Народ, поставил я на vps где моя домашняя страничка Postfix + dovecot
У меня Тандерберд отправляет почту нормально а Аутлук (Win7, Windows mail) — нет. Вылетает с ошибкой
[quote:3vvix7z8]Server Error: 554
Server Response: 554 5.7.1 <alxlabs@hotmail.com>: Relay access denied
The message could not be sent. The setting for your outgoing email [SMTP] server might need to be configured. To find the server settings for ‘alxlabs@hotmail.com‘, please contact your email service provider.[/quote:3vvix7z8]
Однако Thunderbird работает наура с теми же настройками.
Я уже попробовал в main.cf сделать
[quote:3vvix7z8]
mynetworks = 0.0.0.0/0
….
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
permit_mynetworks,permit_auth_destination,permit_sasl_authenticated,permit
permit_sasl_authenticated, reject_invalid_helo_hostname, reject_unauth_destination
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
[/quote:3vvix7z8]
Не помогло.
Вот записи из maillog
Thunderbird [OK, mail sent]
[quote:3vvix7z8]
Sep 21 18:07:09 node19 postfix/smtpd[23959]: 8917D274035D: client=unknown[66.209.60.86], sasl_method=PLAIN, sasl_username=alxlabs
Sep 21 18:07:09 node19 postfix/cleanup[23962]: 8917D274035D: message-id=<505C7496.6060101@alxlabs.ca>
Sep 21 18:07:09 node19 postfix/qmgr[23676]: 8917D274035D: from=<alxlabs@alxlabs.ca>, size=11918, nrcpt=1 (queue active)
Sep 21 18:07:09 node19 postfix/smtpd[23959]: disconnect from unknown[66.209.60.86]
Sep 21 18:07:10 node19 dovecot: imap-login: Login: user=<alxlabs>, method=PLAIN, rip=66.209.60.86, lip=199.175.55.137, mpid=23965, TLS
Sep 21 18:07:13 node19 postfix/smtp[23963]: 8917D274035D: to=<alxlabs@hotmail.com>, relay=mx.msn.com[212.23.138.198]:25, delay=4, delays=0.18/0.01/0.91/2.9, dsn=2.0.0, status=sent (250 Ok: queued as E2952602BB0E476D)
Sep 21 18:07:13 node19 postfix/qmgr[23676]: 8917D274035D: removed
Sep 21 18:07:21 node19 dovecot: imap-login: Login: user=<alxlabs>, method=PLAIN, rip=66.209.60.86, lip=199.175.55.137, mpid=23969, TLS
Sep 21 18:07:22 node19 dovecot: imap-login: Login: user=<alxlabs>, method=PLAIN, rip=66.209.60.86, lip=199.175.55.137, mpid=23971, TLS
Sep 21 18:07:22 node19 dovecot: imap-login: Login: user=<alxlabs>, method=PLAIN, rip=66.209.60.86, lip=199.175.55.137, mpid=23973, TLS
[/quote:3vvix7z8]
Windows mail [NG, mail not sent]
[quote:3vvix7z8]
Sep 21 18:05:07 node19 dovecot: imap-login: Login: user=<alxlabs>, method=PLAIN, rip=66.209.60.86, lip=199.175.55.137, mpid=23940
Sep 21 18:05:23 node19 postfix/smtpd[23944]: connect from unknown[66.209.60.86]
Sep 21 18:05:23 node19 postfix/smtpd[23944]: NOQUEUE: reject: RCPT from unknown[66.209.60.86]: 554 5.7.1 <alxlabs@hotmail.com>: Relay access denied; from=<alxlabs@alxlabs.ca> to=<alxlabs@hotmail.com> proto=ESMTP helo=<TOL00038>
Sep 21 18:05:23 node19 postfix/smtpd[23944]: disconnect from unknown[66.209.60.86]
[/quote:3vvix7z8]
Как его *&*^ заставить работать с аутлуком и не превратить в open relay?
PS С получением почты все ОК в обоих клиентах. Вопрос в том, как заставить PostFix принимать почту от аутлука. Похоже что win live mail не поддерживает sasl? А как тогда Postfix сконфигурить?
что настроено в качестве сервера отправки в обоих случаях?
Почему спрашиваю — в логе Тандербёрда видно, что mx-запись хотмыла отрезолвилась, значит ваш релей признал сервер отправки для alxlabs.ca как разрешенный.
В логе аутлука не вижу — там сразу отлуп.
Может SPF-запись настроить в вашем домене? Чтобы принимал как свой сервис отправки, указанный в аутлуке…
если сервера отправки одни и те же, то есть проблемы с аутентификацией к релею… картина полностью не ясна
[quote="elefant":1joj1i3d]что настроено в качестве сервера отправки в обоих случаях?
Почему спрашиваю — в логе Тандербёрда видно, что mx-запись хотмыла отрезолвилась, значит ваш релей признал сервер отправки для alxlabs.ca как разрешенный.
В логе аутлука не вижу — там сразу отлуп.
Может SPF-запись настроить в вашем домене? Чтобы принимал как свой сервис отправки, указанный в аутлуке…
если сервера отправки одни и те же, то есть проблемы с аутентификацией к релею… картина полностью не ясна[/quote:1joj1i3d]
Проблема с аутенификацией. Оутлук получает отлуп а Тандерберд работает.
[quote="alxlabs":11qfiycs]PS С получением почты все ОК в обоих клиентах. Вопрос в том, как заставить PostFix принимать почту от аутлука. Похоже что win live mail не поддерживает sasl? А как тогда Postfix сконфигурить?[/quote:11qfiycs]
В первом случае аутентификация смтп есть, во втором нет. Пришлите картинку с настройками smtp auth в аутлуке.
[quote="agem31":3bf5wusg][quote="alxlabs":3bf5wusg]PS С получением почты все ОК в обоих клиентах. Вопрос в том, как заставить PostFix принимать почту от аутлука. Похоже что win live mail не поддерживает sasl? А как тогда Postfix сконфигурить?[/quote:3bf5wusg]
В первом случае аутентификация смтп есть, во втором нет. Пришлите картинку с настройками smtp auth в аутлуке.[/quote:3bf5wusg]smtp auth в оутлуке стоит «также как для сервера входящей почты».
Вот тут кое-что полезное можно выцепить
http://postfix.state-of-mind.de/patrick … ients.html
[quote="Anatoly":ukknvw2y]Вот тут кое-что полезное можно выцепить
http://postfix.state-of-mind.de/patrick … ients.html[/quote:ukknvw2y]
Не помогло. Но вобщем порывшись в гугле по sasl+outlook+postfix+davecot я нашел решение. Проблема была в /etc/dovecot/conf.d/10-auth.conf
Нужно моменять
auth_mechanisms = plain -> auth_mechanisms = plain login
ПС Черт меня дернул поставить postfix+davecot вместо qmail к корому я привык.
В любом случае рад, что разобрался
[quote="Anatoly":145hqqaq]В любом случае рад, что разобрался
[/quote:145hqqaq]я был близок к тому, чтобы снести postfix и поставить qmail
Наверное потратил бы меньше времени.
Зато разобрался
[code:obuvhg0j]mynetworks = 0.0.0.0/0 [/code:obuvhg0j]
и не стремна? скоро твой smtp server будет весь мир использовать в качестве релея
[quote="SilentSoul":29u6xkpo][code:29u6xkpo]mynetworks = 0.0.0.0/0 [/code:29u6xkpo]
и не стремна? скоро твой smtp server будет весь мир использовать в качестве релея[/quote:29u6xkpo]не будет. Можешь проверить — mail.alxlabs.ca
через полчаса мейтенанс в датацентре закончится и можно проверять. 
[quote="SilentSoul":178nfzvu][code:178nfzvu]mynetworks = 0.0.0.0/0 [/code:178nfzvu]
и не стремна? скоро твой smtp server будет весь мир использовать в качестве релея[/quote:178nfzvu]
Какой релей, если там SMTP-authentication требуется?
[quote="Anatoly":1q4d92fi][quote="SilentSoul":1q4d92fi][code:1q4d92fi]mynetworks = 0.0.0.0/0 [/code:1q4d92fi]
и не стремна? скоро твой smtp server будет весь мир использовать в качестве релея[/quote:1q4d92fi]
Какой релей, если там SMTP-authentication требуется?[/quote:1q4d92fi]
Он недочитал, точнее не понял до конца. У меня нет внешних и внутренних клиентов ака в офисе/за офисом, поэтому я уравнял все сетки в правах mynetworks = 0.0.0.0/0 т.е. все айпишники мои и мне нужно иметь один набор правил а не два. Это превратило бы сервак в открытый релей но smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination включает требование авторизоваться для всех без разбора включая mynetworks а чтобы работала доставка внешней почты извне в мой домен я добавил smtpd_sasl_local_domain = $myhostname
Все желающие могут убедится в закрытости релея — ни один из известных тестов на открытый релей не проходит.
alxlabs
Проверь свою почту
[quote="Anatoly":13sfr54u][quote="SilentSoul":13sfr54u][code:13sfr54u]mynetworks = 0.0.0.0/0 [/code:13sfr54u]
и не стремна? скоро твой smtp server будет весь мир использовать в качестве релея[/quote:13sfr54u]
Какой релей, если там SMTP-authentication требуется?[/quote:13sfr54u]
Я не заметил эту строку
[code:13sfr54u]smtpd_recipient_restrictions = permit_sasl_authenticated[/code:13sfr54u]
но localdomain to localdomain нет никаких проверок, спамеры частенько используют эту уязвимость
[quote="SilentSoul":j26tj227][quote="Anatoly":j26tj227][quote="SilentSoul":j26tj227][code:j26tj227]mynetworks = 0.0.0.0/0 [/code:j26tj227]
и не стремна? скоро твой smtp server будет весь мир использовать в качестве релея[/quote:j26tj227]
Какой релей, если там SMTP-authentication требуется?[/quote:j26tj227]
Я не заметил эту строку
[code:j26tj227]smtpd_recipient_restrictions = permit_sasl_authenticated[/code:j26tj227]
но localdomain to localdomain нет никаких проверок, спамеры частенько используют эту уязвимость[/quote:j26tj227]а это не спасет. Все, что идет в localdomain и так доставляется в localdomain — это моя входящая почта, дальше дело только спам фильтров на предмет того, что с этим делать. Т.е. спаммеры могут просто доставить мне почту что из mydomain что из просто извне и не нужно извращаться. Дальше дело только за спам-фильтрами и всякими RBL etc…
Где-то в параллельной вселенной:
Директор банка “ Рога и Копыта ”, Anatoly утвердил — подтверждения выдача кредитов будет осуществляется им электронным письмом; а сотрудник отдела кредитования Elefant знает что почтовый сервер господина Alxlabs настроен так что отправка писем от пользователей локального домена к пользователям того же локального домена не требует авторизации, что конечно же позволяет отправить электронное письмо от имени чужого пользователя; но в один прекрасный день сотрудник банка Elefant исчез и как стало известно позже тот же сотрудник успел повыдовать кредитов (якобы подтвержденные Anatoly-ием ) на огромную сумму денег за очень короткий срок; на данный момент директор банка уверен что системный администратор Alxlabs был в сговоре с товарищем Elefant-ом и пытается призвать его к уголовной ответственности, а сам товарищ Elefant отдыхает на Карибах в окружении милых дам.
Мораль:
Включить так же авторизацию пользователям локального домена при отправке писем пользователям локального домена
[quote="SilentSoul":1mm9sjn4]Где-то в параллельной вселенной:
Директор банка “ Рога и Копыта ”, Anatoly утвердил — подтверждения выдача кредитов будет осуществляется им электронным письмом; а сотрудник отдела кредитования Elefant знает что почтовый сервер господина Alxlabs настроен так что отправка писем от пользователей локального домена к пользователям того же локального домена не требует авторизации, что конечно же позволяет отправить электронное письмо от имени чужого пользователя; …..
[/quote:1mm9sjn4]
Письмо по-любому можно отправить в любой домен под любым именем и с любым ответным емейл адресом. Если это письмо и срежется где-то, то это будет спам фильтр. То, что вы описали это ни что иное как доставка письма извне. Все, что вы сделали это с внешнего для меня айпи адреса постучались в мой 25 порт и сказали что есть писмо для меня. Это и есть механизм доставки почты. Если его запретить, то почта работать перестанет вообще
[quote="SilentSoul":4lxziliq]Правильно, потому я и написал включить авторизацию отправки писем от пользователей локального домена к пользователям локального домена – и это возможно только к сожалению я работал пару раз с постфиксом и то были совсем другие задачи, на базе EXIM это все решается[/quote:4lxziliq]
100% избавление от спама.
Никакой доставки в локальный домен без пароля?! Т.е. почта работать не должна
[quote="alxlabs":3mc2bodi][quote="SilentSoul":3mc2bodi]Правильно, потому я и написал включить авторизацию отправки писем от пользователей локального домена к пользователям локального домена – и это возможно только к сожалению я работал пару раз с постфиксом и то были совсем другие задачи, на базе EXIM это все решается[/quote:3mc2bodi]
100% избавление от спама.[/quote:3mc2bodi]
Никакой доставки в локальный домен без пароля?! Т.е. почта работать не должна
смотри на примере ниже как у меня режется ( предположем домен xxxx.com и обслуживает его почтовый сервер mail.xxxx.com )
[code:3mc2bodi][xxx@xxx ~]# telnet mail.xxxx.com 25
Trying xxx.xxx.xxx.xxx...
Connected to mail.xxxx.com (xxx.xxx.xxx.xxx).
Escape character is ‘^]’.
220 mail.xxxx.com
helo
501 Syntactically invalid HELO argument(s)
ehlo mail.xxxx.com
250-mail.xxxx.com Hello mail.xxxx.com [xxx.xxx.xxx.xxx]
250-SIZE 41943040
250-PIPELINING
250-AUTH PLAIN LOGIN CRAM-MD5
250-STARTTLS
250 HELP
mail from:postmaster@xxxx.com
250 OK
rcpt to:root@xxxx.com
550 "Authentication need."[/code:3mc2bodi]
это правило применяется только локальным доменом который держит данный сервак
А не из локального домена авторизации не требуется?
[quote="alxlabs":no1s7v4t]А не из локального домена авторизации не требуется?[/quote:no1s7v4t]
Правильно, не из локального домена авторизация не проводится, правда у меня прикручена куча других опции как проверка отправляющего smtp сервера в RBL, регулярные выражения, spf (хотя толку с него такой как и козе нужен баян ) и конечно же spamassassin (хотя в последнее время заметил что если очень грамотно настроить правила в EXIM можно обойтись и без spamassassin )
Кстати тебе должно быть интересно новая версия Zimbra вышла, она на сколько я помню использует Postfix как smtp, я думаю если у меня появится больше времени то взгляну на это чудо от VMware
Rbl это само собой, но можно попробовать инфорснуть авторизацию при отправке локальных писем.