Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2021-08-10 22:10:48

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Postfix + dovecot vs thunderbird (windows)

Panowie. Używam postfixa i dovecota na swoim serwerku firmowym od... od dawna. Mam certy samopodpisane. Póki klient korzystał z thunderbirda na win7 wszystko działało ładnie. Nawet nie zauważyłem, że cert wygasł 2 lata temu. Od momentu przesiadki na win10 - thunderbird świruje nie chce wysyłać poczty w momencie gdy dodam certa od popa. Za każdym razem muszę wchodzić w ustawienia, usuwać oba certy (od popa i smtp), następnie zatwierdzać wyjątek przy wysyłaniu --- i mogę wysyłać... dopóki nie zechcę pobrać poczty... Nie wiem jak sobie z tym poradzić i czy jest to faktycznie problem po stronie mojego serwera, czy to windows...

przy próbie wysyłki (kiedy cert dla popa jest już dodany)

"Wysyłanie wiadomości się nie powiodło.
Nieadekwatne do żądanej operacji zastosowanie klucza certyfikatu.
Konfiguracja związana z „xxx.net.pl” musi zostać poprawiona."

Offline

 

#2  2021-08-11 08:25:14

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Postfix + dovecot vs thunderbird (windows)

Zrób sobie certy Letsencrypta do domeny i wystaw je w Postfixie i Dovecocie.
To rozwiąże szereg problemów i z TB,  i z szyfrowaniem sesji SMTP z innymi serwerami pocztowymi.

Dzisiaj poczta powinna chodzić po TLS także miedzy serwerami SMTP, w Postfixie można to wymusić opcją 

Kod:

smtpd_tls_security_level = encrypt

dla poczty przychodzącej oraz

Kod:

smtp_tls_security_level = encrypt

dla poczty wychodzącej.
Można też robić wymagania TLS/per_domena przez opcję konfiguracyjną tls_policy.

Rzuć okiem na to:
http://www.postfix.org/TLS_README.html
A zwłaszcza to:
http://www.postfix.org/postconf.5.html#smtpd_tls_security_level
http://www.postfix.org/TLS_README.html#client_tls_levels

Z resztą na niektórych serwerach pocztowych maile przychodzące przez szyfrowaną sesję tls mają lepszy rating w filtrach spamowych, także warto to włączyć.

Ostatnio edytowany przez Jacekalex (2021-08-11 08:28:02)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2021-08-12 15:05:28

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Re: Postfix + dovecot vs thunderbird (windows)

Dzięki za podpowiedź. Nie wiem czy dam sobie z tym radę (cert-botem) Serwerek stoi jeszcze na jessie... Upgrade'u boje się robić, bo znając moje szczęście sporo rzeczy się wysypie (już to kiedyś przerabiałem) Na postawienie nowego nie bardzo jest czas. Także, potrzebnych paczek nijak nie zaciągnę, z backportów też coś nie bardzo idzie.
"Plik Release dla http://archive.debian.org/debian/dists/jessie-backports/InRelease wygasnął (nieprawidłowy od 904dni 16g 25min 5s). Aktualizacje z tego repozytorium nie będą wykonywane."
Co do TLSa - mam włączonego.

Offline

 

#4  2021-08-13 15:42:46

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Postfix + dovecot vs thunderbird (windows)

Cetrbota nie musisz używać.

Lepszy jest skrypt acme-sh, o ile masz domenę na jakimiś zgodnym z nim serwerem DNS.

Sznurek:
https://github.com/acmesh-official/acme.sh/wiki

Ja mam domenę w OVH i  skrypt  acme.sh odpalany przez crona odnawia certyfikaty automatycznie.

Robiłem wg tego:
https://github.com/inoas/acme.sh/wiki/How-to-use-OVH-domain-api

Warto tylko pamiętać, żeby zrobić cert wildcard opcjami:

Kod:

acme.sh   -d domena.tld -d *.domena.tld  {pozostałe opcje}

Ostatnio edytowany przez Jacekalex (2021-08-14 16:16:31)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2021-08-19 13:54:29

  Kpt. - Użytkownik

Kpt.
Użytkownik
Skąd: Wielkopolska
Zarejestrowany: 2005-11-10

Re: Postfix + dovecot vs thunderbird (windows)

OK
No niestety nie uda mi się za Chiny Ludowe :/

Kod:

[czw, 19 sie 2021, 19:28:23 CEST] moja_domena:Verify error:Invalid response from http://moja_domena/.well-known/acme-challenge/A9ley5FN7WGAsnx-6MlVeJ7Ly28Gm1Yk1iXqMjCznEY [192.x.x.x]:
[czw, 19 sie 2021, 19:28:23 CEST] Debug: get token url.
[czw, 19 sie 2021, 19:28:23 CEST] Retrying GET
[czw, 19 sie 2021, 19:28:23 CEST] GET
[czw, 19 sie 2021, 19:28:23 CEST] url='http://moja_domena/.well-known/acme-challenge/A9ley5FN7WGAsnx-6MlVeJ7Ly28Gm1Yk1iXqMjCznEY'
[czw, 19 sie 2021, 19:28:23 CEST] timeout=1
[czw, 19 sie 2021, 19:28:23 CEST] displayError='1'
[czw, 19 sie 2021, 19:28:23 CEST] _CURL='curl --silent --dump-header /root/.acme.sh/http.header  -L  -g  --connect-timeout 1'
A9ley5FN7WGAsnx-6MlVeJ7Ly28Gm1Yk1iXqMjCznEY.BPr7dLdkDsQyrkReYGUwm5n16V6LN5R5eHVWferm96c
[czw, 19 sie 2021, 19:28:23 CEST] ret='0'
[czw, 19 sie 2021, 19:28:23 CEST] _hcode='0'
[czw, 19 sie 2021, 19:28:23 CEST] Debugging, skip removing: /var/www//.well-known
[czw, 19 sie 2021, 19:28:23 CEST] pid
[czw, 19 sie 2021, 19:28:23 CEST] No need to restore nginx, skip.

Dodam, że http://moja_domena/.well-known/acme-challenge/A9ley5FN7WGAsnx-6MlVeJ7Ly28Gm1Yk1iXqMjCznEY
Jest osiągalny i plik jest widoczny.
Dodam, że mam Apache.


Teoretycznie po zastosowaniu .debug 2 chyba cert został wygenerowany.... Tyle, że dalej nie bardzo wiem co  ztym zrobić.
Acme wygenerowało mi takie pliki jak

Kod:

 moja_domena.pl.key, 
moja_domena.pl.csr, 
moja_domena.pl.cer, 
moja_domena.pl.conf
ca.cer
fullchain.cer

Do postfixa chyba potrzebuję .cert oraz key a także dwóch .pem (cakey i cacert) Dobrze mi się wydaje?

Ostatnio edytowany przez Kpt. (2021-08-19 21:53:52)

Offline

 

#6  2021-08-19 22:52:26

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Postfix + dovecot vs thunderbird (windows)

Poprawnoścć i zawartość  certa sprawdzisz poleceniem:

Kod:

openssl x509  -noout -text -in fullchain.cer

W Postfixie ja bym certa w łączył tak:
(w pliku /etc/postfix/main.cf)

Kod:

#SSL
smtpd_use_tls = yes
#  smtpd_tls_security_level = may
smtpd_tls_security_level = encrypt
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv3, !SSLv2 !TLSv1   TLSv1.2
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_key_file =  /etc/acme-sh/moja_domena.pl/moja_domena.pl.key
smtpd_tls_cert_file = /etc/acme-sh/moja_domena.pl/fullchain.cer
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
tls_preempt_cipherlist = yes

i Dovecot (u mnie w /etc/dovecot/dovecot.conf):

Kod:

ssl_cert = </etc/acme-sh/moja_domena.pl/fullchain.cer
ssl_key = </etc/acme-sh/moja_domena.pl/moja_domena.pl.key
ssl_dh   = </etc/ssl/serwer/dh4096.pem

klucz DH musisz wygenerować samodzielnie.

Ostatnio edytowany przez Jacekalex (2021-08-19 22:58:59)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2021-08-25 09:32:41

  axis - Nowy użytkownik

axis
Nowy użytkownik
Zarejestrowany: 2021-08-25

Re: Postfix + dovecot vs thunderbird (windows)

Kpt. napisał(-a):

czy jest to faktycznie problem po stronie mojego serwera, czy to windows...

Raczej coś pozmieniali w aktualizacji thunderbird... Po zejściu do wersji 68.12.1 wszystko działa po staremu.

Z imapem nie ma problemu.
Trzeba odinstalować thunderbirda (ewentualny eksport adresów),
wywalić profil,
zainstalować 68.12.1,
zablokować automatyczną aktualizację
i wszystkie maile pobierze.

Z POP już masz więcej zabawy bo zazwyczaj trzymasz wiadomości tylko lokalnie.
A po aktualizacji profil masz przekonwertowany do najnowszej wersji i thunderbird będzie krzyczał że starsza wersja programu nie współgra z wersją profilu :(

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)