Tôi hiện đang thiết lập một máy chủ email cá nhân hơi độc đáo bằng OpenSMTPd. Tôi có một máy chủ cục bộ (Raspberry Pi) và một máy chủ từ xa (VPS). Email gửi cho tôi được gửi đến máy chủ từ xa và sau đó được chuyển tiếp đến máy chủ cục bộ của tôi.Khi tôi gửi email, nó sẽ chuyển từ máy chủ cục bộ của tôi đến máy chủ từ xa, sau đó được chuyển tiếp đến người nhận. Hiện tại tôi chỉ đang thử nghiệm thư đến và nó hầu như hoạt động, chỉ với một sự cố, tls.
Nếu tôi đã đặt "tls-require" trên máy chủ cục bộ của mình, thì các máy chủ từ xa của tôi dường như có thể kết nối, nhưng sau đó ngắt kết nối và thử hạ cấp xuống đơn giản (smtp + notls), tất nhiên là không thành công. Nếu tôi chỉ sử dụng "tls" thay vì "tls-require" thì điều tương tự cũng xảy ra, nhưng nỗ lực smtp+notls hoạt động.
Các thông báo lỗi dường như không hữu ích. Trên máy chủ từ xa, tôi chỉ nhận được "TLS cơ hội không thành công, hạ cấp xuống đơn giản". Như tôi đã nói trước đây, trên máy chủ cục bộ, có vẻ như kết nối ĐÃ thành công (ít nhất là tôi nghĩ vậy), nhưng sau đó ngắt kết nối:
địa chỉ kết nối smtp=redacted.remote.ip.address host=mx1.mydomain.tld
smtp tls ciphers=TLSv1.3:TLS_AES_256_GCM_SHA384:256
lý do ngắt kết nối smtp=ngắt kết nối
Tôi nhận được thông báo lỗi có nhiều thông tin hơn nếu tôi cố gửi email bằng cách sử dụng openssl (từ máy chủ từ xa).
openssl s_client -debug -starttls smtp -crlf -connect redacted.local.ip.address:25
Trên máy chủ từ xa, mọi thứ đều ổn cho đến khi tôi nhập người nhận, lúc đó tôi gặp lỗi SSL:
RCPT ĐẾN:<[email protected]>
ĐÀM PHÁN LẠI
17412933263728:error:1404C042:SSL routines:ST_OK:được gọi là hàm bạn không nên gọi:/usr/src/lib/libssl/ssl_lib.c:2529:
Lỗi đó dường như cho tôi biết nhiều hơn, nhưng tôi không thể tìm thấy bất kỳ điều gì liên quan về nó. Máy chủ cục bộ hiển thị chính xác lỗi giống như trước đây.
Tôi biết nhiều người không sử dụng TLS bắt buộc với email, nhưng đối với trường hợp sử dụng này, tôi thực sự muốn nó hoạt động.
Máy chủ cục bộ của tôi đang chạy "Raspberry Pi OS 11 bullseye 64-bit" và OpenSMTPD 6.8.0p2 (phiên bản mới nhất trên apt).
Máy chủ từ xa của tôi đang chạy "OpenBSD 7.0 GENERIC#224 amd64" và OpenSMTPD 7.0.0.
Bất kỳ lời khuyên sẽ được đánh giá rất cao. Vui lòng cho tôi biết nếu bạn cần thêm thông tin.
Đây là cấu hình của tôi:
MÁY CHỦ ĐỊA PHƯƠNG smtpd.conf:
bí danh bảng "/etc/smtpd/aliases"
miền bảng "/etc/smtpd/domains"
mật khẩu bảng "/etc/smtpd/passwds"
bảng máy chủ từ xa "/etc/smtpd/remote-servers"
pki "mydomain.tld" chứng chỉ "/etc/letsencrypt/live/mydomain.tld/fullchain.pem"
khóa pki "mydomain.tld" "/etc/letsencrypt/live/mydomain.tld/privkey.pem"
# Tôi muốn srs ở đây, trên điều khiển từ xa hay cả hai?
khóa srs "khóa đã chỉnh sửa"
kết nối giai đoạn lọc "rdns" phù hợp !rdns ngắt kết nối "lỗi 550 DNS"
bộ lọc kết nối giai đoạn "fcrdns" phù hợp !fcrdns ngắt kết nối "lỗi 550 DNS"
bộ lọc "rspamd" proc-exec "/etc/smtpd/filter-rspamd"
# Trong nước
nghe trên cổng eth0 25 tls-require pki "mydomain.tld" filter { "rdns", "fcrdns" "rspamd" }
#nghe trên cổng eth0 25 tls pki "mydomain.tld" bộ lọc { "rdns", "fcrdns" "rspamd" }
hành động "RECV" lmtp "/var/run/dovecot/lmtp" rcpt-to <bí danh> ảo
khớp từ src <remote-servers> cho miền <domains> hành động "RECV"
khớp !từ src <máy chủ từ xa> cho tên miền <tên miền> từ chối
# Đi nước ngoài
lắng nghe trên cổng eth0 465 smtps pki "mydomain.tld" auth <passwds> lọc "rspamd" mask-src
nghe trên cổng eth0 587 tls-require pki "mydomain.tld" auth <passwds> lọc "rspamd" mask-src
hành động "GỬI" máy chủ chuyển tiếp mx1.mydomain.tld:465
khớp từ bất kỳ xác thực nào cho bất kỳ hành động nào "GỬI"
MÁY CHỦ TỪ XA smtpd.conf:
bí danh bảng "/etc/smtpd/aliases"
miền bảng "/etc/smtpd/domains"
pki "mydomain.tld" chứng chỉ "/etc/letsencrypt/live/mydomain.tld/fullchain.pem"
khóa pki "mydomain.tld" "/etc/letsencrypt/live/mydomain.tld/privkey.pem"
# Tôi muốn srs ở đây, trên điều khiển từ xa hay cả hai?
khóa srs "cùng một khóa được xử lý lại"
kết nối giai đoạn lọc "rdns" phù hợp !rdns ngắt kết nối "lỗi 550 DNS"
bộ lọc kết nối giai đoạn "fcrdns" phù hợp !fcrdns ngắt kết nối "lỗi 550 DNS"
# Trong nước
nghe trên cổng eth0 25 tls pki "mydomain.tld" filter { "rdns", "fcrdns" }
máy chủ chuyển tiếp hành động "RECV" redacted.local.ip.address:25
khớp từ bất kỳ cho hành động <domains> tên miền "RECV"
# Đi nước ngoài
nghe trên cổng eth0 465 smtps pki "mydomain.tld" mask-src
hành động "GỬI" chuyển tiếp srs
khớp từ src redacted.local.ip.address cho bất kỳ hành động nào "GỬI"
khớp !từ src redacted.local.ip.address cho bất kỳ từ chối nào
Đây là các maillog nếu tôi có "tls-yêu cầu" bộ:
Hộp thư MÁY CHỦ ĐỊA PHƯƠNG:
Ngày 3 tháng 4 11:57:26 Tên máy chủ cục bộ smtpd[3614276]: 3c3d3943d2bc7134 địa chỉ kết nối smtp=redacted.remote.ip.address host=mx1.mydomain.tld
Ngày 3 tháng 4 11:57:26 LocalHostname smtpd[3614276]: 3c3d3943d2bc7134 smtp tls ciphers=TLSv1.3:TLS_AES_256_GCM_SHA384:256
Ngày 3 tháng 4 11:57:26 LocalHostname smtpd[3614276]: 3c3d3943d2bc7134 smtp bị ngắt kết nối lý do=ngắt kết nối
Ngày 3 tháng 4 11:57:26 Tên máy chủ cục bộ smtpd[3614276]: 3c3d39441db05cc1 địa chỉ kết nối smtp=redacted.remote.ip.address host=mx1.mydomain.tld
Ngày 3 tháng 4 11:57:26 LocalHostname smtpd[3614276]: 3c3d39441db05cc1 smtp fail-command command="MAIL FROM:<[email protected]>" result="530 5.5.1 Lệnh không hợp lệ: Phải đưa ra STARTTLS ra lệnh trước"
Ngày 3 tháng 4 11:57:43 LocalHostname smtpd[3614276]: 3c3d39441db05cc1 smtp bị ngắt kết nối lý do=thoát
Hộp thư MÁY CHỦ TỪ XA:
Ngày 3 tháng 4 11:57:19 RemoteHostname smtpd[94758]: 7349563019b45aeb địa chỉ kết nối smtp=209.85.128.178 host=mail-yw1-f178.google.com
Ngày 3 tháng 4 11:57:19 RemoteHostname smtpd[94758]: 7349563019b45aeb smtp tls ciphers=TLSv1.3:AEAD-AES256-GCM-SHA384:256
Ngày 3 tháng 4 11:57:20 Tên máy chủ từ xa smtpd[94758]: 7349563019b45aeb tin nhắn smtp msgid=f8226363 size=2682 nrcpt=1 proto=ESMTP
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 7349563019b45aeb smtp phong bì evpid=f822636342a8821f from=<[email protected]> to=<[email protected]>
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 734956336de69e03 địa chỉ kết nối mta=smtp://redacted.local.ip.address:25 host=redacted-local-ip-address.isp.tld
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 734956336de69e03 mta đã kết nối
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 7349563019b45aeb smtp bị ngắt kết nối lý do=thoát
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: smtp-out: Lỗi trên phiên 734956336de69e03: TLS cơ hội không thành công, hạ cấp xuống đồng bằng
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 734956336de69e03 địa chỉ kết nối mta=smtp+notls://redacted.local.ip.address:25 host=redacted-local-ip-address.isp.tld
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 734956336de69e03 mta đã kết nối
Ngày 3 tháng 4 11:57:20 RemoteHostname smtpd[94758]: 734956336de69e03 mta delivery evpid=f822636342a8821f from=<[email protected]> to=<[email protected]> rcpt=<-> source="redacted .remote.ip.address" relay="redacted.local.ip.address (redacted-local-ip-address.isp.tld)" delay=1s result="PermFail" stat="530 5.5.1 Lệnh không hợp lệ: Phải ban hành lệnh STARTTLS trước"
Ngày 3 tháng 4 11:57:22 Tên máy chủ từ xa smtpd[94758]: 73495634e55adfe9 địa chỉ kết nối smtp=máy chủ cục bộ=mx1.mydomain.tld
Ngày 3 tháng 4 11:57:22 RemoteHostname smtpd[94758]: 73495634e55adfe9 smtp fail-command command="RCPT TO: <[email protected]>" result="550 Người nhận không hợp lệ: <redacted.email.address@ googlemail.com>"
Ngày 3 tháng 4 11:57:22 RemoteHostname smtpd[11238]: cảnh báo: Báo cáo lỗi tiêm PermFail trên tin nhắn f8226363 tới <[email protected]> cho 1 phong bì: 550 Người nhận không hợp lệ: <redacted.email.address@googlemail .com>
Ngày 3 tháng 4 11:57:22 RemoteHostname smtpd[94758]: 73495634e55adfe9 smtp bị ngắt kết nối lý do=thoát
Ngày 3 tháng 4 11:57:37 RemoteHostname smtpd[94758]: 734956336de69e03 lý do mta bị ngắt kết nối=thoát tin nhắn=0
Và đây là những maillog nếu tôi chỉ có "tls" bộ:
Hộp thư MÁY CHỦ ĐỊA PHƯƠNG:
Ngày 3 tháng 4 12:07:09 LocalHostname smtpd[3849290]: b981307e92d2eeac địa chỉ kết nối smtp=redacted.remote.ip.address host=mx1.mydomain.tld
Ngày 3 tháng 4 12:07:09 LocalHostname smtpd[3849290]: b981307e92d2eeac smtp tls ciphers=TLSv1.3:TLS_AES_256_GCM_SHA384:256
Ngày 3 tháng 4 12:07:09 LocalHostname smtpd[3849290]: b981307e92d2eeac smtp bị ngắt kết nối lý do=ngắt kết nối
Ngày 3 tháng 4 12:07:09 Tên máy chủ cục bộ smtpd[3849290]: b981307ff6e18ae3 địa chỉ kết nối smtp=redacted.remote.ip.address host=mx1.mydomain.tld
Ngày 3 tháng 4 12:07:10 LocalHostname smtpd[3849290]: b981307ff6e18ae3 tin nhắn smtp msgid=082c7a5e size=2850 nrcpt=1 proto=ESMTP
Ngày 3 tháng 4 12:07:10 LocalHostname smtpd[3849290]: b981307ff6e18ae3 smtp phong bì evpid=082c7a5e9dec905f from=<[email protected]> to=<[email protected]>
Ngày 3 tháng 4 12:07:11 LocalHostname dovecot: lmtp(3967460): Kết nối từ cục bộ
Ngày 3 tháng 4 12:07:11 LocalHostname dovecot: lmtp([email protected])<3967460><hmVpIN9/SWLkiTwAmV7YnQ>: msgid=<CACEbY1Hm4jdhjFKoZ2374zbEq1MZV-yTxsUauV4gzxXqNBVeaQ@mail.gmail.com>: thư đã lưu vào INBOX>
Ngày 3 tháng 4 12:07:11 LocalHostname dovecot: lmtp(3967460): Ngắt kết nối khỏi cục bộ: Máy khách đã thoát khỏi kết nối (trạng thái = SẴN SÀNG)
Ngày 3 tháng 4 12:07:11 LocalHostname smtpd[3849290]: b981308066da2115 mda delivery evpid=082c7a5e9dec905f from=<[email protected]> to=<[email protected]> rcpt=<[email protected]> user=vmail delay=2s result=Ok stat=Delivered
Ngày 3 tháng 4 12:07:27 LocalHostname smtpd[3849290]: b981307ff6e18ae3 lý do ngắt kết nối smtp=thoát
Hộp thư MÁY CHỦ TỪ XA:
Ngày 3 tháng 4 12:06:59 Tên máy chủ từ xa smtpd[94758]: 73495635c8c7456b địa chỉ kết nối smtp=209.85.219.174 host=mail-yb1-f174.google.com
Ngày 3 tháng 4 12:06:59 Tên máy chủ từ xa smtpd[94758]: 73495635c8c7456b smtp tls ciphers=TLSv1.3:AEAD-AES256-GCM-SHA384:256
Ngày 3 tháng 4 12:07:00 Tên máy chủ từ xa smtpd[94758]: 73495635c8c7456b tin nhắn smtp msgid=b912e335 size=2670 nrcpt=1 proto=ESMTP
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: 73495635c8c7456b smtp phong bì evpid=b912e33501250790 from=<[email protected]> to=<[email protected]>
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: 7349563834c66e1a địa chỉ kết nối mta=smtp://redacted.local.ip.address:25 host=redacted-local-ip-address.isp.tld
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: 7349563834c66e1a mta đã kết nối
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: 73495635c8c7456b smtp bị ngắt kết nối lý do=thoát
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: smtp-out: Lỗi trên phiên 7349563834c66e1a: TLS cơ hội không thành công, hạ cấp xuống đồng bằng
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: 7349563834c66e1a địa chỉ kết nối mta=smtp+notls://redacted.local.ip.address:25 host=redacted-local-ip-address.isp.tld
Ngày 3 tháng 4 12:07:00 RemoteHostname smtpd[94758]: 7349563834c66e1a mta đã kết nối
Ngày 3 tháng 4 12:07:02 RemoteHostname smtpd[94758]: 7349563834c66e1a mta delivery evpid=b912e33501250790 from=<[email protected]> to=<[email protected]> rcpt=<-> source="redacted .remote.ip.address" relay="redacted.local.ip.address (redacted-local-ip-address.isp.tld)" delay=2s result="Ok" stat="250 2.0.0 082c7a5e Tin nhắn được chấp nhận cho vận chuyển"
Ngày 3 tháng 4 12:07:19 RemoteHostname smtpd[94758]: 7349563834c66e1a lý do mta bị ngắt kết nối=thoát tin nhắn=1
MÁY CHỦ TỪ XA pf.conf:
# $OpenBSD: pf.conf,v 1.55 2017/12/03 20:40:04 sau đó Exp $
#
# Xem pf.conf(5) và /etc/examples/pf.conf
đặt bỏ qua trên lo
chặn trả lại # chặn lưu lượng không trạng thái
vượt qua # thiết lập trạng thái giữ nguyên
# Theo mặc định, không cho phép kết nối từ xa với X11
chặn quay trở lại trên ! lo0 proto tcp tới cổng 6000:6010
# Người dùng xây dựng cổng không cần mạng
khối trả về đăng nhập proto {tcp udp} người dùng _pbuild
