înregistrare Logare
Puncte:1
Ashley avatar Server

Postfix primește „TLS este necesar, dar nu a fost oferit de gazdă”

drapel jp
Ashley

Am căutat în fiecare forum, fiecare articol, fiecare postare serverfault.com pentru această problemă. Folosesc o nouă configurare a Postfix. Este gestionat de Virtualmin. Ori de câte ori încerc să trimit e-mail prin TLS, primesc eroarea (informații identificabile eliminate):

7 septembrie 21:58:37 mail postfix/smtp[220916]: inițializarea motorului TLS de la parte client
7 septembrie 21:58:37 e-mail postfix/tlsmgr[220917]: deschideți cache TLS smtpd btree:/var/lib/postfix/smtpd_scache
7 septembrie 21:58:38 mail postfix/tlsmgr[220917]: deschideți cache-ul smtp TLS btree:/var/lib/postfix/smtp_scache
7 septembrie 21:58:38 e-mail postfix/tlsmgr[220917]: tlsmgr_cache_run_event: începe curățarea cache a sesiunii TLS smtpd
7 septembrie 21:58:38 e-mail postfix/tlsmgr[220917]: tlsmgr_cache_run_event: începe curățarea cache-ului sesiunii TLS smtp
7 septembrie 21:58:38 mail postfix/smtp[220918]: inițializarea motorului TLS de la parte client
7 septembrie 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS este necesar, dar nu a fost oferit de gazda gmail-smtp-in.l.google.com[173.194.219.27]
7 septembrie 21:58:38 mail postfix/smtp[220916]: E9C5637920: to=<[email protected]>, relay=ts11-do.checktls.com[165.227.190.238]:25,8,delay întârzieri=3768/0.67/0.11/0, dsn=4.7.4, status=amânat (TLS este necesar, dar nu a fost oferit de gazda ts11-do.checktls.com[165.227.190.238])
7 septembrie 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS este necesar, dar nu a fost oferit de gazda alt1.gmail-smtp-in.l.google.com[172.217.197.27]
7 septembrie 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS este necesar, dar nu a fost oferit de gazda alt2.gmail-smtp-in.l.google.com[108.177.12.27]
7 septembrie 21:58:39 e-mail postfix/smtp[220918]: 536A837552: TLS este necesar, dar nu a fost oferit de gazda alt3.gmail-smtp-in.l.google.com[64.233.186.27]
7 septembrie 21:58:39 e-mail postfix/smtp[220918]: 536A837552: to=<[email protected]>, relay=alt4.gmail-smtp-in.l.google.com[209.85.202.27]:25, delay=3819, delays=3817/0.67/1.2/0, dsn=4.7.4, status=deferred (TLS este necesar, dar nu a fost oferit de gazda alt4.gmail-smtp-in.l.google.com[209.85. 202.27])
7 septembrie 22:00:01 mail postfix/pickup[220911]: A9D8537D1D: uid=33 from=<www-data>
7 septembrie 22:00:01 e-mail postfix/cleanup[221006]: A9D8537D1D: message-id=<[email protected]>

Folosesc letsencrypt (tras cu Virtualmin) pentru certificatul meu. Plasează certificatele în /home/user/ssl.* Iată principalul meu.cf (domeniul înlocuit cu example.com):

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
allow_percent_hack = nu
append_dot_mydomain = nr
biff = nu
broken_sasl_auth_clients = da
home_mailbox = Maildir/
inet_protocols = ipv4
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
cutie_poștală_size_limit = 0
milter_default_action = accept
domeniul meu = EXAMPLE.com
myhostname = mail.EXAMPLE.com
mynetworks_style = subrețea
non_smtpd_milters = inet:localhost:8891
destinatar_delimiter = +
sender_bcc_maps = hash:/etc/postfix/bcc
sender_dependent_default_transport_maps = hash:/etc/postfix/dependent
smtp_dns_support_level = dnssec
smtp_host_lookup = dns
smtp_tls_ciphers = mare
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_loglevel = 4
smtp_tls_mandatory_ciphers = mare
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_mandatory_protocols = TLSv1.3,TLSv1.2,TLSv1.1,!TLSv1,!SSLv2,!SSLv3
smtp_tls_note_starttls_offer = da
smtp_tls_protocols = TLSv1.3, TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_security_level = criptare
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_milters = inet:localhost:8891
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination check_policy_service inet:127.0.0.1:10023
smtpd_relay_restrictions = ${{$compatibility_level} < {1} ? {} : {permit_mynetworks permit_sasl_authenticated defer_unauth_destination}}
smtpd_sasl_auth_enable = da
smtpd_tls_ask_ccert = da
smtpd_tls_cert_file=/home/EXAMPLE/ssl.cert
smtpd_tls_ciphers = mare
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_key_file=/home/EXAMPLE/ssl.key
smtpd_tls_loglevel = 4
smtpd_tls_mandatory_ciphers = mare
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
smtpd_tls_protocols = TLSv1.3, TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_received_header = da
smtpd_tls_security_level = criptare
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_preempt_cipherlist = da
tls_random_source = dev:/dev/urandom
tls_server_sni_maps = hash:/etc/postfix/sni_map
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = $mydomain

Sunt conștient de faptul că ENCRYPT forțează TLS - utilizarea MAY se întoarce la conexiunea non-TLS, aceasta este pentru testare

Iată stăpânul meu.cf

smtp inet n - n - - smtpd
pickup unix n - n 60 1 pickup
curatare unix n - n - 0 curatare
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - n 1000? 1 tlsmgr
rescrie unix - - n - - trivial-rescriere
bounce unix - - n - 0 bounce
amână unix - - n - 0 săritură
trace unix - - n - 0 săritură
verifica unix - - n - 1 verifica
spălați Unix n - n 1000? 0 culoare
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - n - - smtp
releu unix - - n - - smtp
        -o syslog_name=postfix/$service_name
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - n - - showq
eroare unix - - n - - eroare
reîncercați Unix - - n - - eroare
arunca unix - - n - - arunca
unix local - n n - - local
unix virtual - n n - - virtual
lmtp unix - - n - - lmtp
nicovală unix - - n - 1 nicovală
scache unix - - n - 1 scache
postlog unix-dgram n - n - 1 postlogd

*** Am restabilit configurația la implicită, sperând că va ajuta, dar nicio schimbare.

Când fac telnet în serverul meu, primesc opțiunea pentru starttls:

Încercați 127.0.0.1...
Conectat la 127.0.0.1.
Caracterul de evacuare este „^]”.
220 mail.EXAMPLE.com ESMTP Postfix
EHLO example.com
250-mail.EXAMPLE.com
250-CONDUCERE
250 - DIMENSIUNEA 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-CODURI DE STARE ÎMBUNĂTĂTATE
250-8BITMIME
250-DSN
250 BĂRĂTIRE

Folosesc opnsese pentru firewall-ul meu.Nu cred că blochează TLS cu inspecția SMTP.

Cu setările setate la MAI în loc de CRIPTARE, pot trimite și primi e-mailuri bine. Cu acesta setat la MAI, Google și checktls.com raportează că TLS nu este utilizat.

Toate testele pentru dmarc, spf, etc revin la fel de bune. Acesta este postfix (cel mai recent) care rulează pe serverul Ubuntu 20.

Mediul meu:

  • Server colocat în centrul de date (fără limitări la capătul lor)
  • Proxmox, actualizat din 08.09.21
  • Containerul rulează în LXC, Ubuntu 20
  • Container se află în spatele OPNSense Firewall
  • Testele bazate pe web arată că serverul oferă starttls
  • Rularea telnet de pe server > un alt server arată starttls ca opțiune

Orice ajutor este foarte apreciat, multumesc.

890
0 + 7
anx avatar
drapel fr
anx
Ultimele tale teste de verificare a propriului server arată ciudat, nu întrebi despre *trimiterea* de e-mail? Așadar, ar dori să excludem problemele de rețea prin investigarea unei conexiuni *de la* server *la* MX-ul destinatarului.
0
Răspunde
Ashley avatar
drapel jp
Ashley
Scuze, a fost o noapte lungă. Voi testa Gmail și voi răspunde.
0
Răspunde
Steffen Ullrich avatar
drapel se
Steffen Ullrich
Bănuiesc că există o cutie de mijloc în rețea care elimină STARTTLS de la răspunsul serverului pentru a menține conexiunea la SMTP simplu (fără TLS) și a analiza e-mailurile livrate. Diferite firewall-uri pot face acest lucru. Nu se știe nimic despre mediu, deși ați configurat serverul.
1
Răspunde
Michael Hampton avatar
drapel cz
Michael Hampton
ISP-ul dvs. interceptează traficul SMTP de ieșire. Contactați-i pentru mai multe informații.
0
Răspunde
Ashley avatar
drapel jp
Ashley
Serverul meu este amplasat împreună cu Dacentec. Rulez cea mai recentă versiune de Proxmox, serverul este un container LXC care rulează Ubuntu 20 (actualizat, instalat recent). Serverul Proxmox se află în spatele firewall-ului OPNSense. Totul este la zi. Am verificat setările în opnsense, dar nu văd SMTP interceptând pe firewall-ul meu. ISP-ul meu, Dacentec, nu filtrează niciun trafic despre care sunt la curent (sunt un centru de date). Conectarea de la server la un server offsite prin Telnet oferă starttls. Am verificat opnsese de mai multe ori, nu văd nimic referitor la filtrarea SMTP.
0
Răspunde
drapel fr
Tomek
Ați încercat comanda `openssl s_client` pentru a testa conexiunea la serverele Google? Ceva pe linie: `openssl s_client -connect gmail-smtp-in.l.google.com:25 -starttls smtp`?
1
Răspunde
anx avatar
drapel fr
anx
*Vă rugăm să [editați] întrebarea dvs. pentru a include comanda pe care ați încercat-o și rezultatul acesteia.* Există moduri în care rezultatul ar fi putut conține extensia, dar Postfix a fost corect în a presupune că STARTTLS nu a fost oferit (dar răspunsul ar rămâne același, cineva s-ar încurca cu conexiunea dvs.).
0
Răspunde
Puncte:3
Ashley avatar Server
drapel jp
Ashley

Cu ajutorul tuturor celor aflați în serverfault, am săpat mai adânc în problemă și am descoperit că gazda mea blochează într-adevăr TLS. După ce am vorbit cu gazda mea și mi s-a spus că NU filtrează SMTP, în cele din urmă au recunoscut că filtrează SMTP.

Am rezolvat această problemă instalând un server de retransmisie VPS la o altă gazdă. Serverul meu principal trimite acum e-mail prin releu pe un port non-standard. Cu această configurare, pot trimite e-mailuri securizate fără ca găzduirea mea să le filtreze.

Vă mulțumesc din nou pentru ajutor.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.