Tôi đã tìm kiếm mọi diễn đàn, mọi bài viết, mọi bài đăng trên serverfault.com về vấn đề này. Tôi đang sử dụng một thiết lập mới của Postfix. Nó được quản lý bởi Virtualmin. Bất cứ khi nào tôi cố gắng gửi thư qua TLS, tôi đều gặp lỗi (thông tin nhận dạng bị xóa):
Ngày 7 tháng 9 21:58:37 mail postfix/smtp[220916]: khởi tạo công cụ TLS phía máy khách
Ngày 7 tháng 9 21:58:37 mail postfix/tlsmgr[220917]: mở smtpd TLS cache btree:/var/lib/postfix/smtpd_scache
Ngày 7 tháng 9 21:58:38 mail postfix/tlsmgr[220917]: mở smtp TLS cache btree:/var/lib/postfix/smtp_scache
Ngày 7 tháng 9 21:58:38 mail postfix/tlsmgr[220917]: tlsmgr_cache_run_event: bắt đầu dọn dẹp bộ đệm phiên TLS smtpd
Ngày 7 tháng 9 21:58:38 mail postfix/tlsmgr[220917]: tlsmgr_cache_run_event: bắt đầu dọn dẹp bộ đệm phiên TLS smtp
Ngày 7 tháng 9 21:58:38 mail postfix/smtp[220918]: khởi tạo công cụ TLS phía máy khách
Ngày 7 tháng 9 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS là bắt buộc nhưng không được cung cấp bởi máy chủ gmail-smtp-in.l.google.com[173.194.219.27]
Ngày 7 tháng 9 21:58:38 mail postfix/smtp[220916]: E9C5637920: to=<[email protected]>, relay=ts11-do.checktls.com[165.227.190.238]:25, delay=3768, delays=3768/0.67/0.11/0, dsn=4.7.4, status=deferred (TLS là bắt buộc, nhưng máy chủ không cung cấp ts11-do.checktls.com[165.227.190.238])
Ngày 7 tháng 9 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS là bắt buộc nhưng không được máy chủ cung cấp alt1.gmail-smtp-in.l.google.com[172.217.197.27]
Ngày 7 tháng 9 21:58:38 mail postfix/smtp[220918]: 536A837552: TLS là bắt buộc nhưng không được máy chủ cung cấp alt2.gmail-smtp-in.l.google.com[108.177.12.27]
Ngày 7 tháng 9 21:58:39 mail postfix/smtp[220918]: 536A837552: TLS là bắt buộc nhưng không được máy chủ cung cấp alt3.gmail-smtp-in.l.google.com[64.233.186.27]
Ngày 7 tháng 9 21:58:39 mail postfix/smtp[220918]: 536A837552: to=<[email protected]>, relay=alt4.gmail-smtp-in.l.google.com[209.85.202.27]:25, delay=3819, delays=3817/0.67/1.2/0, dsn=4.7.4, status=deferred (TLS là bắt buộc, nhưng máy chủ không cung cấp alt4.gmail-smtp-in.l.google.com[209.85. 202.27])
Ngày 7 tháng 9 22:00:01 postfix/pickup thư[220911]: A9D8537D1D: uid=33 from=<www-data>
Ngày 7 tháng 9 22:00:01 sửa lỗi/dọn dẹp thư sau [221006]: A9D8537D1D: message-id=<[email protected]>
Tôi đang sử dụng letsencrypt (được kéo bằng Virtualmin) cho chứng chỉ của mình. Nó đặt các chứng chỉ trong /home/user/ssl.* Đây là main.cf của tôi (tên miền được thay thế bằng example.com):
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
allow_percent_hack = không
append_dot_mydomain = không
biff = không
bị hỏng_sasl_auth_clients = có
home_mailbox = Maildir/
inet_protocols = ipv4
mailbox_command = /usr/bin/procmail-wrapper -o -a $DOMAIN -d $LOGNAME
hộp thư_size_limit = 0
milter_default_action = chấp nhận
mydomain = EXAMPLE.com
myhostname = mail.EXAMPLE.com
mynetworks_style = mạng con
non_smtpd_milters = inet:localhost:8891
người nhận_delimiter = +
sender_bcc_maps = hash:/etc/postfix/bcc
sender_dependent_default_transport_maps = hàm băm:/etc/postfix/phụ thuộc
smtp_dns_support_level = dnssec
smtp_host_lookup = dns
smtp_tls_ciphers = cao
smtp_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_loglevel = 4
smtp_tls_mandatory_ciphers = cao
smtp_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtp_tls_mandatory_protocols = TLSv1.3,TLSv1.2,TLSv1.1,!TLSv1,!SSLv2,!SSLv3
smtp_tls_note_starttls_offer = có
smtp_tls_protocols = TLSv1.3, TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtp_tls_security_level = mã hóa
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_milters = inet:localhost:8891
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination check_policy_service inet:127.0.0.1:10023
smtpd_relay_restrictions = ${{$compatibility_level} < {1} ? {} : {permit_mynetworks permit_sasl_authenticated defer_unauth_destination}}
smtpd_sasl_auth_enable = có
smtpd_tls_ask_ccert = có
smtpd_tls_cert_file=/home/EXAMPLE/ssl.cert
smtpd_tls_ciphers = cao
smtpd_tls_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_key_file=/home/EXAMPLE/ssl.key
smtpd_tls_loglevel = 4
smtpd_tls_mandatory_ciphers = cao
smtpd_tls_mandatory_exclude_ciphers = MD5, DES, ADH, RC4, PSD, SRP, 3DES, eNULL, aNULL
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, TLSv1.1, TLSv1.2, TLSv1.3
smtpd_tls_protocols = TLSv1.3, TLSv1.2, TLSv1.1, !TLSv1, !SSLv2, !SSLv3
smtpd_tls_received_header = có
smtpd_tls_security_level = mã hóa
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
tls_preempt_cipherlist = có
tls_random_source = dev:/dev/urandom
tls_server_sni_maps = hash:/etc/postfix/sni_map
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = $mydomain
Tôi biết rằng ENCRYPT buộc TLS - sử dụng MAY sẽ quay trở lại kết nối không phải TLS, đây là để thử nghiệm
Đây là master.cf của mình
smtp inet n - n - - smtpd
đón unix n - n 60 1 đón
dọn dẹp unix n - n - 0 dọn dẹp
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - n 1000? 1 tlsmgr
viết lại unix - - n - - viết lại tầm thường
thoát unix - - n - 0 thoát
trì hoãn unix - - n - 0 thoát
dấu vết unix - - n - 0 bị trả lại
xác minh unix - - n - 1 xác minh
tuôn ra unix n - n 1000? 0 tuôn ra
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - n - - smtp
chuyển tiếp unix - - n - - smtp
-o syslog_name=postfix/$service_name
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - n - - showq
lỗi unix - - n - - lỗi
thử lại unix - - n - - lỗi
loại bỏ unix - - n - - loại bỏ
unix cục bộ - n n - - cục bộ
unix ảo - n n - - ảo
lmtp unix - - n - - lmtp
đe unix - - n - 1 đe
scache unix - - n - 1 scache
postlog unix-dgram n - n - 1 postlogd
*** Tôi đã khôi phục cấu hình về mặc định với hy vọng giúp đỡ nhưng không thay đổi.
Khi tôi telnet vào máy chủ của mình, tôi nhận được tùy chọn cho starttls:
Đang thử 127.0.0.1...
Đã kết nối với 127.0.0.1.
Ký tự thoát là '^]'.
220 mail.EXAMPLE.com ESMTP Postfix
Ví dụ EHLO.com
250-mail.EXAMPLE.com
250-ĐƯỜNG ỐNG
KÍCH THƯỚC 250 10240000
250-VRFY
250-ETRN
250-BẮT ĐẦUTLS
250-MÃ TRẠNG THÁI NÂNG CAO
250-8BITMIME
250-DSN
250 CHUYỆN
Tôi đang sử dụng opnsense cho tường lửa của mình.Tôi không nghĩ rằng nó chặn TLS bằng kiểm tra SMTP.
Với cài đặt được đặt thành CÓ THỂ thay vì ENCRYPT, tôi có thể gửi và nhận email tốt. Với nó được đặt thành CÓ THỂ, Google và checktls.com báo cáo rằng TLS không được sử dụng.
Tất cả các xét nghiệm dmarc, spf, v.v. đều tốt. Đây là postfix (mới nhất) chạy trên máy chủ Ubuntu 20.
Môi trường của tôi:
- Máy chủ được đặt cùng vị trí trong trung tâm dữ liệu (không có giới hạn ở phần cuối của chúng)
- Proxmox, cập nhật vào ngày 8/9/21
- Bộ chứa đang chạy trong LXC, Ubuntu 20
- Container nằm sau Tường lửa OPNSense
- Các thử nghiệm dựa trên web cho thấy máy chủ đang cung cấp starttls
- Chạy telnet từ máy chủ> một máy chủ khác hiển thị starttls dưới dạng tùy chọn
Bất kỳ trợ giúp được đánh giá rất cao, cảm ơn bạn.
