Главная » Форум » Gentoo Linux » Системное администрирование

Postfix(smarthost). Не уходят письма с одного из ящиков - отсутствует сертификат. [РЕШЕНО / SOLVED]

Brunen 12 апреля, 2011 - 05:54

Upd. Проблема решена. Решение - в конце темы.

Всем привет!

Настроил postfix как релей через несколько ящиков(gmail/rambler/mail) - почта уходит без проблем и забирается fetchmail+procmail. Всё хорошо.

Добавил ещё ящик местного провайдера и началось:
cat /var/log/mail.log

Apr 12 08:46:42 earth postfix/smtpd[8024]: connect from unknown[192.168.0.1]
Apr 12 08:46:42 earth postfix/smtpd[8024]: 6FDBB10066E70: client=unknown[192.168.0.1]
Apr 12 08:46:42 earth postfix/cleanup[8027]: 6FDBB10066E70: message-id=<4DA3AE49.1070702@mail.tomsknet.ru>
Apr 12 08:46:42 earth postfix/qmgr[6231]: 6FDBB10066E70: from=<company-tsk@mail.tomsknet.ru>, size=597, nrcpt=1 (queue active)
Apr 12 08:46:42 earth postfix/smtpd[8024]: disconnect from unknown[192.168.0.1]
Apr 12 08:46:42 earth postfix/smtp[8028]: certificate verification failed for relay.tomsknet.ru[217.18.130.13]:25: untrusted issuer /C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
Apr 12 08:46:42 earth postfix/smtp[8028]: 6FDBB10066E70: to=<company-msk@rambler.ru>, relay=relay.tomsknet.ru[217.18.130.13]:25, delay=0.24, delays=0.09/0.03/0.12/0, dsn=4.7.5, status=deferred (Server certificate not trusted)

Чего делал раньше для исключения подобных ошибок с gmail/rambler/mail:
openssl s_client -starttls smtp -crlf -connect smtp.gmail.com:25
и в выводе добавлял содержимое между -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----(включительно) к себе в /etc/postfix/cacert.pem и после этого почта уходила в мир без проблем.

Тут же с местным провайдером это не прокатило. Вопрос, как получить с него сертификат для возможности отправлять через него почту постфиксом?

‹ Повисание тредов апача (php) Dnsmasq. Не пингуются по имени. [SOLVED / РЕШЕНО] ›
»

А вы уверены, что местный

Автор SysA, дата создания 12 апреля, 2011 - 08:27.

Так вам же ясно сказали: Server certificate not trusted! :)

»

Ну само собой, не доверенный.

Автор Brunen, дата создания 12 апреля, 2011 - 08:59.

Ну само собой, не доверенный. В том-то и вопрос - как сделать его доверенным?
Ведь с рамблером/яндексом/гмейлом/мейлом я же разобрался - теперь отправке через постфикс идёт. А вот с этим городским провайдером - нет. У него, как я понял, самоподписанный сертификат:
openssl s_client -starttls smtp -crlf -connect relay.tomsknet.ru:25

:/var/log# openssl s_client -starttls smtp -crlf -connect relay.tomsknet.ru:25
CONNECTED(00000003)
depth=1 /C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=relay.tomsknet.ru/emailAddress=jim@tomsknet.ru
   i:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
 1 s:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
   i:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=relay.tomsknet.ru/emailAddress=jim@tomsknet.ru
issuer=/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
---
Acceptable client certificate CA names
/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
---
SSL handshake has read 3159 bytes and written 276 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: F92D6CC210AC34968006F26E38CE45CB72E358F0A4D0184596590AB8450124E3
    Session-ID-ctx:
    Master-Key: E8F1EA731587D79788CEE1BFD99780A6F502E5C919D79A36A59191C854A43410B98A6F958C4CCA3722A7395D1C72032C
    Key-Arg   : None
    Start Time: 1302584079
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
250 HELP

Ранее с другими почтовиками(мейл, гмейл...) просто копировал выделенную часть себе в файл с сертификатами и прописывал этот файл в /etc/postfix/main.cf:

smtp_tls_CAfile =  /etc/postfix/cacert.pem

Сейчас же прописываю выделенную часть с этого почтовика к себе в файл /etc/postfix/cacert.pem и пробую отправить почту через него - один фиг, та же ошибка.

Настроил учётку этого почтовика на виндовом клиенте The Bat! - всё в порядке. Отправляет/получает.

»

Brunen написал(а): Ну само

Автор SysA, дата создания 12 апреля, 2011 - 09:20.
Brunen написал(а):
Ну само собой, не доверенный. В том-то и вопрос - как сделать его доверенным?
...

Купить нормальный сертификат у Верисайна :) или отменить контроль подлинности.

»

А иначе как-то возможно? И

Автор Brunen, дата создания 12 апреля, 2011 - 10:17.

А иначе как-то возможно?
И если отменить контроль подлинности - на что это повлияет?

На всякий:
почтовик этот, на котором складируется вся(вход/исход.) почта сидит за НАТом и просто релеит почту в мир через гмейл,мейл,etc... в качестве клиента.

»

SysA написал(а): Brunen

Автор Anarchist, дата создания 12 апреля, 2011 - 10:26.
SysA написал(а):
Brunen написал(а):
Ну само собой, не доверенный. В том-то и вопрос - как сделать его доверенным?
...

Купить нормальный сертификат у Верисайна :) или отменить контроль подлинности.

...а прописать исключение для конкретного сертификата не?.. :)

:wq
--
Live free or die

»

Можно-можно..только как? :)

Автор Brunen, дата создания 12 апреля, 2011 - 11:09.

Можно-можно..только как? :)

»

.

Автор n0nado, дата создания 12 апреля, 2011 - 11:10.

>> В том-то и вопрос - как сделать его доверенным?
Я посмотрела внутрь - это root CA
А у команды openssl s_client есть ключ -CAfile
Сначала скопируйте то, что вы выделили полужирным, и сохраните под именем, скажем, tomsknet.rootCA.pem
Потом вашу openssl s_client -starttls smtp -crlf -connect relay.tomsknet.ru:25
немного изменим: openssl s_client -showcerts -connect relay.tomsknet.ru:25 -CAfile tomsknet.rootCA.pem
Что тогда будет на экране?

P.S. А кто такой Evgeny Gregenshikov?

а эта строка - это просто подпись

»

n0nado написал(а):>> В

Автор Brunen, дата создания 12 апреля, 2011 - 11:38.
n0nado написал(а):
>> В том-то и вопрос - как сделать его доверенным?
Я посмотрела внутрь - это root CA
А у команды openssl s_client есть ключ -CAfile
Сначала скопируйте то, что вы выделили полужирным, и сохраните под именем, скажем, tomsknet.rootCA.pem
Потом вашу openssl s_client -starttls smtp -crlf -connect relay.tomsknet.ru:25
немного изменим: openssl s_client -showcerts -connect relay.tomsknet.ru:25 -CAfile tomsknet.rootCA.pem
Что тогда будет на экране?

P.S. А кто такой Evgeny Gregenshikov?

root@srv.loc:~# openssl s_client -showcerts -connect relay.tomsknet.ru:25 -CAfile ~/tcert.pem
CONNECTED(00000003)
10413:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:607:

Ладно, запускаю немного изменив строку:
#openssl s_client -starttls smtp -showcerts -connect relay.tomsknet.ru:25 -CAfile ~/tcert.pem

:~# openssl s_client -starttls smtp -showcerts -connect relay.tomsknet.ru:25 -CAfile /home/pp/tcert.pem
CONNECTED(00000003)
depth=1 /C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
verify error:num=10:certificate has expired
notAfter=Jan 11 10:12:06 2011 GMT
verify return:0
---
Certificate chain
 0 s:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=relay.tomsknet.ru/emailAddress=jim@tomsknet.ru
   i:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
 1 s:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
   i:/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
---
Server certificate
subject=/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=relay.tomsknet.ru/emailAddress=jim@tomsknet.ru
issuer=/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
---
Acceptable client certificate CA names
/C=RU/ST=Western Siberia/L=Tomsk/O=Digital Networks - Sibirtelecom/OU=Internet Services Division/CN=Evgeny Gregenshikov/emailAddress=jim@tomsknet.ru
---
SSL handshake has read 3159 bytes and written 276 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 28C93523FBF07E97BBE34685140303AD40F85795E89918494FC42743F0A10219
    Session-ID-ctx:
    Master-Key: 286BD0996DEEC16625AD4123E2918795E1F1F77AE82B5ABD05626543CC5371874B0ED24ACC17FB127930C8B8F2A055C4
    Key-Arg   : None
    Start Time: 1302593457
    Timeout   : 300 (sec)
    Verify return code: 10 (certificate has expired)
---
250 HELP

У сертификата закончился срок годности. Т.е. с ним уже не получится аутентифицироваться? Или проще отключить проверку именно у этого почтового провайдера?

По поводу Evgeny Gregenshikov - понятия не имею в плане личности. Но он, как я понял и создавал сертификат для местного провайдера.

»

Так, добавил второй

Автор Brunen, дата создания 12 апреля, 2011 - 11:46.

Так, добавил второй сертификат из прошлого сообщения в свой /etc/postfix/cacert.pem
Снова отправил письмо с проблемного ящика и первым делом полез в /var/log/mail.info:

Apr 12 14:42:40 earth postfix/smtpd[10499]: connect from unknown[192.168.0.1]
Apr 12 14:42:40 earth postfix/smtpd[10499]: 864C510066E70: client=unknown[192.168.0.1]
Apr 12 14:42:40 earth postfix/cleanup[10503]: 864C510066E70: message-id=<4DA401B8.6060402@mail.tomsknet.ru>
Apr 12 14:42:40 earth postfix/qmgr[6231]: 864C510066E70: from=<company-tsk@mail.tomsknet.ru>, size=594, nrcpt=1 (queue active)
Apr 12 14:42:40 earth postfix/smtpd[10499]: disconnect from unknown[192.168.0.1]
Apr 12 14:42:40 earth postfix/smtp[10504]: CA certificate verification failed for relay.tomsknet.ru[217.18.130.13]:25: certificate has expired
Apr 12 14:42:40 earth postfix/smtp[10504]: 864C510066E70: to=<company-msk@rambler.ru>, relay=relay.tomsknet.ru[217.18.130.13]:25, delay=0.2, delays=0.04/0.05/0.11/0, dsn=4
.7.5, status=deferred (Server certificate not trusted)

Если срок действия сертификата истёк - получить новый можно только у почтового провайдера?

»

.

Автор n0nado, дата создания 12 апреля, 2011 - 11:59.
Brunen написал(а):
Если срок действия сертификата истёк - получить новый можно только у почтового провайдера?

Надо как-то ИМ сообщить, чтобы ОНИ напряглись и поменяли У СЕБЯ истёкший сертификат. Вам ничего получать не надо, имхо.

а эта строка - это просто подпись

»

Я им позвонил минут пять

Автор Brunen, дата создания 12 апреля, 2011 - 13:04.

Я им позвонил минут пять назад. Жду, пока перезвонит админ ихний.
В общем, отпишусь позже, вдруг кому-нибудь опытом послужит ситуация.

Upd.
Позвонил админ провайдера. Сказал, отключайте проверку на сертификаты в постфиксе, т.к....проще будет.

В /etc/postfix/main.cf строку:
smtp_tls_security_level=verify
заменил на:
smtp_tls_security_level=may
и отправка заработала.

Соответственно в логах:

Apr 12 15:55:28 earth postfix/smtpd[10960]: connect from unknown[192.168.0.1]
Apr 12 15:55:28 earth postfix/smtpd[10960]: 5FD1810066E70: client=unknown[192.168.0.1]
Apr 12 15:55:28 earth postfix/cleanup[10962]: 5FD1810066E70: message-id=<4DA412C8.4030206@mail.tomsknet.ru>
Apr 12 15:55:28 earth postfix/qmgr[10947]: 5FD1810066E70: from=<company-tsk@mail.tomsknet.ru>, size=592, nrcpt=1 (queue active)
Apr 12 15:55:28 earth postfix/smtp[10949]: CA certificate verification failed for relay.tomsknet.ru[217.18.130.13]:25: certificate has expired
Apr 12 15:55:28 earth postfix/smtpd[10960]: disconnect from unknown[192.168.0.1]
Apr 12 15:55:28 earth postfix/smtp[10949]: 5FD1810066E70: to=<testmail@sibmail.com>, relay=relay.tomsknet.ru[217.18.130.13]:25, delay=0.16, delays=0.03/0/0.1/0.03, dsn=2.0
.0, status=sent (250 2.0.0 p3C8tXxx090336 Message accepted for delivery)
Apr 12 15:55:28 earth postfix/qmgr[10947]: 5FD1810066E70: removed
Apr 12 15:59:32 earth postfix/smtpd[11038]: connect from localhost[127.0.0.1]
Apr 12 15:59:32 earth postfix/smtpd[11038]: 86C2E1016E901: client=localhost[127.0.0.1]
Apr 12 15:59:32 earth postfix/cleanup[11041]: 86C2E1016E901: message-id=<010d01cbf8ef$330c2fe0$99248fa0$@enrc.com>
Apr 12 15:59:33 earth postfix/qmgr[10947]: 86C2E1016E901: from=<moroz_ma@kazchrome.enrc.com>, size=736602, nrcpt=1 (queue active)
Apr 12 15:59:33 earth postfix/local[11042]: 86C2E1016E901: to=<company-2@localhost>, relay=local, delay=1.1, delays=1/0.01/0/0.11, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION" DEFAULT=$HOME/Maildir/)
Apr 12 15:59:33 earth postfix/qmgr[10947]: 86C2E1016E901: removed
Apr 12 15:59:33 earth postfix/smtpd[11038]: disconnect from localhost[127.0.0.1]
»

.

Автор n0nado, дата создания 12 апреля, 2011 - 14:11.

Они нагенерили сертификатов до января 2012 года,
а подписали их таким root CA, который кончается в январе 2011 года.
И вот уже 4 месяца у них такая беда.

а эта строка - это просто подпись

»

Кстати, спасибо за участие и

Автор Brunen, дата создания 18 апреля, 2011 - 06:06.

Кстати, спасибо за участие и ответы! :)

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".