나는 메일 서버 구성의 전문가가 아니며 문제 없이 이메일을 작동시키기 위해 수행해야 하는 모든 작업(주로 이메일 전달과 함께 작동하도록 DNS 레코드 구성)에 익숙하지 않습니다. 따라서 작동 방식, 일반적인 지침에 따라 모든 것을 구성하기 위해 진행해야 하는 단계 또는 구성의 문제점에 대한 정보를 설명하는 훌륭한 비디오에 대한 링크를 받게 되어 기쁘게 생각합니다. 내 문제를 해결하는 데 행운이 없었습니다.
저는 Ubuntu 17.04를 실행하는 자체 Linux 서버를 가지고 있고 회사 이메일을 위해 postfix와 dovecot을 설정했습니다.
문제는 Gmail 계정으로 이메일을 보낼 때마다 정보에 빨간색 아이콘(http://puu.sh/x8ses/9c1a5fef89.png) 그리고 "bisart.eu는 이 메시지를 암호화하지 않았습니다"라고 표시됩니다.
원본 메시지:
Delivered-To: [email protected]
Received: by 10.12.169.5 with SMTP id y5csp2584881qva;
Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
X-Received: by 10.223.151.212 with SMTP id t20mr12538728wrb.233.1502568434417;
Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1502568434; cv=none;
d=google.com; s=arc-20160816;
b=izg+I4FrioYQ9iZXkCeJMpZwi8bNCUbQjzsQgGKxLXdaSnp9KcpLNNKhbPKBep5vnG
JIoPaEX/mh1NiwI8ptQJJERxUT168OldzKgUZ7+EVL545Yk0EWBnRCNtdtSZa0yjr88O
8fRnGzp93bn5NR/RE22Fvaw13QMvA4xVFc7m6J+BW7pOSmMwB976UoMw6s0jtUCHYkPR
CxITyX7Wy8G2rR9Px5INQeH+PsKSOQQQAQoMl88Dcy9DOvF6yo8XR/g7tic8jExKO/BT
Cn49sfI3Eg4S8Rs1DatWwp/lw7EViKwHEhZPVqRkxTXP0z3gKhNPdlFnABvUGdDG3Id4
Ly+w==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-language:content-transfer-encoding:mime-version:user-agent
:date:message-id:subject:from:to:arc-authentication-results;
bh=QgRLF+6w7sye7fqLzlu3qDfNO47+yGPgui7mTGt5S7Y=;
b=bPF5SMjoQhKivKP4wLWgg9uOkDudgfg/BLWiWycB9kmKxB7Eox9jMrJGSu+1wwHYMw
HadoG0fdXLRFUj3D+/Ur2pWxIfREALH+zHGMIErkTUAN8H6rXZoQrsdrmAFvXYqKMKdq
hk3JyUNoIED2whYzcb1lbS8ANks7hYSXwf0gTKUuzrAoCrRPoIcwWmyXMZEhZeNKhQBW
cGmwbCnwijOSk8iAB/aX/C6cyE4OZ+K9uXbTzbwpL9u/rF83FC54JlTOSd0jpQ3MFv6Y
sCduxKIhz9doud9ebsuB5WqKXXy7m2DlpWbzRsCozbbiKsnT0zZ0+a2UukTu+IZ87mYW
HZ7g==
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from mail.moowdesign.eu (moowdesign.bisart.eu. [185.160.111.248])
by mx.google.com with ESMTP id k16si2937045wrk.226.2017.08.12.13.07.13
for <[email protected]>;
Sat, 12 Aug 2017 13:07:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) client-ip=185.160.111.248;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Received: from [192.168.1.69] (unknown [84.245.121.111]) by mail.moowdesign.eu (Postfix) with ESMTPSA id 19378121987 for <[email protected]>; Sat, 12 Aug 2017 22:07:12 +0200 (CEST)
To: [email protected]
From: Dominik Dancs <[email protected]>
Subject: dsadas
Message-ID: <[email protected]>
Date: Sat, 12 Aug 2017 22:07:10 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.2.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US
문제는 그게동일한 호스트와 동일한 메일 서버를 가리키는 여러 도메인이 있습니다.(moowdesign.eu, moow.info, fenixportal.eu 등)이 사용되며 SSL 이메일 암호화를 위해서는 모두 필요합니다.
각 도메인은 IP를 가리키며 mail.domain.tld는 MX DNS 레코드(서버 IP도 가리킴)로 설정됩니다.
내 포트가 전달되므로 모든 메일 트래픽이 서버로 전달될 수 있습니다.
저는 Let'sEncrypt의 acme.sh를 사용합니다(https://github.com/Neilpang/acme.sh) 클라이언트를 사용하여 하나의 인증서에 모든 도메인에 대한 와일드카드 인증서를 생성한 다음 이를 dovecot 및 postfix에서 사용합니다.
문제:
따라서 Gmail 클라이언트는 이메일에 서명할 것을 요청합니다."bisart.eu", 하지만 해당 도메인은 내 서버와 관련이 없습니다.단, moowdesign.bisart.eu가 내 서버를 가리키고 그에 대한 역기록이 있다는 점만 제외하면 됩니다.. 해당 도메인/서버를 사용하여 인증서에 서명할 수 없습니다.
어떻게 해야 하나요? 사람들이 빨간색 아이콘을 보고 그것이 사기 이메일이라고 생각하고 모든 이메일이 곧바로 스팸으로 갈 가능성이 높기 때문에 이대로 두는 것이 가장 좋지 않다는 것을 알고 있습니다. 어떤 종류의 해결책이 있기를 바랍니다.
또한 모든 도메인에 대한 내 DNS 레코드는 각각 다음과 같습니다.
3600 IN MX 10 mail
@ 3600 IN A 185.160.111.248
moow.info. 3600 IN TXT "v=spf1 mx a ptr ip4:185.160.111.248/32 a:mail.moow.info a:moowdesign.bisart.eu ~all"
mail 3600 IN A 185.160.111.248
내 main.cf(Postfix 구성 파일)
compatibility_level = 2
debug_peer_level = 2
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
#daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
default_privs = nobody
myhostname = mail.moowdesign.eu
mydomain = moowdesign.eu
myorigin = $mydomain
mydestination = localhost
append_dot_mydomain = no
unknown_local_recipient_reject_code = 550
mynetworks_style = host
relay_domains = *
alias_maps = hash:/etc/aliases
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = vmail
inet_protocols = ipv4
inet_interfaces = all
meta_directory = /etc/postfix
shlib_directory = /usr/lib/postfix
html_directory = /usr/doc/postfix-3.1.2/html
manpage_directory = /usr/man
sample_directory = /etc/postfix
readme_directory = no
smtpd_tls_cert_file = /etc/dovecot/letsencrypt.crt
smtpd_tls_CAfile = /etc/dovecot/letsencrypt.chain
smtpd_tls_key_file = /etc/dovecot/letsencrypt.key
#smtpd_tls_cert_file = /etc/dovecot/private/mail.crt
#smtpd_tls_key_file = /etc/dovecot/private/mail.key
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_unknown_reverse_client_hostname,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_invalid_hostname,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client barracudacentral.org
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains_maps.cf
virtual_alias_maps =
mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_catchall_maps.cf
virtual_mailbox_maps =
mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_mailbox_maps.cf
virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp
alias_database = hash:/etc/aliases
이메일 전송 로그:
Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: warning: hostname 84-245-121-111.dynamic.swanmobile.sk does not resolve to address 84.245.121.111: Name or service not known
Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: connect from unknown[84.245.121.111]
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: 472971201BC: client=unknown[84.245.121.111], sasl_method=PLAIN, [email protected]
Aug 13 13:03:27 production postfix/cleanup[8772]: 472971201BC: message-id=<[email protected]>
Aug 13 13:03:27 production postfix/qmgr[29192]: 472971201BC: from=<[email protected]>, size=627, nrcpt=1 (queue active)
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: disconnect from unknown[84.245.121.111] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Aug 13 13:03:29 production postfix/smtp[8775]: 472971201BC: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[64.233.167.27]:25, delay=1.9, delays=0.17/0/0.87/0.89, dsn=2.0.0, status=sent (250 2.0.0 OK 1502622209 y42si3780413wrd.170 - gsmtp)
Aug 13 13:03:29 production postfix/qmgr[29192]: 472971201BC: removed
이 문제를 해결하려면 정보를 제공해야 하는 다른 항목이 있습니까?
나는 시도했다:
- bisart.eu 서버에서 자체 서명된 인증서를 생성한 다음 dovecot 및 postfix와 함께 내 서버에서 사용합니다(도움이 되지 않았지만 여전히 "bisart.eu가 이 메시지를 암호화하지 않았습니다"라고 표시됨).
- 내 서버에서 자체 서명된 인증서 만들기(도움이 되지 않음)
- postfix 구성에서 main.cf의 myhostname 및 mydomain 속성 변경
- 내 DNS에 spf 레코드 추가
미리 감사드립니다.
답변1
나가는 트래픽의 암호화는 위의 내용과 별로 관련이 없습니다.
언제배상메일, Postfix가 연결됩니다에게Gmail(즉, 포트 전달이나 MX 레코드가 포함되지 않음) TLS 클라이언트처럼 작동합니다(예: 웹 서버가 아닌 웹 브라우저처럼). 그것~할 수 있다자체 인증서를 제공하지만 반드시 그럴 필요는 없습니다.
smtpd_tls_*
또한 Postfix에는 서버 및 클라이언트 모드에서 smtp_tls_*
각각 TLS에 대한 별도의 설정이 있습니다.두 가지를 혼동하지 마십시오.
다음 설정이 활성화되어 있는지 확인하세요.
smtp_tls_security_level = may
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1
smtp_tls_CAfile
OS에 맞게 조정하세요 . 이 smtp_tls_loglevel
설정은 필수는 아니지만 로그를 읽을 때 유용할 수 있습니다.
설정 smtp_tls_cert_file
이며 smtp_tls_key_file
필요하지 않습니다(많은 메일 서버는 클라이언트 인증서를 무시하거나 로깅 목적으로만 사용합니다).