NotaSi bien todo lo que aparece a continuación puede ser educativo, resulta que todo mi problema no fue con postfix, sino con mi ISP. De hecho, cambié de ISP en el momento en cuestión, y el nuevo intercepta y reescribe el tráfico SMTP no cifrado de una manera que rompe explícitamente STARTTLS. Solucioné el problema configurando una conexión solo TLS en el puerto 465.
STARTTLS estuvo trabajando con mi sistema hoy. Sin que yo alterara el sistema de ninguna manera, se rompió espontáneamente. Llevo un par de horas intentando solucionarlo sin éxito.
Cuando me conecto al servidor, esto es lo que obtengo:
savanni@Orolo:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.sasavanni@Orolo:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.savannidgerinel.com.
Escape character is '^]'.
220 ***********************************************
ehlo dude
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-XXXXXXXA
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
^]close
telnet> close
Connection closed.
Bien, obviamente STARTTLS no está presente en esta lista. Así que he estado investigando mis archivos de configuración y trabajando en los tutoriales nuevamente, y eso no me ha servido de nada. Aquí está mi configuración relacionada con tls:
smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtpd_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtpd_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_random_source = dev:/dev/urandom
Todos los archivos de certificado están presentes, la clave privada del servidor está presente, la CA del servidor está presente y los archivos smtpd_scache.db y smtp_scache.db están presentes. Todos son accesibles para el usuario de postfix. Hablando de eso, aquí están los procesos en ejecución:
savanni@apps:/var/lib/postfix$ ps aux | grep postfix
root 3525 0.0 0.1 25112 1680 ? Ss 20:19 0:00 /usr/lib/postfix/master
postfix 3526 0.0 0.1 27176 1524 ? S 20:19 0:00 pickup -l -t fifo -u -c -o content_filter= -o receive_override_options=no_header_body_checks
postfix 3527 0.0 0.1 27228 1552 ? S 20:19 0:00 qmgr -l -t fifo -u
postfix 3528 0.0 0.4 46948 4144 ? S 20:19 0:00 smtpd -n smtp -t inet -u -c -o stress= -s 2
postfix 3529 0.0 0.1 27176 1628 ? S 20:19 0:00 proxymap -t unix -u
postfix 3530 0.0 0.3 38212 3176 ? S 20:19 0:00 tlsmgr -l -t unix -u -c
postfix 3531 0.0 0.1 27176 1516 ? S 20:19 0:00 anvil -l -t unix -u -c
postfix 3535 0.0 0.1 27188 1544 ? S 20:20 0:00 trivial-rewrite -n rewrite -t unix -u -c
Los archivos de registro no dicen absolutamente nada relacionado con TLS excepto esto:
Nov 6 02:19:45 apps postfix/master[3525]: daemon started -- version 2.9.6, configuration /etc/postfix
Nov 6 02:19:49 apps postfix/smtpd[3528]: initializing the server-side TLS engine
Nov 6 02:19:49 apps postfix/tlsmgr[3530]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Nov 6 02:19:49 apps postfix/tlsmgr[3530]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Nov 6 02:19:49 apps postfix/smtpd[3528]: connect from unknown[204.16.68.108]
Ni syslog ni mail.err muestran ningún indicio de problema. En lo que respecta a todo el sistema, todo está bien. Pero no hay STARTTLS y de repente no puedo enviarcualquiercorreo electrónico en absoluto.
¿¿¿Ayuda???
Respuesta1
desde principal.cf
Para más registros tls:
smtp_tls_note_starttls_offer = yes
comentar o eliminar:
smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
"No configure certificados de cliente a menos que deba presentar certificados TLS de cliente a uno o más servidores. Los certificados de cliente generalmente no son necesarios y pueden causar problemas en configuraciones que funcionan bien sin ellos. La configuración recomendada es dejar los valores predeterminados".
Vuelva a cargar la configuración o reinicie postfix.
Probé tu servidor:
EHLO apps.savannidgerinel.com
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY 250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
Sí ofrece 250-STARTTLS
. Entonces algo está interceptando su tráfico en el puerto 25 como un proxy. Puede ser cualquier tipo de firewall o enrutador avanzado, con una funcionalidad tan extendida a través de la cual se conecta su computadora local. Si no tiene un firewall o un enrutador avanzado, lo más probable es que su ISP tenga una política antispam para evitar que el spam se origine en sus rangos de IP. En el peor de los casos, ¿alguien está haciendo algo?hombre en el medio ataque.