отключение starttls для локальных клиентов

Общие вопросы по установке и настройке сервера Postfix.
Писать в этот форум могут только зарегистрированные пользователи.

Модераторы: prefer, alexandrnew, ALex_hha, Roman, Axel

Ответить
danver
Новичок
Новичок
Сообщения: 10
Зарегистрирован: 23 май 2016, 13:14
Откуда: Новосибирск

отключение starttls для локальных клиентов

Сообщение danver » 26 май 2016, 11:12

Сервер разрешает подключаться почтовым клиентам для отправки сообщений (smtp, порт 587) только с использованием starttls.
На многих машинах клиенты старые, и не поддерживают нужный метод авторизации.
Пара вопросов:
- Как отключить обязательную starttls-авторизацию для клиентов своей локальной сети;
- Будет ли такое мероприятие достаточно безопасным?

Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Re: отключение starttls для локальных клиентов

Сообщение Andy_mak » 26 май 2016, 12:07

danver писал(а):Сервер разрешает подключаться почтовым клиентам для отправки сообщений (smtp, порт 587) только с использованием starttls.
На многих машинах клиенты старые, и не поддерживают нужный метод авторизации.
Пара вопросов:
- Как отключить обязательную starttls-авторизацию для клиентов своей локальной сети;
В файле master.cf есть секция настройки submission:

Код: Выделить всё

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_client_restrictions=$mua_client_restrictions
  -o smtpd_helo_restrictions=$mua_helo_restrictions
  -o smtpd_sender_restrictions=$mua_sender_restrictions
  -o smtpd_recipient_restrictions=
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
Измена значение параметра на smtpd_tls_security_level=may.
danver писал(а):- Будет ли такое мероприятие достаточно безопасным?
Если это твоя локальная сеть, то более-имение безопасно.
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

danver
Новичок
Новичок
Сообщения: 10
Зарегистрирован: 23 май 2016, 13:14
Откуда: Новосибирск

Сообщение danver » 26 май 2016, 13:36

Вот весь блок:

Код: Выделить всё

# Submission, port 587, force TLS connection.
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_security_level=may
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026
С таким значением: smtpd_tls_security_level=may
Работает как и с таким: smtpd_tls_security_level=encrypt

Клиенты, которые поддерживают starttls, нормально отправляют. Старые как не могли этого делать, так и не могут. Чего еще подкрутить?

При попытке отправить сообщение с устаревшего клиента, в журнале постфикса такая запись:

Код: Выделить всё

May 26 16:31:29 post postfix/postscreen[11302]: CONNECT from [192.168.2.112]:3306 to [192.168.2.14]:25
May 26 16:31:29 post postfix/postscreen[11302]: PASS OLD [192.168.2.112]:3306
May 26 16:31:29 post postfix/smtpd[11303]: connect from it1.domainname[192.168.2.112]
May 26 16&#58;31&#58;29 post postfix/smtpd&#91;11303&#93;&#58; NOQUEUE&#58; reject&#58; RCPT from it1.domainname&#91;192.168.2.112&#93;&#58; 554 5.7.1 <admin2@t...a.ru>&#58; Recipient address rejected&#58; Policy rejection not logged in; from=<postmaster@t...a.ru> to=<admin2@t...a.ru> proto=ESMTP helo=<it1.domainname>
May 26 16&#58;31&#58;30 post postfix/smtpd&#91;11303&#93;&#58; disconnect from it1.domainname&#91;192.168.2.112&#93;

Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Сообщение Andy_mak » 26 май 2016, 17:17

В логах у тебя:

Код: Выделить всё

Policy rejection not logged in;
Похоже, что твой старый клиент как-то не так производит аутентификацию. Поэтому, postfix считает логин-пароль неверными.
TLS тут не причем.

У тебя в логах соединение от старого клиента [192.168.2.112] пришло не на 587 порт (submission). А на стандартный порт 25 (smtp).

Код: Выделить всё

postfix/postscreen&#91;11302&#93;&#58; CONNECT from &#91;192.168.2.112&#93;&#58;3306 to &#91;192.168.2.14&#93;&#58;25 
Поэтому у тебя все сработало по другому.
Тебе старые клиенты нужно настроить на работу с сервером по 587 порту.
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

danver
Новичок
Новичок
Сообщения: 10
Зарегистрирован: 23 май 2016, 13:14
Откуда: Новосибирск

Сообщение danver » 27 май 2016, 05:29

Так об этом то и речь, что я пытаюсь включить на постфиксе работу по порту 25, отключив все авторизационные фичи, оставив только простую пару логин-пароль.
Как это сделать?

Аватара пользователя
Andy_mak
Член клуба
Член клуба
Сообщения: 436
Зарегистрирован: 08 фев 2012, 14:37
Откуда: Russia, Moscow

Сообщение Andy_mak » 27 май 2016, 11:18

danver писал(а):Так об этом то и речь, что я пытаюсь включить на постфиксе работу по порту 25, отключив все авторизационные фичи, оставив только простую пару логин-пароль.
Как это сделать?
Почитай вот эту статью: http://postfix.state-of-mind.de/patrick ... ients.html

Параграф: 12.1.4. Supporting non-standard mail clients
и 12.1.6. Configuration overview.

P.S. Возможно пригодится опция:
smtpd_sasl_exceptions_networks = 192.168.0.0/16
Т.е. не показывать AUTH, если соединение пришло не от твоего локального клиента.
FreeBSD, PostFix, AmavisD-New, Spamassassin - это хорошо!

danver
Новичок
Новичок
Сообщения: 10
Зарегистрирован: 23 май 2016, 13:14
Откуда: Новосибирск

Сообщение danver » 30 май 2016, 08:23

Почитай вот эту статью: http://postfix.state-of-mind.de/patrick ... ients.html
Сделал по мануалу, заработало. Спасибо!

Ответить