Sendmail + STARTTLS

Dan Lukes dan at obluda.cz
Fri Jun 21 18:56:19 CEST 2019


On 21.6.2019 15:01, Peter Rosa wrote:
> Port 587 vyuzivam hlavne ja na posielanie mailov z weboveho servera a z 
> klientov v lokalnej sieti, neviem, ci ho pouziva aj nejaky server z 
> internetu. 

Nemel by. 587 neni o SSL/TLS, ale o "submission". Je to port urceny pro 
koncove uzivatele pres ktery mail vstupuje do prenosoveho retezce. Neni 
to port pro komunikaci mezi MTA.

> Problem je so STARTTLS - z nejakeho dovodu cca 2 % serverov zvonka nie 
> su schopne poslat mojmu serveru nic. Vo /var/log/maillog sa objavi 
> NOQUEUE: connect from XXX [IP.A.D.R.E.S.A] a ziadna sprava neprejde.

Hm ...

A nakolik si jsi jisty, ze ti stroj IP.A.D.R.E.S.A nejakou zpravu vubec 
poslat chtel ? Takovejhle pripadu mam log plnej - jenze podl evseho jde 
v naproste vetrine pripadu o sitove scannery, ktere zkoumaji kde na 25 
bezi SMTP servery (a nasledne pak ten seznam prochazi dalsi tester, 
ktery zjistuje jestli nejaky z nich neni open-relay).

TLS uz na serverech mame, no, nerad bych kecal, pres deset let urcite, a 
workaround s ad-hoc vypinamim STARTTLS jsme za celou dobu potreboval asi 
trikrat ...

Takze rada prvni - ujistit se, ze problem, ktery resis, opravdu existuje.

Pripustme, jako pracovni hypotezu, ze existuje. Pak bych primarne resil 
pricinu - proc se vzdalenemu serveru spojeni nepodari. A 
nejpravdepodobnejsi duvod je, ze mas mnozinu podporovanych 
protokolu/sifer/MAC nastavenou tak, ze se vzdalenym serverem nemate 
spolecny prunik. Coz me ale docela prekvapuje, protoze ja jsem co se 
mnoziny podporovanych veci hodne restriktivni a pritom tenhle problem 
nemam. Mam (v access):

> TLS_Srv_features:.                      Options=+SSL_OP_CIPHER_SERVER_PREFERENCE; CipherList=HIGH:!ADH:!EXPORT56:!aNULL:!DH:!CAMELLIA:!ECDSA:!kECDHe:!SRP:!PSK:!MD5:-kRSA:@STRENGTH;
> TLS_Clt_features:.                      CipherList=HIGH:!ADH:!EXPORT56:!aNULL:!DH:!CAMELLIA:!ECDSA:!kECDHe:!SRP:!PSK:!MD5:-kRSA:@STRENGTH

... takze efektivne pripoustim jen 12 kombinaci - a zjevne to staci. 
Vyjimky mam jen tri:

> Try_TLS:spamfree.cz                     NO
> Try_TLS:virusfree.cz                    NO
> Try_TLS:dell.com                        NO

A ty tam jsou uz strasne dlouhoo, takze je klidne mozne, ze uz nejsou treba.

Takze rada druha - zjistit co tem protistranam opravdu vadi. Pokud ti to 
nereknou jejich spravci v ramci reseni problemu, ze k tobe nemuzou 
protlacit zadny email, pak potrebujes TCPDUMP porizeni na tve strane. 
Kompletni pakety, cela session (nektera z tech, ktere selzou). Jinymi 
slovy, az se ti zase v logu objevi nejaky takovy zdroj, tak zacnes 
komunikaci s nim dumpovat - pokud ma opravdu mail, ktery ti chce 
dorucit, zkusi doruceni za nejakou dobu znovu. Pokud uz se ten stroj 
nikdy neozve, pak ti ve skutecnosti zadny email dorucit nechtel a 
nemusis to resit.


> Chcem to vyriesit nejako vseobecne. Napadlo ma riesenie, ze na porte 25 
> by neponukal STARTTLS nikomu, ponukol by ho iba na 587. Ale neviem, ci:
> A) je to spravne riesenie ?

Neexistuje "spravne reseni". Nemusis TLS jako server nabizet. Prenos pak 
bude probihat nesifrovane, ale pokud ti to nevadi, tak to nevadi.  Muze 
ti to ale snizit reputaci.

> B) ako upravit konfiguraciu sendmailu ?

Zakazat TLS na konkretnim maileru lze pomoci optionu S parametru M= v 
DAEMON_OPTIONS(...).

Takze k tomu co tam uz u M= mas muzes prihodit 'S'

Ja bych ale touhle cestou sel az jako zcel aposledni moznost a primarne 
bych se pokusil vyresit pricinu problemu (po overeni, ze nejaky problem 
skutecne existuje).

Dan


> Vopred dakujem pekne za postrcenie. Prajem prijemny vikend,
> 
> -- 
> 
> Peter Rosa
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l



More information about the Users-l mailing list