Postfix/Dovecot/Let'sEncrypt - Gmail/E メール クライアントで、サーバーからのメールが適切に暗号化されていない (赤い鍵) と表示される

Postfix/Dovecot/Let'sEncrypt - Gmail/E メール クライアントで、サーバーからのメールが適切に暗号化されていない (赤い鍵) と表示される

私はメール サーバーの構成の専門家ではなく、メールを問題なくうまく機能させるために必要なすべての作業 (主にメール配信で機能するように DNS レコードを構成する) に精通しているわけではありません。そのため、仕組みや、一般的なガイドラインに従ってすべてを構成するために必要な手順、または構成のどこが間違っているかに関する情報を説明する優れたビデオへのリンクをいくつかいただければ幸いです。さまざまなことを試しましたが、問題を解決できませんでした。

私は Ubuntu 17.04 を実行する独自の Linux サーバーを所有しており、会社の電子メール用に postfix と dovecot を設定しています。

問題は、Gmailアカウントにメールを送信するたびに、情報に赤いアイコン(http://puu.sh/x8ses/9c1a5fef89.png) と表示され、「bisart.eu はこのメッセージを暗号化しませんでした」と表示されます。

オリジナルメッセージ:

Delivered-To: [email protected]
Received: by 10.12.169.5 with SMTP id y5csp2584881qva;
        Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
X-Received: by 10.223.151.212 with SMTP id t20mr12538728wrb.233.1502568434417;
        Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1502568434; cv=none;
        d=google.com; s=arc-20160816;
        b=izg+I4FrioYQ9iZXkCeJMpZwi8bNCUbQjzsQgGKxLXdaSnp9KcpLNNKhbPKBep5vnG
         JIoPaEX/mh1NiwI8ptQJJERxUT168OldzKgUZ7+EVL545Yk0EWBnRCNtdtSZa0yjr88O
         8fRnGzp93bn5NR/RE22Fvaw13QMvA4xVFc7m6J+BW7pOSmMwB976UoMw6s0jtUCHYkPR
         CxITyX7Wy8G2rR9Px5INQeH+PsKSOQQQAQoMl88Dcy9DOvF6yo8XR/g7tic8jExKO/BT
         Cn49sfI3Eg4S8Rs1DatWwp/lw7EViKwHEhZPVqRkxTXP0z3gKhNPdlFnABvUGdDG3Id4
         Ly+w==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-language:content-transfer-encoding:mime-version:user-agent
         :date:message-id:subject:from:to:arc-authentication-results;
        bh=QgRLF+6w7sye7fqLzlu3qDfNO47+yGPgui7mTGt5S7Y=;
        b=bPF5SMjoQhKivKP4wLWgg9uOkDudgfg/BLWiWycB9kmKxB7Eox9jMrJGSu+1wwHYMw
         HadoG0fdXLRFUj3D+/Ur2pWxIfREALH+zHGMIErkTUAN8H6rXZoQrsdrmAFvXYqKMKdq
         hk3JyUNoIED2whYzcb1lbS8ANks7hYSXwf0gTKUuzrAoCrRPoIcwWmyXMZEhZeNKhQBW
         cGmwbCnwijOSk8iAB/aX/C6cyE4OZ+K9uXbTzbwpL9u/rF83FC54JlTOSd0jpQ3MFv6Y
         sCduxKIhz9doud9ebsuB5WqKXXy7m2DlpWbzRsCozbbiKsnT0zZ0+a2UukTu+IZ87mYW
         HZ7g==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from mail.moowdesign.eu (moowdesign.bisart.eu. [185.160.111.248])
        by mx.google.com with ESMTP id k16si2937045wrk.226.2017.08.12.13.07.13
        for <[email protected]>;
        Sat, 12 Aug 2017 13:07:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) client-ip=185.160.111.248;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Received: from [192.168.1.69] (unknown [84.245.121.111]) by mail.moowdesign.eu (Postfix) with ESMTPSA id 19378121987 for <[email protected]>; Sat, 12 Aug 2017 22:07:12 +0200 (CEST)
To: [email protected]
From: Dominik Dancs <[email protected]>
Subject: dsadas
Message-ID: <[email protected]>
Date: Sat, 12 Aug 2017 22:07:10 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.2.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US

問題は、同じホストと同じメールサーバーを指す複数のドメインがありますが使用されており (moowdesign.eu、moow.info、fenixportal.eu など)、それらすべてに SSL 電子メール暗号化が必要です。

各ドメインは IP を指し、mail.domain.tld は MX DNS レコードとして設定されます (これもサーバー IP を指します)。

ポートが転送されているため、すべてのメール トラフィックがサーバーに渡されます。

私はLet'sEncryptのacme.sh(https://github.com/Neilpang/acme.sh) クライアントを使用して、1 つの証明書ですべてのドメインのワイルドカード証明書を作成し、それを dovecot および postfix で使用します。

問題:

そこで、Gmailクライアントはメールに署名を求めます。「bisart.eu」ただし、そのドメインは私のサーバーとは何の関係もありません。ただし、moowdesign.bisart.eu は私のサーバーを指しており、逆の記録があります。ただし、そのドメイン/サーバーを使用して証明書に署名することはできません。

どうすればいいでしょうか? このままにしておくのは最善ではないことはわかっています。赤いアイコンを見ると、詐欺メールか何かだと思われ、すべてのメールがスパムメールに直行してしまう可能性が高いからです。何らかの解決策があることを願っています。

また、すべてのドメインの DNS レコードはそれぞれ次のとおりです。

               3600 IN MX  10 mail
@              3600 IN A   185.160.111.248
moow.info.     3600 IN TXT "v=spf1 mx a ptr ip4:185.160.111.248/32 a:mail.moow.info a:moowdesign.bisart.eu ~all"
mail           3600 IN A   185.160.111.248

私の main.cf (Postfix 設定ファイル)

compatibility_level = 2
debug_peer_level = 2

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
#daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix

mail_owner = postfix

default_privs = nobody

myhostname = mail.moowdesign.eu
mydomain = moowdesign.eu
myorigin = $mydomain
mydestination = localhost

append_dot_mydomain = no

unknown_local_recipient_reject_code = 550

mynetworks_style = host

relay_domains = *

alias_maps = hash:/etc/aliases

debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq

setgid_group = vmail

inet_protocols = ipv4
inet_interfaces = all

meta_directory = /etc/postfix
shlib_directory = /usr/lib/postfix
html_directory = /usr/doc/postfix-3.1.2/html
manpage_directory = /usr/man
sample_directory = /etc/postfix
readme_directory = no

smtpd_tls_cert_file = /etc/dovecot/letsencrypt.crt
smtpd_tls_CAfile = /etc/dovecot/letsencrypt.chain
smtpd_tls_key_file = /etc/dovecot/letsencrypt.key
#smtpd_tls_cert_file = /etc/dovecot/private/mail.crt
#smtpd_tls_key_file = /etc/dovecot/private/mail.key

smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unauth_destination,
        reject_unknown_reverse_client_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_invalid_hostname,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client barracudacentral.org

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains_maps.cf
virtual_alias_maps =
   mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
   mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf,
   mysql:/etc/postfix/mysql/virtual_alias_domain_catchall_maps.cf
virtual_mailbox_maps =
   mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf,
   mysql:/etc/postfix/mysql/virtual_alias_domain_mailbox_maps.cf

virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp
alias_database = hash:/etc/aliases

電子メール送信のログ:

Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: warning: hostname 84-245-121-111.dynamic.swanmobile.sk does not resolve to address 84.245.121.111: Name or service not known
Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: connect from unknown[84.245.121.111]
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: 472971201BC: client=unknown[84.245.121.111], sasl_method=PLAIN, [email protected]
Aug 13 13:03:27 production postfix/cleanup[8772]: 472971201BC: message-id=<[email protected]>
Aug 13 13:03:27 production postfix/qmgr[29192]: 472971201BC: from=<[email protected]>, size=627, nrcpt=1 (queue active)
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: disconnect from unknown[84.245.121.111] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Aug 13 13:03:29 production postfix/smtp[8775]: 472971201BC: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[64.233.167.27]:25, delay=1.9, delays=0.17/0/0.87/0.89, dsn=2.0.0, status=sent (250 2.0.0 OK 1502622209 y42si3780413wrd.170 - gsmtp)
Aug 13 13:03:29 production postfix/qmgr[29192]: 472971201BC: removed

この問題を解決するために、他に情報を提供する必要のあることはありますか?

私は試した:

  • bisart.eu サーバーで自己署名証明書を作成し、それを dovecot と postfix を備えたサーバーで使用しました (役に立たず、引き続き「bisart.eu はこのメッセージを暗号化しませんでした」と表示されます)
  • サーバー上で自己署名証明書を作成する(役に立たなかった)
  • postfix 設定の main.cf の myhostname と mydomain プロパティを変更する
  • DNSにspfレコードを追加する

よろしくお願いします。

答え1

送信トラフィックの暗号化は、上記のいずれともあまり関係がありません。

いつ送信メールの場合、Postfixは接続しますGmail(ポート転送やMXレコードは関係ありません)はTLSクライアント(つまりウェブブラウザのようなものであり、ウェブサーバーではありません)のように動作します。できる独自の証明書を提供しますが、提供する必要はありません。

smtpd_tls_*さらに、Postfix には、サーバー モードとクライアント モードでsmtp_tls_*それぞれ と の TLS の個別の設定があります。両者を混同しないでください。

次の設定が有効になっていることを確認してください:

smtp_tls_security_level = may
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1

smtp_tls_CAfileお使いの OS に合わせて調整してください。smtp_tls_loglevel設定は必須ではありませんが、ログを読むときに役立ちます。

設定はsmtp_tls_cert_file必須smtp_tls_key_fileではありません (多くのメール サーバーはクライアント証明書を無視するか、ログ記録の目的でのみ使用します)。

関連情報