Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Почтовый сервер postfix документация и FAQ

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Открыть новую тему     Написать ответ в эту тему

bva



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Почтовый сервер Postfix


Postfix - почтовый сервер (MTA - mail transfer agent). Postfix является свободным программным обеспечением.
Postfix создавался как альтернатива Sendmail. Считается, что Postfix быстрее работает, легче в администрировании, более защищён и, что важно, совместим с Sendmail.
Postfix отличается продуманной модульной архитектурой, которая позволяет создать очень надёжную и быструю почтовую систему. Так, например, привилегии root требуются только для открытия порта (TCP 25 порт), а демоны, которые выполняют основную работу, могут работать непривилегированным пользователем в изолированном (chroot) окружении, что очень положительно сказывается на безопасности.
Архитектура Postfix выполнена в стиле UNIX - где простые программы выполняют минимальный набор функций, но выполняют их быстро и надежно. При простое почтовой системы ненужные демоны могут прекращать свою работу, высвобождая тем самым память, а при необходимости снова запускаются master-демоном.
Также стоит отметить более простую и понятную конфигурацию по сравнению с Sendmail и меньшую ресурсоёмкость, особенно во время простоя почтовой системы.
Совместим с AIX, BSD, HP-UX, IRIX, GNU/Linux, Mac OS X, Solaris, Tru64 UNIX, фактически может быть собран на любой Unix-подобной операционной системе, поддерживающей POSIX и имеющей компилятор C. Является службой пересылки почты по умолчанию в ОС NetBSD.

http://www.kalinin.ru/programming/abstract/08_02_03.shtml - Postfix изнутри  (принципы работы)
http://www.opennet.ru/base/net/postfix_tls.txt.html - Настройка postfix с возможностью шифрования и защиты от вирусов и спама
Отдельно обсуждается: Антиспамерский фильтр для Postfix'а | Postfix + TLS | Как правильно настроить квоту в Postfix | Postfix: Компиляция и настройка
Также посмотрите фильтр по PostFix
А также полезные ссылки: HOWTO postfix+AVP(via avcheck)+cyrus under FreeBSD
Сайт с оооочень полезным патчем для postfix-а. Патч позволяет настроить в postfix квоту для виртуальных почтовых ящиков. Все очень легко патчится и очень легко настраивается.
Всего записей: 44 | Зарегистр. 12-04-2002 | Отправлено: 12:41 19-07-2002 | Исправлено: shrmn, 20:08 14-02-2023
Sadok

Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:
присосаться

тебе  к документации присосаться надо. "как резолвятся хосты у ping  в зависимости от ОС", для начала
Всего записей: 1358 | Зарегистр. 04-01-2003 | Отправлено: 14:07 22-04-2025
toadmr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Связался с поддержкой хостинга, они ответили что это обратный DNS.
Кто-то создал у себя обратную зону и указатель на мой IP-адрес.
Как лучше бороться с подобными действиями?
Всего записей: 67 | Зарегистр. 12-04-2023 | Отправлено: 14:17 22-04-2025
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
toadmr

Цитата:
Как лучше бороться с подобными действиями?
 

с чем? вы зачем то напинговали (не знаете о nslookup, dig?)
зачем то скрываете домен, поэтому мешанина из информации, что привели.
если к вам попадают странные сообщения то, в первую очередь, нужно понять что и куда попадает, а потом уже решать что с этим делать.
 
обратный DNS (ptr запись) может указать только владелец диапазона IP адресов, то есть хостер.
и так как вы пользуетесь VPS, то тут все нормально и проблема вообще не в этом.
Всего записей: 16392 | Зарегистр. 20-09-2014 | Отправлено: 19:28 22-04-2025 | Исправлено: Mavrikii, 19:36 22-04-2025
toadmr

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii
Это не VPS, это сервер внутри моей сети, на который идет проброс 25 порта с микрота.
Там где хостится мой домен, в DNS записях лишнего нет, но тем не менее, каким-то макаром, при проверке DNS имени через PING выдается мой IP-шник, поддержка хостинга говорит что кто-то создал обратную зону прилинковал ее к имени моего релея.
Как-то так:
4.3.2.1.in-addr.arpa domain name pointer mx1.mydomain.ru
 
Добавлено:
В целом, я понял в чем дело.
У меня в панели хостинга была запись wildcard, вероятно этим и воспользовались
Всего записей: 67 | Зарегистр. 12-04-2023 | Отправлено: 10:03 23-04-2025
NoISeRR

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Странность с Exchange 2010 (windows server 2008 r2) и 2мя разными postfix (столкнулся у друзей)
поднял им новый (второй) почтовик для еще одного внешнего домена на свежем роки и тп и стлокнулся с хренью
 
1й postfix прекрасно форвардит сообщения на exchange
со стороны exchange TLS protocol SP_PROT_TLS1_2_SERVER negotiation succeeded using bulk encryption algorithm CALG_AES_256 with strength 256 bits, MAC hash algorithm CALG_SHA_384 with strength 384 bits and key exchange algorithm CALG_ECDHE with strength 256 bits
 
2й postfix - Cannot start TLS: handshake failure
со стороны exchange TLS negotiation failed with error AlgorithmMismatch
 
1й postfix
Centos 7.
postfix version: 2.10.1
openssl version: OpenSSL 1.0.2k-fips  26 Jan 2017
 
2й postfix
Rocky 9.
postfix version: 3.5.25
openssl version: OpenSSL 3.2.2 4 Jun 2024 (Library: OpenSSL 3.2.2 4 Jun 2024)
 
с инетом и между собой - вообще никаких проблем нет
у каждого постфикса 2 интерфейса - один смотрит наружу - прикрыт firewalld + fail2ban, второй внутрь (там отдельный влан, в который 2м интерфейсом смотрить виртуалка exchange)
 
я так понял на 2м не хватает алгоритмов/чего-то еще
нет поддержки tls1.2? Как ее включить/добавить?
менять exchange и тп смысла нет
 
но чего? весь мозг уже сломал
 
 
Всего записей: 675 | Зарегистр. 11-08-2009 | Отправлено: 16:51 12-05-2025 | Исправлено: NoISeRR, 17:51 12-05-2025
Mavrikii

Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
NoISeRR

Цитата:
я так понял на 2м не хватает алгоритмов/чего-то еще
нет поддержки tls1.2? Как ее включить/добавить?

https://www.postfix.org/postconf.5.html#smtp_tls_mandatory_protocols
https://www.postfix.org/postconf.5.html#smtp_tls_protocols
Всего записей: 16392 | Зарегистр. 20-09-2014 | Отправлено: 21:25 12-05-2025 | Исправлено: Mavrikii, 21:31 12-05-2025
NoISeRR

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Mavrikii
Это все конечно хорошо, все читал
Но не догоняю
С 2й веткой постфикса проблем ваще нет, а с 3й впервые столкнулся
 
smtp_tls_mandatory_protocols - оно же  только для клиента указывает, какая макс и мин версия tls
А тут постфикс форвардит письма на эксчейндж
Можно вообще tls для этого отключить на внутр интерфейсе (master.cf, все разбиндено по интерфейсам)
На коннекторе эксчейнджа tls вообще по желанию
 
 
 
Добавлено:
Меня вот что озадачило
 
1й постфикс - проверка openssl'ем (сам сертификат убрал из текста)
Centos 7.
postfix version: 2.10.1
openssl version: OpenSSL 1.0.2k-fips  26 Jan 2017
 

Код:
 
 
[root@mail ~]# openssl s_client -connect mail.domain.local:25 -starttls smtp
CONNECTED(00000003)
depth=0 DC = serv-exx01, DC = domain, DC = local, CN = serv-exx01.domain.local
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 DC = serv-exx01, DC = domain, DC = local, CN = serv-exx01.domain.local
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/DC=serv-exx01/DC=domain/DC=local/CN=serv-exx01.domain.local
   i:/DC=serv-exx01/DC=domain/DC=local/CN=serv-exx01.domain.local
---
Server certificate
-----BEGIN CERTIFICATE-----
БЛАБЛАБЛАБЛА
-----END CERTIFICATE-----
subject=/DC=serv-exx01/DC=domain/DC=local/CN=serv-exx01.domain.local
issuer=/DC=serv-exx01/DC=domain/DC=local/CN=serv-exx01.domain.local
---
No client certificate CA names sent
Peer signing digest: SHA1
Server Temp Key: ECDH, P-256, 256 bits
---
SSL handshake has read 2017 bytes and written 506 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-SHA384
    Session-ID: 721A0000B6AB7B9E080B45B6CEA983AD317EADEA6DB3CA1CBCC6F68E82437E44
    Session-ID-ctx:
    Master-Key: F1EF7264EA902F531CB1E5F57D1EEC6367C7F0B2413AB45443E4D59A97BF6FA3                                           8E9620EFA40B8C0B63E3F56D76C401D8
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1747056170
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---
250 CHUNKING
 
 

 

Rocky 9.
postfix version: 3.5.25
openssl version: OpenSSL 3.2.2 4 Jun 2024 (Library: OpenSSL 3.2.2 4 Jun 2024)
 

Код:
 
 
[root@mail ~]# openssl s_client -connect mail.domain.local:25 -starttls smtp
Connecting to 192.168.10.8
CONNECTED(00000003)
003E294B377F0000:error:0A000126:SSL routines::unexpected eof while reading:ssl/record/rec_layer_s3.c:689:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 314 bytes and written 367 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
This TLS version forbids renegotiation.
Compression: NONE
Expansion: NONE
No ALPN negotiated
Early data was not sent
Verify return code: 0 (ok)
---
 
 

 
Всего записей: 675 | Зарегистр. 11-08-2009 | Отправлено: 08:26 13-05-2025 | Исправлено: NoISeRR, 08:32 13-05-2025
NoISeRR

Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вобщем упустил из виду что начиная с RHEL 8 юзаются политики
Постфикс тут не причем вообще
Решилось просто
update-crypto-policies --set LEGACY
потом изучил и собрал свою политику и применил
и все заработало
Всего записей: 675 | Зарегистр. 11-08-2009 | Отправлено: 18:16 13-05-2025 | Исправлено: NoISeRR, 18:16 13-05-2025
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Почтовый сервер postfix документация и FAQ


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru