postfix TLS를 어떻게 수정합니까?

postfix TLS를 어떻게 수정합니까?

메모아래의 모든 내용은 교육적일 수 있지만 전체 문제는 postfix가 아니라 ISP에 있다는 것이 밝혀졌습니다. 실제로 문제의 ISP를 전환했는데, 새 ISP가 STARTTLS를 명시적으로 중단하는 방식으로 암호화되지 않은 SMTP 트래픽을 가로채서 다시 작성하고 있습니다. 포트 465에서 TLS 전용 연결을 설정하여 문제를 해결했습니다.


STARTTLS는 오늘 일찍 내 시스템에서 작업 중이었습니다. 어떤 식으로든 시스템을 변경하지 않고도 시스템이 저절로 중단되었습니다. 나는 지금 몇 시간 동안 그것을 고치려고 노력했지만 성공하지 못했습니다.

서버에 연결하면 다음과 같은 결과가 나타납니다.

savanni@Orolo:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.sasavanni@Orolo:~$ telnet apps.savannidgerinel.com 25
Trying 129.121.182.135...
Connected to apps.savannidgerinel.com.
Escape character is '^]'.
220 ***********************************************
ehlo dude
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-XXXXXXXA
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
^]close

telnet> close
Connection closed.

좋습니다. 분명히 STARTTLS는 이 목록에 없습니다. 그래서 구성 파일을 뒤져보고 튜토리얼을 다시 진행했지만 전혀 소용이 없었습니다. 내 TLS 관련 구성은 다음과 같습니다.

smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtpd_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtpd_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

tls_random_source = dev:/dev/urandom

모든 인증서 파일이 있고, 서버 개인 키가 있고, 서버 CA가 있고, smtpd_scache.db 및 smtp_scache.db 파일이 모두 있습니다. 모두 postfix 사용자가 액세스할 수 있습니다. 말하자면, 실행 중인 프로세스는 다음과 같습니다.

savanni@apps:/var/lib/postfix$ ps aux | grep postfix
root      3525  0.0  0.1  25112  1680 ?        Ss   20:19   0:00 /usr/lib/postfix/master
postfix   3526  0.0  0.1  27176  1524 ?        S    20:19   0:00 pickup -l -t fifo -u -c -o content_filter= -o receive_override_options=no_header_body_checks
postfix   3527  0.0  0.1  27228  1552 ?        S    20:19   0:00 qmgr -l -t fifo -u
postfix   3528  0.0  0.4  46948  4144 ?        S    20:19   0:00 smtpd -n smtp -t inet -u -c -o stress= -s 2
postfix   3529  0.0  0.1  27176  1628 ?        S    20:19   0:00 proxymap -t unix -u
postfix   3530  0.0  0.3  38212  3176 ?        S    20:19   0:00 tlsmgr -l -t unix -u -c
postfix   3531  0.0  0.1  27176  1516 ?        S    20:19   0:00 anvil -l -t unix -u -c
postfix   3535  0.0  0.1  27188  1544 ?        S    20:20   0:00 trivial-rewrite -n rewrite -t unix -u -c

로그 파일에는 다음을 제외하고 TLS와 관련된 내용이 전혀 나와 있지 않습니다.

Nov  6 02:19:45 apps postfix/master[3525]: daemon started -- version 2.9.6, configuration /etc/postfix
Nov  6 02:19:49 apps postfix/smtpd[3528]: initializing the server-side TLS engine
Nov  6 02:19:49 apps postfix/tlsmgr[3530]: open smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Nov  6 02:19:49 apps postfix/tlsmgr[3530]: tlsmgr_cache_run_event: start TLS smtpd session cache cleanup
Nov  6 02:19:49 apps postfix/smtpd[3528]: connect from unknown[204.16.68.108]

syslog나 mail.err 모두 문제의 징후를 보여주지 않습니다. 전체 시스템에 관한 한 모든 것이 정상입니다. 그런데 STARTTLS가 없어서 갑자기 보낼 수가 없어요어느전혀 이메일.

돕다???

답변1

main.cf에서

추가 TLS 로깅을 보려면 다음을 수행하세요. smtp_tls_note_starttls_offer = yes

주석 처리 또는 제거:

smtp_tls_CAfile = /etc/ssl/certs/savannidgerinel_com_CA.pem
smtp_tls_cert_file = /etc/ssl/certs/apps.savannidgerinel.com.pem
smtp_tls_key_file = /etc/ssl/private/apps.savannidgerinel.com.key.pem

"클라이언트 TLS 인증서를 하나 이상의 서버에 제공해야 하는 경우가 아니면 클라이언트 인증서를 구성하지 마십시오. 클라이언트 인증서는 일반적으로 필요하지 않으며 클라이언트 인증서 없이도 제대로 작동하는 구성에서 문제를 일으킬 수 있습니다. 권장되는 설정은 기본값을 유지하는 것입니다."

구성을 다시 로드하거나 postfix를 다시 시작하세요.

귀하의 서버를 테스트했습니다.

EHLO apps.savannidgerinel.com
250-apps.savannidgerinel.com
250-PIPELINING
250-SIZE 10240000
250-VRFY 250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

그것은 제공합니다 250-STARTTLS. 그래서 무언가가 프록시처럼 포트 25에서 트래픽을 가로채고 있습니다. 로컬 컴퓨터가 연결하는 확장된 기능을 갖춘 모든 종류의 방화벽이나 고급 라우터일 수 있습니다. 방화벽이나 고급 라우터가 없는 경우 IP 범위에서 스팸이 ​​발생하는 것을 방지하기 위해 ISP가 제공하는 스팸 방지 정책일 가능성이 높습니다. 최악의 경우 누군가가중간 공격에 있는 남자.

관련 정보