Forum Debian Users Gang

Grzeslaw · 2009-02-15 20:46:23

Witam

Co byście polecili na dobre HOWTO exima z autoryzacją TLS oraz wpięcie do tego nie wiem co lepsze couriera, dovecota? Wiem, że exim jest defaulowym MTA w debianie, i chciałbym poznać go od strony debianowej jak się za niego zabrac. Pare lat temu kompilowałem exima, i jakoś fajnie miał jeden pliczek, teraz widzę iż w /etc/exim/conf.d/ jest masa innych plików (mimo iż zainstalowałem exim4 bez obsługi małych plików to wciąż w conf.d jest masa konfiguracji). Czyżby tak dużo zamian w nowej wersji? Co byście polecili aby fajnie odpoczątku zainstalować exima w debianie. Omijam tu opcję ogromnej dokumentacji ze strony, bo tam opisują wszystko pokolei, a mi chodzi o takie normlanie prostą instalację "na debiana" z obsługą virtualnych userów i podpięciem pop3(s)/imap(s). Nic więcej.

Pozdr

Ostatnio edytowany przez Grzeslaw (2009-02-25 22:58:24)

bercik · 2009-02-15 20:52:47

ja te male pliczki wywalam i wstawiam wlasny exim4.conf (http://www.opcode.eu.org/sieci_komputerowe_uslugi/exim4.conf/) ... co do POP3/IMAP to polecam dovecota ... co do HOWTO to mozesz poczytac sobie moj pliczek i go przerobic ... a jakies szczegoly to juz z oficjalnej dokumentacji ...

Grzeslaw · 2009-02-15 23:52:16

bercik napisał(-a):
ja te male pliczki wywalam i wstawiam wlasny exim4.conf (http://www.opcode.eu.org/sieci_komputerowe_uslugi/exim4.conf/) ... co do POP3/IMAP to polecam dovecota ... co do HOWTO to mozesz poczytac sobie moj pliczek i go przerobic ... a jakies szczegoly to juz z oficjalnej dokumentacji ...

Okej dzienki bardzo, zaraz się za niego zabiore (btw: z łącza upc sajcik nie łaźi). Rozumiem, że jak zainstaluje samego exima: (exim4-base, exim4-config, exim4-daemon-heavy - to są podstawowe instalujące sie przy paczce exima) to wystarczy wgrać pliczor i już z niego korzystać, a wszystkie stare z /etc/exim4/* moge wywalić smiało tak?

Heh chyba nie. bo widzę że jest zależność w pliku: /usr/sbin/update-exim4.conf. Tam jest coś takiego:
TEMPLATEFILE="${UPEX4C_confdir}/exim4.conf.template" co za bzdura - po co to? Weż napisz jak ty instalujesz tego exima, bo tutaj widzę, że to nie takie hop siup i musi być pare innych plików.

Ostatnio edytowany przez Grzeslaw (2009-02-16 00:24:42)

Grzeslaw · 2009-02-16 13:27:31

dobra, nie wiem co robily te pliki *.conf w sbin, ale je wywalilem.
Rozumiem, że do podstawowej konfiguracji exima wystarczy plik exim.conf. A co z tym: update-exim4.conf.conf?

bercik · 2009-02-16 16:11:48

Grzeslaw napisał(-a):
btw: z łącza upc sajcik nie łaźi

mozesz dac mi na pw lub maila wynik traceroute?

Grzeslaw napisał(-a):
Heh chyba nie. bo widzę że jest zależność w pliku: /usr/sbin/update-exim4.conf

ja nie mialem takiego pliku

Grzeslaw napisał(-a):
dobra, nie wiem co robily te pliki *.conf w sbin, ale je wywalilem.
Rozumiem, że do podstawowej konfiguracji exima wystarczy plik exim.conf. A co z tym: update-exim4.conf.conf?

nie wiem czy exim.conf lyknie (trzebaby popatrzec w zrodla paczki) ... lyka napewno plik w takiej lokalizacji /etc/exim4/exim4.conf

oprocz tego kozysta z plikow podanych w tamtym konfigu takich jak local_domains relay_from_hosts relay_to_domains virtusertable itp ... ale to juz zalezy od tego jak sobie skonfigurujesz ...

Grzeslaw · 2009-02-18 14:58:47

mmh no wszystko poustawiałem, niby okej. Jednak coś jest nie halo z smtp gdy wysyłam z portu 465, wywala błąd:

Kod:

2009-02-18 14:51:19 TLS error on connection from [XXX.XXX.XX.XXX] (gnutls_handshake): A TLS packet with unexpected length was received

kojarzycie coś takiego?

Ostatnio edytowany przez Grzeslaw (2009-02-18 16:07:18)

bercik · 2009-02-18 23:48:13

rozumiem ze to w oparciu o moj konfig i ze normalne (nieszyfrowane) na 25 chodza?

potworzyles/umiesciles w odpowiednim miejscu certyfikaty dla serwera?

Grzeslaw · 2009-02-19 09:20:01

Na 25 porcie nie chodzą maile, wywala "rejected RCPT"
Z tego co widzę, to jest wymuszenie autoryzacji na SSL'u. Ale rozumiem, że konfiguracja tyczy się tlsa, takżę takie szyfrowanie ustawiam w MUA.

Oto co zmieniłem w twoim configu: Generalnie wywaliłem wszystkie osobne pliki i skonfigurowałem to w jednym pliku exim4.conf

Kod:

#log_file_path = syslog
pimary_hostname = $MOJA_GL_DOMENA_SERWERA 
#.include_if_exists /etc/mail/primary_hostname
domainlist local_domains = @ : @[] : localhost : localhost.localdomain : $MOJA_GL_DOMENA_SERWERA 
hostlist   relay_from_hosts = <; 127.0.0.1 ; ::1 ; $GL_ZEW_IP_SERWERA
# SSL -klucze wygenerowałem zgodnie z wpisem:  
# openssl req -new -x509 -days 365 -nodes -out server.crt -newkey rsa:1024 -keyout server.key 
# i umieściłem w /etc/ssl/
# jeszcze nie instalowaem amavisa, takze hash
#av_scanner = clamd:/var/run/clamav/clamd.ctl

Tak apropo relay_from_hosts, to co oznaczają wpisy: "<;" oraz "::1" ?

Wywaliłem też: sekcje

Kod:

                warn set acl_m_addr_mode = yes
                warn
                        local_parts = postmaster : abuse : /etc/exim4/users_no_filter
                        set acl_m_addr_mode = no
                warn
                        !condition = ${if def:acl_m_data_mode}
                        set acl_m_data_mode = $acl_m_addr_mode

bo pluło błędem:

Kod:

  error in ACL: syntax error or unrecognized name after "set" in ACL modifier "set acl_m_addr_mode = yes"

Stworzyłem odpowiednie katalogi na kopie poczty tj.: /home/mail/kopie/
Utworzyłem pliczek/etc/mail/virtusertable z wpisem:

Kod:

grzeslaw@$MOJA_GL_DOMENA_SERWERA:       grzeslaw

No i tyle.

milyges · 2009-02-19 10:18:26

Grzeslaw napisał(-a):
Tak apropo relay_from_hosts, to co oznaczają wpisy: "<;" oraz "::1" ?

::1 to adres ipv6 odpowiadający 127.0.0.1 w ipv4

bercik · 2009-02-19 12:45:16

Grzeslaw napisał(-a):
Na 25 porcie nie chodzą maile, wywala "rejected RCPT"
Z tego co widzę, to jest wymuszenie autoryzacji na SSL'u. Ale rozumiem, że konfiguracja tyczy się tlsa, takżę takie szyfrowanie ustawiam w MUA.

tak ale wymuszenie nie dotyczy portu 25 gdy:
* host nadajacy jest w relay_from_hosts
* adresat jest na naszym serwerze

wiec sprawdz te przypadki ...

Grzeslaw napisał(-a):
# jeszcze nie instalowaem amavisa, takze hash
#av_scanner = clamd:/var/run/clamav/clamd.ctl

kofig kozysta bezposrednio z ClamAV (clamd) i spamassistant (spamd)

Grzeslaw napisał(-a):
Tak apropo relay_from_hosts, to co oznaczają wpisy: "<;" oraz "::1" ?

<; oznacza ze bedzie to lista oddzielana srednikami ::1 to localhost w ipv6

Grzeslaw napisał(-a):

Wywaliłem też: sekcje

Kod:

                warn set acl_m_addr_mode = yes
                warn
                        local_parts = postmaster : abuse : /etc/exim4/users_no_filter
                        set acl_m_addr_mode = no
                warn
                        !condition = ${if def:acl_m_data_mode}
                        set acl_m_data_mode = $acl_m_addr_mode

bo pluło błędem:

Kod:

  error in ACL: syntax error or unrecognized name after "set" in ACL modifier "set acl_m_addr_mode = yes"

cos stary ten Twoj exim ... w takim razie lepiej jeszcze zastap

Kod:

defer message = Deferred - please try this recipient again later
         !condition = ${if eq{$received_protocol}{asmtp}}
         !condition = ${if eq{$acl_m_addr_mode}{$acl_m_data_mode}}
accept  local_parts   = postmaster
         !condition    = ${acl_m_data_mode}

przez

Kod:

accept  local_parts   = postmaster

Grzeslaw · 2009-02-19 15:47:10

Host nadający czyli rozumiem moj komputer z ktorego wysylam przez MUA, nie jest na bank w relay_from_hosts
Adresat jest na innym serwerze na pewno
Zgodnie z twoją sugestią zahaszowałem:

Kod:

defer message = Deferred - please try this recipient again later
         !condition = ${if eq{$received_protocol}{asmtp}}
         !condition = ${if eq{$acl_m_addr_mode}{$acl_m_data_mode}}
accept  local_parts   = postmaster
         !condition    = ${acl_m_data_mode}

I w to miejsce wstawiłem:

Kod:

accept  local_parts   = postmaster

I zmieniłem:

Kod:

 local_interfaces = 127.0.0.1 : $IP_ZEW_SERWERA
hostlist   relay_from_hosts =  127.0.0.1 : $IP_ZEW_SERWERA

No i dokładnie to samo. Może powinienem dać coś do domainlist relay_to_domains ?

A swoją drogą to exima mam najnowszego, świerzy debian64bit tydzień temu instalowany. Może powinienem użyć innego repo?

bercik · 2009-02-19 17:45:44

po koleji:
1. sprawdz czy serwer odbiera poczte adresowana do niego - na cos podanego w local_domains (na porcie 25)
2. sprawdz czy serwer odbiera poczte adresowana gdziekolwiek wyslana z hosta bedacego w relay_from_hosts (port 25, dodaj sie hwilowo do tej listy)
3. dopiero potem zacznij testowac SSL (port 465), a tylko w ten sposob host niebedacy w relay_from_hosts moze wysylac poczte do obcych serwerow

pozatym:
* te zmiany o ktorych pisalem to na wszelki wypadek w kwestii odbierania poczty przez serwer
* jezeli nie masz dwuch MX relay_to_domains wogole Cie nie interesuje
* ipv6 nie musiales wywalac
* tak z ciekawosci pokaz

Kod:

dpkg -l *exim* | grep ^ii

lub napisz czy to Lenny czy Eth czy Squeeze

Grzeslaw · 2009-02-19 19:34:55

bercik napisał(-a):
1. sprawdz czy serwer odbiera poczte adresowana do niego - na cos podanego w local_domains (na porcie 25)

Nie, w logach wali:

Kod:

 temporarily rejected after DATA: failed to expand ACL string "${if def:acl_m_data_mode}": unknown variable "acl_m_data_mode" after "def:"

bercik napisał(-a):
2. sprawdz czy serwer odbiera poczte adresowana gdziekolwiek wyslana z hosta bedacego w relay_from_hosts (port 25, dodaj sie hwilowo do tej listy)

Błąd jak wyżej

Kod:

dpkg -l *exim* | grep ^i
ii  exim4-base          4.63-17        support files for all exim MTA (v4) packages
ii  exim4-config        4.63-17        configuration for the exim MTA (v4)
ii  exim4-daemon-heavy  4.63-17        exim MTA (v4) daemon with extended features,

Debian Etch

Ostatnio edytowany przez Grzeslaw (2009-02-19 19:35:39)

bercik · 2009-02-19 22:13:45

1. Debian Etch to jest juz old-stable i on ma prawie dwa lata wiec jest to stary exim ...
2. osobiscie sugerowalbym upgrade do Lenny i wrzucenie spowrotem tych wywalonych w zwiazku z "acl_m_data_mode" rzeczy (tych co Ty wywaliles i tych co ja sugerowalem)
3. jezeli nie chesz Lenny to mozesz zainteresowac sie eximeme z backportow albo musisz konsekwentnie i inteligentnie pousuwac z tego konfigu odwolania do acl_m_data_mode itp ...

BTW ten konfig wymaga exima w wersji >= 4.67

Ostatnio edytowany przez bercik (2009-02-19 22:14:28)

Grzeslaw · 2009-02-22 15:47:16

Zrobiłem upgrade do lenny'ego.
Obecnie bez szyfrowania odbiera i wysyła bez bulu. ale nie w tym rzecz przecie.

Ale mam chyba pecha do tych bugów. bo na to mi wygląda. Robiłem konfiguracje sam z palca, wysyłał i obdbierał na 25 bez problemu. Dodałem korzystanie z TLS'a na 465, i pojawił się znowu ten sam problem:

Kod:

Feb 22 15:26:22 penguinpower exim[15341]: TLS error on connection from [89.79.212.139] (gnutls_handshake): A TLS packet with unexpected length was received.

Spróbowałem powrócić do twojego konfiga z tlsem - to samo.

Co ciekawe! Gdy w konfiguracji MUA ustawie TLS + port 25, to wysyła, i w logach jest szyfrowanie:

Kod:

Feb 22 15:31:09 penguinpower exim[15381]: 1LbFML-000405-5y <= grzeslaw@serwerdomain.pl H=([192.168.0.147]) [89.79.212.139] P=esmtpsa X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32 A=plain:grzeslaw S=616 id=49A161B7.10704@serwerdomain.pl 
Feb 22 15:31:10 penguinpower exim[15382]: 1LbFML-000405-5y => grzegorz@mydomain.net R=dnslookup T=remote_smtp H=mydomain.net [193.218.153.72] X=TLS1.0:RSA_AES_256_CBC_SHA1:32
Feb 22 15:31:10 penguinpower exim[15382]: 1LbFML-000405-5y Completed

Widać, że włącza się szyforowanie TLS :> prawda?

Teraz powiedzcie, jaka to różnica czy na tym czy na innym porcie jest TLS, oraz czy z tym błędem macie jakieś pomysły.

bercik · 2009-02-22 18:21:48

dziwne to ... ja bym sprawdzil konfiguracje klienta / sprobowal innego klienta ... rozumiem tez ze uaktualiniles wszystko do Lenny (bo na ten temat byl jakis bug w Debianie)

Grzeslaw · 2009-02-22 23:22:02

Ano właśnie, to też zrobiłem. i np pod windą z OE albo incredimail, wiadomosci po tym porcie szły idealnie. tak samo na linuxie po evolution, jednak mam thunderbirda i z nim się nie rozstane hehe, zaraz zaczynam kompilować nowego thunderbirda, może pomoże.

---EDIT
Z obserwacji wynika iż tylko thunderbird nie radzi sobie z obsługą TLs'a dla pop3 (dovecot) i smtp (exim4). Sytuacja jest identyczna dla klientów Linuksowych jak i Windowsowych ;( Ustawiłem OE i elegancko pobiera i wysyła szyfrując dane. ale dlaczego ten thunderbird odmawia współpracy?

Jeszcze inną ciekawą rzeczą jest fakt, że jak ustawie SSL, to dovecot i exim działają z thunderbirdem. Ale jak patrze w logi exima, to markuje wiadomość jako szyfrowaną TLSem

Kod:

P=esmtps X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32 S=614 id=49A1E75E.7000304@mydomain.pl

Ale wydaje mi się, że szyforwanie jest wtedy i tak SSL (czyli starszy TLS)

System jest w pełni zupgradowany do lenny'ego.

Ostatnio edytowany przez Grzeslaw (2009-02-23 01:04:56)

bercik · 2009-02-23 10:45:50

a na kliencie (tam gdzie nie dziala TSL) tez Lenny?

akurat thunderbirda nie uzywam ... ale byc moze zwizane to jest z tym ze TSL maial byc bardziej przezroczysty i nie wymagac specjalnych portow ... i z tad moze on wymaga ustawienia tego jako SSL ... zobacz tez http://forums.mozillazine.org/viewtopic.php?f=31&t=75585 i podobne ...

ja bym tam zostawil mu to ustawienie SSL (i tak domyslnie raczej uzywa najnowszego dostepnego) ... pozatym bardziej wiezylbym w to co zapisane w logach niz w to co ustawione gdzies w konfigu czy gui ...

Grzeslaw · 2009-02-23 21:28:55

bercik napisał(-a):
a na kliencie (tam gdzie nie dziala TSL) tez Lenny?

Na kliencie jest ubunciak, więc to co innego. A TLS jest zainstalowany każdy jaki możliwy, oprucz tcl'a ale to nie ma nic do rzeczy.

bercik napisał(-a):
akurat thunderbirda nie uzywam ... ale byc moze zwizane to jest z tym ze TSL maial byc bardziej przezroczysty i nie wymagac specjalnych portow ... i z tad moze on wymaga ustawienia tego jako SSL ... zobacz tez http://forums.mozillazine.org/viewtopic.php?f=31&t=75585 i podobne ...

ja bym tam zostawil mu to ustawienie SSL (i tak domyslnie raczej uzywa najnowszego dostepnego) ... pozatym bardziej wiezylbym w to co zapisane w logach niz w to co ustawione gdzies w konfigu czy gui ...

Też fakt. Także chyba zostawie SSL. który w logach się loguje jakoTLS heh.
Zrobiłem prosty test. Ustawiłem w eximie oraz w MUA aby korzytał z portu 587 i zaznaczyłem use SSL, to w logach miałem, że leci po TLS, natomaist jeśli ustawiłem w eximie 465, i w MUA tak samo z SSL, to leci po SSL w logach, hehe.
Także szyfrowanie działa, ale i tak to w moim przypadku całe te szyfrowanie jest g. warte jak sie puszcza i czyta maile ze świata a nie lokalnie ;-)

BTW: Ustawiłem opcje:

Kod:

daemon_smtp_ports = 587
tls_on_connect_ports = 587

A exim cały czas słucha:

Kod:

tcp        0      0 0.0.0.0:587             0.0.0.0:*               LISTEN      12116/exim4     
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      12116/exim4     
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      12116/exim4     
tcp6       0      0 :::587                  :::*                    LISTEN      12116/exim4     
tcp6       0      0 :::465                  :::*                    LISTEN      12116/exim4     
tcp6       0      0 :::25                   :::*                    LISTEN      12116/exim4

Dlaczego on słucha wszędzie gdzie się da, a nie na 127.0.0.1 i moim adresie zew. na samym porcie 587 ?

Ostatnio edytowany przez Grzeslaw (2009-02-23 21:33:14)

bercik · 2009-02-23 23:26:43

szyfrowanie po to aby zabezpieczyc hasla przed podsuhem a nie korespondencje ...

co do sluchania to mowi cos w logach odnosnie ustawionej wartosci local_interfaces lub tego dlaczego slucha na all ...

Grzeslaw · 2009-02-24 08:03:32

Fakt, co do słuchania wogle nie miałem ustawionego local_interfaces, natomiast zastanawia mnie tylko, że jak podaje mu daemon_smtp_ports =587 ,dlaczego wciąż śłucha na 25 i 465 ?

I jeszcze jedna sprawa. tak sobie lokalizowałem pliki exima i znalazłem /var/lib/exim4/config.autogenerated, w którym jest cały exim4.conf, jak wyczytuje z nagłówka pliku, jest to config, wygenerowany na podstawie systemowego dpkg-reconfigure - czy on jest jeszczcze potrzebny ? mogę go usunać, czy też podlinkować, do mojego bierzącego :>

bercik · 2009-02-24 15:41:46

mozesz wywalic tamten plik nie musisz tez nic za niego podlinkowywac

zobacz czy nie masz drugiego daemon_smtp_ports lub skrypt z init.d nie podaje w wierszu polecen portow na ktorych ma slyuchac ...

Grzeslaw · 2009-02-24 19:24:49

dobra znalazłem. Miałem wpis w /etc/defaults/exim4, który wywaliłem :

Kod:

#SMTPLISTENEROPTIONS='-oX 587:465:25 -oP /var/run/exim4/exim.pid'
SMTPLISTENEROPTIONS=''

Kiedyś podczas testów wrzuciłem.

No dobra to aby już nie ciągnąć w nieskończoność tego wątku, mogę uznać, iż już mam przepis na exima: zrobić go samemu od początku opierając się na dokumentacji i obecnym doświadczeniu; hehehe :-)
Teraz wiem, już jak robić sobie exima z małymi pliczkami. Oprócz konfiguracji exim-confa poprzez dpkg, najlepiej wyrzucić bieżący config, i wgrać ten z /usr/share/doc/exim4-base/examples/example.conf.gz ,wtedy nie będzie żadnych dziwnych opcji ifdefów itd, może to i komuś pomocne, ale ja wole jeden konkretny config, a co do TLSa i Thunderbirda to jest to też ciekawe doświadczenie w tym temacie heh.

Bardzo mi pomogłeś bercik, dlatego wielkie dzięki dla ciebie!! Exima co prawda sam zrobiłem od początku, ale twój config też się przyda jak będę szukać jakiegoś rozwiązania do do transportów bądź też specyficznego filtrowania.

Pozd!

Forum Debian Users Gang

Ogłoszenie

#1 2009-02-15 20:46:23

Grzeslaw - Użytkownik

[SOLVED] Exim - jak ugryźć (od początku)

#2 2009-02-15 20:52:47

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

#3 2009-02-15 23:52:16

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

bercik napisał(-a):

#4 2009-02-16 13:27:31

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

#5 2009-02-16 16:11:48

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

Grzeslaw napisał(-a):

Grzeslaw napisał(-a):

Grzeslaw napisał(-a):

#6 2009-02-18 14:58:47

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

Kod:

#7 2009-02-18 23:48:13

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

#8 2009-02-19 09:20:01

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

Kod:

Kod:

Kod:

Kod:

#9 2009-02-19 10:18:26

milyges - inż.

Re: [SOLVED] Exim - jak ugryźć (od początku)

Grzeslaw napisał(-a):

#10 2009-02-19 12:45:16

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

Grzeslaw napisał(-a):

Grzeslaw napisał(-a):

Grzeslaw napisał(-a):

Grzeslaw napisał(-a):

Kod:

Kod:

Kod:

Kod:

#11 2009-02-19 15:47:10

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

Kod:

Kod:

Kod:

#12 2009-02-19 17:45:44

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

Kod:

#13 2009-02-19 19:34:55

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

bercik napisał(-a):

Kod:

bercik napisał(-a):

Kod:

#14 2009-02-19 22:13:45

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

#15 2009-02-22 15:47:16

Grzeslaw - Użytkownik

Re: [SOLVED] Exim - jak ugryźć (od początku)

Kod:

Kod:

#16 2009-02-22 18:21:48

bercik - Moderator Mamut

Re: [SOLVED] Exim - jak ugryźć (od początku)

#17 2009-02-22 23:22:02

Grzeslaw - Użytkownik