.png)
Não sou especialista em configuração de servidores de e-mail e não estou familiarizado com tudo o que preciso fazer para que os e-mails funcionem (configurando registros DNS para funcionar com entrega de e-mail, principalmente) perfeitamente, sem problemas. Portanto, eu ficaria feliz em receber alguns links para ótimos vídeos explicando como funciona, quais passos preciso seguir para configurar tudo de acordo com algumas diretrizes comuns ou informações sobre o que há de errado com minha configuração, porque tentei coisas diferentes e não tive sorte em resolver meu problema.
Eu tenho meu próprio servidor Linux rodando Ubuntu 17.04 e tenho postfix e dovecot configurados para os e-mails da minha empresa.
O problema é que sempre que envio e-mails para uma conta do Gmail, nas informações, você vê o ícone vermelho (http://puu.sh/x8ses/9c1a5fef89.png) e diz "bisart.eu não criptografou esta mensagem".
Mensagem original:
Delivered-To: [email protected]
Received: by 10.12.169.5 with SMTP id y5csp2584881qva;
Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
X-Received: by 10.223.151.212 with SMTP id t20mr12538728wrb.233.1502568434417;
Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1502568434; cv=none;
d=google.com; s=arc-20160816;
b=izg+I4FrioYQ9iZXkCeJMpZwi8bNCUbQjzsQgGKxLXdaSnp9KcpLNNKhbPKBep5vnG
JIoPaEX/mh1NiwI8ptQJJERxUT168OldzKgUZ7+EVL545Yk0EWBnRCNtdtSZa0yjr88O
8fRnGzp93bn5NR/RE22Fvaw13QMvA4xVFc7m6J+BW7pOSmMwB976UoMw6s0jtUCHYkPR
CxITyX7Wy8G2rR9Px5INQeH+PsKSOQQQAQoMl88Dcy9DOvF6yo8XR/g7tic8jExKO/BT
Cn49sfI3Eg4S8Rs1DatWwp/lw7EViKwHEhZPVqRkxTXP0z3gKhNPdlFnABvUGdDG3Id4
Ly+w==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=content-language:content-transfer-encoding:mime-version:user-agent
:date:message-id:subject:from:to:arc-authentication-results;
bh=QgRLF+6w7sye7fqLzlu3qDfNO47+yGPgui7mTGt5S7Y=;
b=bPF5SMjoQhKivKP4wLWgg9uOkDudgfg/BLWiWycB9kmKxB7Eox9jMrJGSu+1wwHYMw
HadoG0fdXLRFUj3D+/Ur2pWxIfREALH+zHGMIErkTUAN8H6rXZoQrsdrmAFvXYqKMKdq
hk3JyUNoIED2whYzcb1lbS8ANks7hYSXwf0gTKUuzrAoCrRPoIcwWmyXMZEhZeNKhQBW
cGmwbCnwijOSk8iAB/aX/C6cyE4OZ+K9uXbTzbwpL9u/rF83FC54JlTOSd0jpQ3MFv6Y
sCduxKIhz9doud9ebsuB5WqKXXy7m2DlpWbzRsCozbbiKsnT0zZ0+a2UukTu+IZ87mYW
HZ7g==
ARC-Authentication-Results: i=1; mx.google.com;
spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from mail.moowdesign.eu (moowdesign.bisart.eu. [185.160.111.248])
by mx.google.com with ESMTP id k16si2937045wrk.226.2017.08.12.13.07.13
for <[email protected]>;
Sat, 12 Aug 2017 13:07:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) client-ip=185.160.111.248;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Received: from [192.168.1.69] (unknown [84.245.121.111]) by mail.moowdesign.eu (Postfix) with ESMTPSA id 19378121987 for <[email protected]>; Sat, 12 Aug 2017 22:07:12 +0200 (CEST)
To: [email protected]
From: Dominik Dancs <[email protected]>
Subject: dsadas
Message-ID: <[email protected]>
Date: Sat, 12 Aug 2017 22:07:10 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.2.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US
A coisa e queTenho vários domínios apontando para o mesmo host e o mesmo servidor de e-mailé usado (moowdesign.eu, moow.info, fenixportal.eu, etc.) e preciso que todos tenham criptografia de e-mail SSL.
Cada domínio aponta para o IP e mail.domain.tld é definido como o registro DNS MX (que também aponta para o IP do servidor).
Minhas portas são encaminhadas, para que todo o tráfego de correio possa passar para o servidor.
Eu uso o acme.sh do Let'sEncrypt (https://github.com/Neilpang/acme.sh) cliente para criar o certificado curinga para todos os domínios em um certificado e, em seguida, usá-lo no dovecot e no postfix.
O problema:
Assim, o cliente Gmail pede que os e-mails sejam assinados por"bisart.eu", mas esse domínio não tem nada a ver com meu servidor,exceto apenas que moowdesign.bisart.eu aponta para o meu servidor e possui registros reversos para ele. Não consigo assinar o certificado usando esse domínio/servidor.
O que devo fazer? Eu sei que não é melhor deixar como está, porque as pessoas veriam o ícone vermelho e pensariam que é um e-mail fraudulento ou algo assim e, muito provavelmente, todos os e-mails iriam direto para spam. Espero que haja algum tipo de solução.
Além disso, meus registros DNS para todos os domínios são (respectivamente):
3600 IN MX 10 mail
@ 3600 IN A 185.160.111.248
moow.info. 3600 IN TXT "v=spf1 mx a ptr ip4:185.160.111.248/32 a:mail.moow.info a:moowdesign.bisart.eu ~all"
mail 3600 IN A 185.160.111.248
Meu main.cf (arquivo de configuração do Postfix)
compatibility_level = 2
debug_peer_level = 2
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
#daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
default_privs = nobody
myhostname = mail.moowdesign.eu
mydomain = moowdesign.eu
myorigin = $mydomain
mydestination = localhost
append_dot_mydomain = no
unknown_local_recipient_reject_code = 550
mynetworks_style = host
relay_domains = *
alias_maps = hash:/etc/aliases
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = vmail
inet_protocols = ipv4
inet_interfaces = all
meta_directory = /etc/postfix
shlib_directory = /usr/lib/postfix
html_directory = /usr/doc/postfix-3.1.2/html
manpage_directory = /usr/man
sample_directory = /etc/postfix
readme_directory = no
smtpd_tls_cert_file = /etc/dovecot/letsencrypt.crt
smtpd_tls_CAfile = /etc/dovecot/letsencrypt.chain
smtpd_tls_key_file = /etc/dovecot/letsencrypt.key
#smtpd_tls_cert_file = /etc/dovecot/private/mail.crt
#smtpd_tls_key_file = /etc/dovecot/private/mail.key
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_unknown_reverse_client_hostname,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_invalid_hostname,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client barracudacentral.org
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains_maps.cf
virtual_alias_maps =
mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_catchall_maps.cf
virtual_mailbox_maps =
mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_mailbox_maps.cf
virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp
alias_database = hash:/etc/aliases
Log para envio de e-mail:
Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: warning: hostname 84-245-121-111.dynamic.swanmobile.sk does not resolve to address 84.245.121.111: Name or service not known
Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: connect from unknown[84.245.121.111]
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: 472971201BC: client=unknown[84.245.121.111], sasl_method=PLAIN, [email protected]
Aug 13 13:03:27 production postfix/cleanup[8772]: 472971201BC: message-id=<[email protected]>
Aug 13 13:03:27 production postfix/qmgr[29192]: 472971201BC: from=<[email protected]>, size=627, nrcpt=1 (queue active)
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: disconnect from unknown[84.245.121.111] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Aug 13 13:03:29 production postfix/smtp[8775]: 472971201BC: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[64.233.167.27]:25, delay=1.9, delays=0.17/0/0.87/0.89, dsn=2.0.0, status=sent (250 2.0.0 OK 1502622209 y42si3780413wrd.170 - gsmtp)
Aug 13 13:03:29 production postfix/qmgr[29192]: 472971201BC: removed
Há mais alguma coisa sobre a qual preciso fornecer informações para poder resolver esse problema?
Tentei:
- Criar um certificado autoassinado no servidor bisart.eu e depois usá-lo no meu servidor com dovecot e postfix (não ajudou, ainda diz: "bisart.eu não criptografou esta mensagem")
- Criando certificado autoassinado no meu servidor (não ajudou)
- Alterando as propriedades myhostname e mydomain em main.cf na configuração do postfix
- Adicionando registro spf ao meu DNS
Agradeço antecipadamente.
Responder1
A criptografia do tráfego de saída não tem muito a ver com nenhuma das opções acima.
Quandoenviandomail, seu Postfix se conectaparaGmail (portanto, nem encaminhamento de porta nem registros MX estão envolvidos) e atua como um cliente TLS (ou seja, como um navegador da web, não um servidor da web); istopodefornece seu próprio certificado, mas não é necessário.
Além disso, o Postfix possui configurações separadas para TLS nos modos servidor e cliente, em smtpd_tls_*e smtp_tls_*respectivamente.Não misture os dois.
Certifique-se de ter estas configurações ativadas:
smtp_tls_security_level = may
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1
Ajuste smtp_tls_CAfilepara se adequar ao seu sistema operacional. A smtp_tls_loglevelconfiguração não é obrigatória, mas pode ser útil ao ler logs.
A configuração smtp_tls_cert_filee smtp_tls_key_filenão é obrigatória (muitos servidores de e-mail ignoram o certificado do cliente ou usam-no apenas para fins de registro).