Re: [Sysadmins] postgrey help need
Hi! On Fri, 23 Nov 2007 11:55:33 +0300 Nikolay A. Fetisov [EMAIL PROTECTED] wrote: On Fri, 23 Nov 2007 13:42:08 +0500 Igor Solovyov wrote: ... Осталось разобраться почему. То ли я что-то не так настроил, то ли клентские TheBat настраивать нужно... Попробуйте отключить в настройках The Bat! использование TLS. Дык их там никто и не включал... :-) Видимо как раз включить надо. Ладно, пойду винду с батом искать, погляжу хоть в батовские настройки, затем начальству отзвонюсь, попрошу настроить бат. :-))) -- Best Regars! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
On Fri, 23 Nov 2007 13:42:08 +0500 Igor Solovyov wrote: ... Осталось разобраться почему. То ли я что-то не так настроил, то ли клентские TheBat настраивать нужно... Попробуйте отключить в настройках The Bat! использование TLS. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
Hi! On Fri, 23 Nov 2007 05:28:07 +1000 Dmitry Lebkov [EMAIL PROTECTED] wrote: Если грейлистит - значит клиенты таки совсем не authenticated. И искать надо причину этого, а не способ объяснить postgrey'ю про mynetworks. Вышеописанный набор огрничений должен работать именно так, как задумывалось. Точно! Так и оказалось! ... Nov 23 10:36:05 gate postfix/smtpd[11316]: warning: SASL authentication failure: Password verification failed Nov 23 10:36:05 gate postfix/smtpd[11316]: warning: unknown [192.168.151.200]: SASL PLAIN authentication failed: ... а не заметил потому что смотрел лог через grep :-( Осталось разобраться почему. То ли я что-то не так настроил, то ли клентские TheBat настраивать нужно... Ну и конфиг постфикуса (postconf -n) и логи одной SMTP-сессии таки хотелось бы увидеть. Собственно вот (не полностью, чтобы не раздувать письмо, а то что касаемо tls и sasl): mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp smtp_tls_note_starttls_offer = yes smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache smtp_use_tls = yes smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key smtpd_tls_loglevel = 2 smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_source = dev:/dev/urandom -- Best regards! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
Hi! On Fri, 23 Nov 2007 12:39:16 +0300 Алексей Шенцев [EMAIL PROTECTED] wrote: Или может недонастроил? :-) Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли он на 465 и 965 портах. Угу, а ещё посмотреть разрешены ли эти порты в файерволе, сделать тестовые подключения, а потом у же у клиентов. Файерволом сейчас точно эти порты закрыты, так что снаружи мне не проверить. Единственно выбрал сейчас в настройках sylpheed-ы использовать STARTTLS, который как я понял использует на обычные поры (25 и 110) и попробовал соединиться с pop-серевером, получил отлуп в виде Error initializing TLS... :-( -- Best Regars! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
В сообщении от Friday 23 November 2007 12:33:50 Igor Solovyov написал(а): Hi! On Fri, 23 Nov 2007 12:13:50 +0300 Алексей Шенцев [EMAIL PROTECTED] wrote: В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал Ну вот! Так и оказалось, в бате надо настроить соединение: Бесопасное на спец.порт(TLS), вот только там порты предлагаются для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал. Видимо нужно их исправить на 110 и 25 соответственно? Второе: нужные порты сначала нужно настроить на серваке, а потом у клиента. Не понял, что собственно настроить? Настроить postfix на TLS и SASL, дык вроде настроил... .. smtp_tls_note_starttls_offer = yes smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache smtp_use_tls = yes smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key smtpd_tls_loglevel = 2 smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_source = dev:/dev/urandom Или может недонастроил? :-) Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли он на 465 и 965 портах. Угу, а ещё посмотреть разрешены ли эти порты в файерволе, сделать тестовые подключения, а потом у же у клиентов. -- С уважением Шенцев Алексей Владимирович. E-mail: [EMAIL PROTECTED] XMPP: [EMAIL PROTECTED], [EMAIL PROTECTED] ICQ: 271053845 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
Hi! On Fri, 23 Nov 2007 12:13:50 +0300 Алексей Шенцев [EMAIL PROTECTED] wrote: В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал Ну вот! Так и оказалось, в бате надо настроить соединение: Бесопасное на спец.порт(TLS), вот только там порты предлагаются для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал. Видимо нужно их исправить на 110 и 25 соответственно? Второе: нужные порты сначала нужно настроить на серваке, а потом у клиента. Не понял, что собственно настроить? Настроить postfix на TLS и SASL, дык вроде настроил... .. smtp_tls_note_starttls_offer = yes smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache smtp_use_tls = yes smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_tls_CAfile = /etc/postfix/sasl/cacert.pem smtpd_tls_auth_only = no smtpd_tls_cert_file = /etc/postfix/sasl/smtpd.crt smtpd_tls_key_file = /etc/postfix/sasl/smtpd.key smtpd_tls_loglevel = 2 smtpd_tls_received_header = yes smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache smtpd_tls_session_cache_timeout = 3600s smtpd_use_tls = yes tls_random_source = dev:/dev/urandom Или может недонастроил? :-) Сейчас у меня нет доступа к тому серверу, не могу посмотреть слушает ли он на 465 и 965 портах. -- Best Regars! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
В сообщении от Friday 23 November 2007 12:09:05 Igor Solovyov написал(а): Hi! On Fri, 23 Nov 2007 13:58:35 +0500 Igor Solovyov [EMAIL PROTECTED] wrote: Попробуйте отключить в настройках The Bat! использование TLS. Дык их там никто и не включал... :-) Видимо как раз включить надо. Ладно, пойду винду с батом искать, погляжу хоть в батовские настройки, затем начальству отзвонюсь, попрошу настроить бат. Ну вот! Так и оказалось, в бате надо настроить соединение: Бесопасное на спец.порт(TLS), вот только там порты предлагаются для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал. Видимо нужно их исправить на 110 и 25 соответственно? Первое: [EMAIL PROTECTED] /]# cat /etc/services | grep pop 3com-tsmux 106/tcp poppassd# 3COM-TSMUX 3com-tsmux 106/udp poppassd# 3COM-TSMUX pop2109/tcp pop-2 postoffice # Post Office Protocol - Version 2 pop2109/udp pop-2 # Post Office Protocol - Version 2 pop3110/tcp pop-3 # Post Office Protocol - Version 3 pop3110/udp pop-3 # Post Office Protocol - Version 3 pop3s 995/tcp spop3 # pop3 protocol over TLS/SSL pop3s 995/udp spop3 # pop3 protocol over TLS/SSL kpop1109/tcp# Pop with Kerberos [EMAIL PROTECTED] /]# cat /etc/services | grep smtp smtp25/tcp mail# Simple Mail Transfer Protocol smtp25/udp mail# Simple Mail Transfer Protocol urd 465/tcp smtps # URL Rendesvous Directory for SSM [EMAIL PROTECTED] /]# cat /etc/services | grep imap imap143/tcp imap2 # Interim Mail Access Protocol imap143/udp imap2 # Interim Mail Access Protocol imap3 220/tcp # Interactive Mail Access Protocol v3 imap3 220/udp # Interactive Mail Access Protocol v3 imaps 993/tcp # imap4 protocol over TLS/SSL imaps 993/udp # imap4 protocol over TLS/SSL [EMAIL PROTECTED] /]# Второе: нужные порты сначала нужно настроить на серваке, а потом у клиента. -- С уважением Шенцев Алексей Владимирович. E-mail: [EMAIL PROTECTED] XMPP: [EMAIL PROTECTED], [EMAIL PROTECTED] ICQ: 271053845 ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
Hi! On Fri, 23 Nov 2007 13:58:35 +0500 Igor Solovyov [EMAIL PROTECTED] wrote: Попробуйте отключить в настройках The Bat! использование TLS. Дык их там никто и не включал... :-) Видимо как раз включить надо. Ладно, пойду винду с батом искать, погляжу хоть в батовские настройки, затем начальству отзвонюсь, попрошу настроить бат. Ну вот! Так и оказалось, в бате надо настроить соединение: Бесопасное на спец.порт(TLS), вот только там порты предлагаются для smtp - 465 для pop - 965. Я на эти порты ничего не настраивал. Видимо нужно их исправить на 110 и 25 соответственно? -- Best Regars! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
Hi! On Fri, 23 Nov 2007 14:50:15 +0500 Igor Solovyov [EMAIL PROTECTED] wrote: Файерволом сейчас точно эти порты закрыты, так что снаружи мне не проверить. Единственно выбрал сейчас в настройках sylpheed-ы использовать STARTTLS, который как я понял использует на обычные поры (25 и 110) и попробовал соединиться с pop-серевером, получил отлуп в виде Error initializing TLS... Все. Вспомнил. Когда настраивал cyrus, то точно помню, что закомментировал pop3s. :-) В общем завтра добью этот сервер. Спасибо всем наставлявшим на путь истинный. :-) -- Best Regars! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] postgrey help need
Hi All! А возможно ли postgrey-ю как-то обяснить через whitelist или еще как-то про своих пользователей, находящихся вне mynetworks и не имеющих ни постоянных ip-адресов, ни доменных имен? Таких, про которых postfix говорит unknown[any.ip.addr.here] и hostname типа localhost? Postfix-у хоть через permit_sasl_authenticated про них удалось объяснить, а вот postgrey-ю... я думал что раз уж в такой конструкции: smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_pipelining, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, reject_unauth_destination, check_policy_service inet:127.0.0.1:6 check_policy_service прописан последним, то вроде как впереди стоящие permit_... вперед срабатывать должны, но почему-то этих самых sasl_authenticated грейлистит тем не менее... Это решаемо? -- Best Regars! Igor Solovyov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] postgrey help need
Igor Solovyov пишет: Hi All! А возможно ли postgrey-ю как-то обяснить через whitelist или еще как-то про своих пользователей, находящихся вне mynetworks и не имеющих ни постоянных ip-адресов, ни доменных имен? Таких, про которых postfix говорит unknown[any.ip.addr.here] и hostname типа localhost? Postfix-у хоть через permit_sasl_authenticated про них удалось объяснить, а вот postgrey-ю... я думал что раз уж в такой конструкции: smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_pipelining, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, reject_unauth_destination, check_policy_service inet:127.0.0.1:6 check_policy_service прописан последним, то вроде как впереди стоящие permit_... вперед срабатывать должны, но почему-то этих самых sasl_authenticated грейлистит тем не менее... Если грейлистит - значит клиенты таки совсем не authenticated. И искать надо причину этого, а не способ объяснить postgrey'ю про mynetworks. Вышеописанный набор огрничений должен работать именно так, как задумывалось. Ну и конфиг постфикуса (postconf -n) и логи одной SMTP-сессии таки хотелось бы увидеть. -- WBR, Dmitry Lebkov ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins