Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Почта / Linux)
Изначальное сообщение		[ Отслеживать ]

"Не уходят письма по SMTPs"	+/–
Сообщение от Шилов (ok), 05-Апр-23, 14:13
Пол-царства за коня! :-) Третий день долбаюсь с проблемой отправки писем на почтовый сервер по SSL. В наличии: 1. Видеорекордер ~10-летней давности, в котором для отправки email с изображениями можно задать данные: - адрес почтового сервера SMTP - произвольный порт этого сервера - SSL подключение: да/нет - Логин сервера - Пароль сервера - email получателя 2. Почтовый сервер с Postfix, доступ к его настройкам имеется. Если отправлять email без шифрования, т.е. по 25-му порту с выключенным SSL, то письма уходят нормально. Если включить шифрование, т.е. SSL, и отправлять письма по 465 порту, возникает ошибка "Невозможно подключиться к SMTP хосту", при этом в логах сервера такая картина: Apr  5 13:00:00 mail postfix/smtpd[28191]: connect from ip-5729.redline.net[93.44.86.56] Apr  5 13:00:00 mail postfix/smtpd[28191]: lost connection after UNKNOWN from ip-5729.redline.net[93.44.86.56] Apr  5 13:00:00 mail postfix/smtpd[28191]: disconnect from ip-5729.redline.net[93.44.86.56] Apr  5 13:00:01 mail postfix/smtpd[27959]: connect from mail.extmail.info[193.35.189.70] Apr  5 13:00:01 mail postfix/smtpd[27959]: disconnect from mail.extmail.info[193.35.189.70] Apr  5 13:00:01 mail dovecot: pop3-login: Aborted login (no auth attempts): rip=193.35.189.70, lip=193.35.189.70, secured Apr  5 13:00:08 mail postfix/smtpd[27934]: warning: unknown[45.147.39.160]: SASL LOGIN authentication failed: authentication failure Apr  5 13:00:09 mail postfix/smtpd[27934]: disconnect from unknown[45.147.39.160] Apr  5 13:00:14 mail postfix/smtpd[27959]: connect from unknown[45.147.39.160] Помогите, братцы, может что-то можно поправить в консерватории? Т.е. на сервере, поскольку рекордер правкам не поддается, он железный...
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Не уходят письма по SMTPs"	+/–
Сообщение от Pahanivo (ok), 05-Апр-23, 17:15
> Если включить шифрование, т.е. SSL, и отправлять письма по 465 порту, возникает > ошибка "Невозможно подключиться к SMTP хосту", Точно 465, а не 587? > при этом в логах сервера такая картина: И кто из них твой рекодер?
Ответить | Правка | Наверх | Cообщить модератору

	2. "Не уходят письма по SMTPs"	+/–
	Сообщение от Шилов (ok), 05-Апр-23, 18:20
	> Точно 465, а не 587? Точно. Почтовые клиенты на него отправляют уверенно. На новый 587 сервер еще не переводил, клиенты и так работает нормально. > И кто из них твой рекодер? Да, в логах видна смесь других устройств, но рекордер этот - [93.44.86.56]
	Ответить | Правка | Наверх | Cообщить модератору

3. "Не уходят письма по SMTPs"	+1 +/–
Сообщение от ipmanyak (ok), 07-Апр-23, 12:59
> Apr  5 13:00:00 mail postfix/smtpd[28191]: connect from ip-5729.redline.net[93.44.86.56] > Apr  5 13:00:00 mail postfix/smtpd[28191]: lost connection after UNKNOWN from ip-5729.redline.net[93.44.86.56] Если судить по этому сообщению, то сработала проверка PTR nslookup 93.44.86.56 ╚ь :     93-44-86-56.ip96.fastwebnet.it Address:  93.44.86.56 nslookup ip-5729.redline.net *** dns.yandex.ru не удалось найти ip-5729.redline.net: Non-existent domain Как видим, такого хоста ip-5729.redline.net  в прямой зоне вообще нет, а в обратной Италия.  На уровне DNS нарушение RFC 1912  пункт 2.1 Если хост 93.44.86.56  точно ваш, то исключите  его из проверок PTR и занесите  в доверенные в конфиге постфикса.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Не уходят письма по SMTPs"	+/–
	Сообщение от Шилов (ok), 07-Апр-23, 15:35
	Сорри. Как общепринято при выкладывании логов личные IP заменяются на вымышленные, что я и сделал. Так что причина здесь в чем-то другом.
	Ответить | Правка | Наверх | Cообщить модератору

	5. "Не уходят письма по SMTPs"	+/–
	Сообщение от lavr (ok), 07-Апр-23, 18:00
	> Сорри. Как общепринято при выкладывании логов личные IP заменяются на вымышленные, что > я и сделал. > Так что причина здесь в чем-то другом. https://www.postfix.org/TLS_README.html очень внимательно - задать нужный уровень логгинга - понять что поддерживает видеорегистратор: SSLv2, SSLv3, TLSv1 в топку, остается одна надежда на поддержку TLSv1.1 и подбор безопасных ciphers: https://ssl-config.mozilla.org/ иначе получите дыру в секурити и тут уж лучше оставить SMTP-AUTH.
	Ответить | Правка | Наверх | Cообщить модератору

	6. "Не уходят письма по SMTPs"	+/–
	Сообщение от Шилов (ok), 07-Апр-23, 18:47
	О, lavr, какие лица!  :-) Приятно видеть! Спасибо за ну очень толковый совет! Действительно, это очень похоже на реальную ситуацию, потому что лет ~10 тому назад этот же регистратор успешно работал через SSL, а сейчас выпендривается. Что за эти годы могло измениться, если он сам все тот же? Окружающий мир! Т.е. стандарты SSL/TLS и прочее, которые в регистраторе остались неизменными. И печально, что их в нем не могу обновить, поскольку новых прошивок давно нет. Что же делать?...
	Ответить | Правка | Наверх | Cообщить модератору

	7. "Не уходят письма по SMTPs"	+/–
	Сообщение от lavr (ok), 07-Апр-23, 19:21
	> Что за эти годы могло измениться, если он сам все тот же? > Окружающий мир! > Т.е. стандарты SSL/TLS и прочее, которые в регистраторе остались неизменными. > И печально, что их в нем не могу обновить, поскольку новых прошивок > давно нет. > Что же делать?... оставить SMTP-AUTH без шифрации, ибо из старых только TLSv1.1 с определенными алгоритмами шифрации будет безопасен. Чем оставлять дыру в smtpd+tls с sslv2 или sslv3, лучше уже smtp для конкретного ip или smtp+auth. Прям что-то секретное этот регистратор шлет, какие-нить алерты...
	Ответить | Правка | Наверх | Cообщить модератору

	8. "Не уходят письма по SMTPs"	+/–
	Сообщение от Шилов (ok), 07-Апр-23, 19:34
	> оставить SMTP-AUTH без шифрации, ибо из старых только TLSv1.1 с определенными алгоритмами шифрации будет безопасен. А разве SMTP-AUTH без шифрации не будет такой же дырой, вернее лазейкой для доступа к трафику? Да, и разве ограничение доступа по IP защитит трафик от просмотра? > Прям что-то секретное этот регистратор шлет, какие-нить алерты... Владельцы некоторых охраняемых объектов не хотят, чтобы высылаемые алерты в виде фото или видео были доступны для просмотра посторонними.
	Ответить | Правка | Наверх | Cообщить модератору

	9. "Не уходят письма по SMTPs"	+/–
	Сообщение от lavr (ok), 08-Апр-23, 10:24
	>> оставить SMTP-AUTH без шифрации, ибо из старых только TLSv1.1 с определенными алгоритмами шифрации будет безопасен. > А разве SMTP-AUTH без шифрации не будет такой же дырой, вернее лазейкой > для доступа к трафику? "SSLv2/v3, TLSv1/v1.1" взламываются при известных атаках. SMTP-AUTH известных взломов на данный момент не имеет. > Да, и разве ограничение доступа по IP защитит трафик от просмотра? нет, но это не дыра в безопасности в плане взлома >> Прям что-то секретное этот регистратор шлет, какие-нить алерты... > Владельцы некоторых охраняемых объектов не хотят, чтобы высылаемые алерты в виде фото > или видео были доступны для просмотра посторонними. дык пусть купят более современный девайс, либо имеют ТО ЧТО ИМЕЮТ Типа, есть бетонный забор вокруг коттеджа, навесили крутые ворота, но поскупились на замок, который открывается скрепкой.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "Не уходят письма по SMTPs"	+/–
	Сообщение от Шилов (ok), 08-Апр-23, 16:06
	Спасибо, спасибо! Так что же получается (если я правильно понял), что если использовать SMTP-AUTH, то взлома не будет, а перлюстрация трафика наоборот, будет во весь рост? Если так, то это не решение данной проблемы, поскольку "почтовый  видеотрафик" нужно защитить от просмотра. И еще, я несколько дней искал некий простой почтовый релей, который  обладал бы свойствами транслировать письма, получаемые им по открытому 25-порту, а отправлял бы их наружу по защищенному 465 или 587 с современным SSL. Как вариант - принимал их по 465-му с древней версией SSL, как в регистраторе, опасности взлома все равно бы не было, поскольку этот релей размещался бы в локалке рядом с регистратором. lavr, подскажите, пожалуйста, существуют ли такие релеи? Изученные ssmtp и msmtp оказались совсем не тем, что нужно. Встречались решения на основе Postfix, но они все сложны для меня, а главное, эти найденные решения сильно отличаются друг от друга и написаны парнями с неизвестной квалификацией, так что нет уверенности, что они вообще заработают.
	Ответить | Правка | Наверх | Cообщить модератору

	11. "Не уходят письма по SMTPs"	+/–
	Сообщение от Шилов (ok), 08-Апр-23, 17:09
	Да, чуть не забыл - какой вы здесь имели в виду SMTP-AUTH - обычный или шифрованный?
	Ответить | Правка | Наверх | Cообщить модератору

	13. "Не уходят письма по SMTPs"	+/–
	Сообщение от Кровосток (ok), 28-Апр-23, 07:16
	> Спасибо, спасибо! Так что же получается (если я правильно понял), что если > использовать SMTP-AUTH, то взлома не будет, а перлюстрация трафика наоборот, будет > во весь рост? > Если так, то это не решение данной проблемы, поскольку "почтовый  видеотрафик" > нужно защитить от просмотра. Может у рекордера есть возможность установки какого-либо VPN? Тогда можно организовать VPN до почтового сервера и через него подключатсья хоть с SSL, хоть без него.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема