcp poppassd# 3COM-TSMUX
3com-tsmux  106/udp poppassd# 3COM-TSMUX
pop2109/tcp pop-2   postoffice  # Post Office 
Protocol - Version 2
pop2109/udp pop-2   # Post Office Protocol - 
Version 2
pop3110/tcp pop-3   # Post Office Protocol - 
Version 3
pop3110/udp pop-3   # Post Office Protocol - 
Version 3
pop3s   995/tcp spop3   # pop3 protocol over TLS/SSL
pop3s   995/udp spop3   # pop3 protocol over TLS/SSL
kpop1109/tcp# Pop with Kerberos
[EMAIL PROTECTED] /]# cat /etc/services | grep smtp
smtp25/tcp  mail# Simple Mail Transfer 
Protocol
smtp25/udp  mail# Simple Mail Transfer 
Protocol
urd 465/tcp smtps   # URL Rendesvous Directory for 
SSM
[EMAIL PROTECTED] /]# cat /etc/services | grep imap
imap143/tcp imap2   # Interim Mail Access Protocol
imap143/udp imap2   # Interim Mail Access Protocol
imap3   220/tcp # Interactive Mail Access 
Protocol v3
imap3   220/udp # Interactive Mail Access 
Protocol v3
imaps   993/tcp # imap4 protocol over TLS/SSL
imaps   993/udp # imap4 protocol over TLS/SSL
[EMAIL PROTECTED] /]#

Второе: нужные порты сначала нужно настроить на серваке, а потом у клиента.
-- 
С уважением Шенцев Алексей Владимирович.
E-mail: [EMAIL PROTECTED]
XMPP: [EMAIL PROTECTED], [EMAIL PROTECTED]
ICQ: 271053845
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Igor Solovyov]

Hi!
On Fri, 23 Nov 2007 13:58:35 +0500
Igor Solovyov [EMAIL PROTECTED] wrote:

  Попробуйте отключить в настройках The Bat! использование TLS.
 
 Дык их там никто и не включал... :-)
 Видимо как раз включить надо.
 Ладно, пойду винду  с батом искать, погляжу хоть в батовские
 настройки, затем начальству отзвонюсь, попрошу настроить бат.

Ну вот! Так и оказалось, в бате надо настроить соединение:
Бесопасное на спец.порт(TLS), вот только там порты предлагаются
для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал.

Видимо нужно их исправить на 110 и 25 соответственно?

-- 
Best Regars!
Igor Solovyov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Igor Solovyov]

Hi!
On Fri, 23 Nov 2007 14:50:15 +0500
Igor Solovyov [EMAIL PROTECTED] wrote:

 Файерволом сейчас точно эти порты закрыты, так что снаружи мне не
 проверить. Единственно выбрал сейчас в настройках sylpheed-ы
 использовать STARTTLS, который как я понял использует на обычные
 поры (25 и 110) и попробовал соединиться с pop-серевером, получил
 отлуп в виде Error initializing TLS...

Все. Вспомнил. Когда настраивал cyrus, то точно помню, что
закомментировал pop3s. :-)

В общем завтра добью этот сервер.

Спасибо всем наставлявшим на путь истинный. :-)

-- 
Best Regars!
Igor Solovyov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] postgrey help need

[Igor Solovyov]

Hi All!

А возможно ли postgrey-ю как-то обяснить через whitelist или еще как-то
про своих пользователей, находящихся вне mynetworks и не имеющих ни
постоянных ip-адресов, ни доменных имен? Таких, про которых postfix
говорит unknown[any.ip.addr.here] и hostname типа localhost?
Postfix-у хоть через permit_sasl_authenticated про них удалось
объяснить, а вот postgrey-ю...

я думал что раз уж в такой конструкции:

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_pipelining,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unlisted_recipient,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:6

check_policy_service прописан последним, то вроде как впереди
стоящие permit_... вперед срабатывать должны, но почему-то этих самых
sasl_authenticated грейлистит тем не менее...

Это решаемо?

-- 
Best Regars!
Igor Solovyov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] postgrey help need

[Dmitry Lebkov]

Igor Solovyov пишет:
 Hi All!
 
 А возможно ли postgrey-ю как-то обяснить через whitelist или еще как-то
 про своих пользователей, находящихся вне mynetworks и не имеющих ни
 постоянных ip-адресов, ни доменных имен? Таких, про которых postfix
 говорит unknown[any.ip.addr.here] и hostname типа localhost?
 Postfix-у хоть через permit_sasl_authenticated про них удалось
 объяснить, а вот postgrey-ю...
 
 я думал что раз уж в такой конструкции:
 
 smtpd_recipient_restrictions = permit_sasl_authenticated,
 permit_mynetworks,
 reject_unauth_pipelining,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unlisted_recipient,
 reject_unauth_destination,
 check_policy_service inet:127.0.0.1:6
 
 check_policy_service прописан последним, то вроде как впереди
 стоящие permit_... вперед срабатывать должны, но почему-то этих самых
 sasl_authenticated грейлистит тем не менее...

Если грейлистит - значит клиенты таки совсем не authenticated. И искать
надо причину этого, а не способ объяснить postgrey'ю про mynetworks.
Вышеописанный набор огрничений должен работать именно так, как задумывалось.

Ну и конфиг постфикуса (postconf -n) и логи одной SMTP-сессии таки
хотелось бы увидеть.

-- 
WBR, Dmitry Lebkov
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins