it-swarm-ja.com

Postfix / Dovecot / LetsEncrypt-Gmail /メールクライアントは、私のサーバーからのメールが適切に暗号化されていないと言っています(赤いロック)

私はメールサーバー構成の専門家ではなく、問題のない魅力のように電子メールを機能させるために必要なすべてのこと(主に電子メール配信で機能するようにDNSレコードを構成すること)に精通していません。したがって、さまざまなことを試したので、それがどのように機能するか、いくつかの一般的なガイドラインに従ってすべてを構成するためにどのような手順を実行する必要があるか、または構成の何が問題になっているのかについての情報を説明する素晴らしいビデオへのリンクを受け取ってうれしいです私の問題を解決することができませんでした。

私はUbuntu17.04を実行している自分のLinuxサーバーを持っており、会社の電子メール用にpostfixとdovecotを設定しています。

問題は、Gmailアカウントにメールを送信するたびに、情報に赤いアイコン( http://puu.sh/x8ses/9c1a5fef89.png )が表示され、「 bisart.euはこのメッセージを暗号化しませんでした。」.

オリジナルメッセージ:

Delivered-To: [email protected]
Received: by 10.12.169.5 with SMTP id y5csp2584881qva;
        Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
X-Received: by 10.223.151.212 with SMTP id t20mr12538728wrb.233.1502568434417;
        Sat, 12 Aug 2017 13:07:14 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1502568434; cv=none;
        d=google.com; s=arc-20160816;
        b=izg+I4FrioYQ9iZXkCeJMpZwi8bNCUbQjzsQgGKxLXdaSnp9KcpLNNKhbPKBep5vnG
         JIoPaEX/mh1NiwI8ptQJJERxUT168OldzKgUZ7+EVL545Yk0EWBnRCNtdtSZa0yjr88O
         8fRnGzp93bn5NR/RE22Fvaw13QMvA4xVFc7m6J+BW7pOSmMwB976UoMw6s0jtUCHYkPR
         CxITyX7Wy8G2rR9Px5INQeH+PsKSOQQQAQoMl88Dcy9DOvF6yo8XR/g7tic8jExKO/BT
         Cn49sfI3Eg4S8Rs1DatWwp/lw7EViKwHEhZPVqRkxTXP0z3gKhNPdlFnABvUGdDG3Id4
         Ly+w==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-language:content-transfer-encoding:mime-version:user-agent
         :date:message-id:subject:from:to:arc-authentication-results;
        bh=QgRLF+6w7sye7fqLzlu3qDfNO47+yGPgui7mTGt5S7Y=;
        b=bPF5SMjoQhKivKP4wLWgg9uOkDudgfg/BLWiWycB9kmKxB7Eox9jMrJGSu+1wwHYMw
         HadoG0fdXLRFUj3D+/Ur2pWxIfREALH+zHGMIErkTUAN8H6rXZoQrsdrmAFvXYqKMKdq
         hk3JyUNoIED2whYzcb1lbS8ANks7hYSXwf0gTKUuzrAoCrRPoIcwWmyXMZEhZeNKhQBW
         cGmwbCnwijOSk8iAB/aX/C6cyE4OZ+K9uXbTzbwpL9u/rF83FC54JlTOSd0jpQ3MFv6Y
         sCduxKIhz9doud9ebsuB5WqKXXy7m2DlpWbzRsCozbbiKsnT0zZ0+a2UukTu+IZ87mYW
         HZ7g==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from mail.moowdesign.eu (moowdesign.bisart.eu. [185.160.111.248])
        by mx.google.com with ESMTP id k16si2937045wrk.226.2017.08.12.13.07.13
        for <[email protected]>;
        Sat, 12 Aug 2017 13:07:13 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) client-ip=185.160.111.248;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 185.160.111.248 as permitted sender) [email protected]
Received: from [192.168.1.69] (unknown [84.245.121.111]) by mail.moowdesign.eu (Postfix) with ESMTPSA id 19378121987 for <[email protected]>; Sat, 12 Aug 2017 22:07:12 +0200 (CEST)
To: [email protected]
From: Dominik Dancs <[email protected]>
Subject: dsadas
Message-ID: <[email protected]>
Date: Sat, 12 Aug 2017 22:07:10 +0200
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.2.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US

問題は、同じホストを指す複数のドメインがあり、同じメールサーバーが使用されていることです(moowdesign.eu、moow.info、fenixportal。 euなど)そして私はそれらすべてがSSL電子メール暗号化を持っている必要があります。

各ドメインはIPを指し、mail.domain.tldはMX DNSレコードとして設定されます(これはサーバーIPも指します)。

私のポートは転送されるので、すべてのメールトラフィックがサーバーに渡されます。

Let'sEncryptのacme.sh( https://github.com/Neilpang/acme.sh )クライアントを使用して、1つの証明書ですべてのドメインのワイルドカード証明書を作成し、それをダブコットとポストフィックスで使用します。

問題:

したがって、Gmailクライアントはメールに "bisart.eu"で署名するように要求しますが、そのドメインは私のサーバーとは何の関係もありませんmoowdesign.bisart.euが私のサーバーを指し、サーバーの逆のレコードがあることを除いて。そのドメイン/サーバーを使用して証明書に署名することはできません。

私は何をすべきか?赤いアイコンが表示され、詐欺メールか何かだと思われ、すべてのメールが直接スパムに送信される可能性が高いため、これをそのままにしておくのは最善ではないことを私は知っています。なんらかの解決策があるといいのですが。

また、すべてのドメインのDNSレコードは(それぞれ)次のとおりです。

               3600 IN MX  10 mail
@              3600 IN A   185.160.111.248
moow.info.     3600 IN TXT "v=spf1 mx a ptr ip4:185.160.111.248/32 a:mail.moow.info a:moowdesign.bisart.eu ~all"
mail           3600 IN A   185.160.111.248

私のmain.cf(Postfix設定ファイル)

compatibility_level = 2
debug_peer_level = 2

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
#daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix

mail_owner = postfix

default_privs = nobody

myhostname = mail.moowdesign.eu
mydomain = moowdesign.eu
myorigin = $mydomain
mydestination = localhost

append_dot_mydomain = no

unknown_local_recipient_reject_code = 550

mynetworks_style = Host

relay_domains = *

alias_maps = hash:/etc/aliases

debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq

setgid_group = vmail

inet_protocols = ipv4
inet_interfaces = all

meta_directory = /etc/postfix
shlib_directory = /usr/lib/postfix
html_directory = /usr/doc/postfix-3.1.2/html
manpage_directory = /usr/man
sample_directory = /etc/postfix
readme_directory = no

smtpd_tls_cert_file = /etc/dovecot/letsencrypt.crt
smtpd_tls_CAfile = /etc/dovecot/letsencrypt.chain
smtpd_tls_key_file = /etc/dovecot/letsencrypt.key
#smtpd_tls_cert_file = /etc/dovecot/private/mail.crt
#smtpd_tls_key_file = /etc/dovecot/private/mail.key

smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_unauth_destination,
        reject_unknown_reverse_client_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_helo_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_invalid_hostname,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client sbl.spamhaus.org,
        reject_rbl_client barracudacentral.org

smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_domains_maps.cf
virtual_alias_maps =
   mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
   mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf,
   mysql:/etc/postfix/mysql/virtual_alias_domain_catchall_maps.cf
virtual_mailbox_maps =
   mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf,
   mysql:/etc/postfix/mysql/virtual_alias_domain_mailbox_maps.cf

virtual_transport = lmtp:unix:/var/spool/postfix/private/dovecot-lmtp
alias_database = hash:/etc/aliases

メール送信のログ:

Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: warning: hostname 84-245-121-111.dynamic.swanmobile.sk does not resolve to address 84.245.121.111: Name or service not known
Aug 13 13:03:26 production postfix/smtps/smtpd[8768]: connect from unknown[84.245.121.111]
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: 472971201BC: client=unknown[84.245.121.111], sasl_method=PLAIN, [email protected]
Aug 13 13:03:27 production postfix/cleanup[8772]: 472971201BC: message-id=<[email protected]>
Aug 13 13:03:27 production postfix/qmgr[29192]: 472971201BC: from=<[email protected]>, size=627, nrcpt=1 (queue active)
Aug 13 13:03:27 production postfix/smtps/smtpd[8768]: disconnect from unknown[84.245.121.111] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Aug 13 13:03:29 production postfix/smtp[8775]: 472971201BC: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[64.233.167.27]:25, delay=1.9, delays=0.17/0/0.87/0.89, dsn=2.0.0, status=sent (250 2.0.0 OK 1502622209 y42si3780413wrd.170 - gsmtp)
Aug 13 13:03:29 production postfix/qmgr[29192]: 472971201BC: removed

この問題を解決するために情報を提供する必要があるものは他にありますか?

私は試した:

  • Bisart.euサーバーで自己署名証明書を作成し、それをdovecotとpostfixを使用してサーバーで使用します(役に立ちませんでしたが、「bisart.euはこのメッセージを暗号化しませんでした」と表示されます)
  • サーバーで自己署名証明書を作成しています(役に立ちませんでした)
  • Postfix設定でmain.cfのmyhostnameおよびmydomainプロパティを変更する
  • DNSにspfレコードを追加する

前もって感謝します。

2
dodancs

発信トラフィックの暗号化は、上記のいずれともあまり関係がありません。

メールを送信するとき、PostfixはGmailに接続します(したがって、どちらのポートも転送もMXレコードも含まれません)、TLSクライアントのように機能します(つまり、WebサーバーではなくWebブラウザーのように機能します)。 itcanは独自の証明書を提供できますが、提供する必要はありません。

さらに、Postfixには、サーバーモードとクライアントモードで、それぞれsmtpd_tls_*smtp_tls_*の下にTLSの個別の設定があります。 2つを混同しないでください。

次の設定が有効になっていることを確認してください。

smtp_tls_security_level = may
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtp_tls_loglevel = 1

OSに合わせてsmtp_tls_CAfileを調整します。 smtp_tls_loglevel設定は必須ではありませんが、ログを読み取るときに役立ちます。

smtp_tls_cert_fileおよびsmtp_tls_key_fileを設定する必要はありません(多くのメールサーバーはクライアント証明書を無視するか、ログ記録の目的でのみ使用します)。

4
user1686