Erro TLS do Postfix

Question

Erro TLS do Postfix

#1 resposta do (7 votos)

5

Estou trabalhando com uma configuração de Postfix / Dovecot / Roundcube, visando um sistema de correio de usuário virtual que possa enviar e-mails pela Internet, conforme documentado aqui .

Tudo parece funcionar bem; O pombal não mostra problemas, posso fazer telnet em todas as minhas portas; no entanto, sempre que tento enviar e-mails através do Roundcube, recebo o erro:

SMTP Error (220): Authentication failed.

E a partir dos registros:

[17-Jan-2015 05:27:31 +0000]: SMTP Error: SMTP error: Authentication failure: STARTTLS failed (Code: ) in /usr/share/webapps/roundcubemail/program/lib/Roundcube/rcube.php on line 1505 (POST /roundcube/?_task=mail&_unlock=loading1421472451594&_lang=en_US&_framed=1?_task=mail&_action=send)

Eu imaginei que, como o Postfix é responsável pelo SMTP, ele deve ser o culpado. Nos meus logs do Postfix, estou vendo:

Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: disconnect from localhost.localdomain[127.0.0.1]
Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: lost connection after STARTTLS from localhost.localdomain[127.0.0.1]
Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: warning: TLS library problem: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1293:SSL alert number
Jan 16 21:14:35 steelhorse postfix/smtpd[18426]: SSL_accept error from localhost.localdomain[127.0.0.1]: 0

Meu certificado SSL é assinado com localhost como o CN, pois isso corrigiu um problema diferente que eu estava tendo. O postfix foi configurado com o parâmetro $ myhostname para ser mail. [Mydomain] e usando o Afraid DynDNS Eu configurei um registro A para mail.mydomain, bem como um registro MX que foi como 1: mail. [Mydomain]. Eu tentei configurar tudo para apenas [mydomain] e não funcionou. Uma sessão de telnet é assim:

telnet [mydomain] 587
Trying [myip]...
Connected to [mydomain].
Escape character is '^]'.
220 [mydomain] ESMTP Postfix
ehlo [mydomain]
250-[mydomain]
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Meu postfix main.cf (não incluindo a maioria das linhas padrão):

#soft_bounce = no
queue_directory = /var/spool/postfix
command_directory = /usr/bin
daemon_directory = /usr/lib/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
#default_privs = nobody
myhostname = [mydomain]
#myhostname = virtual.domain.tld
mydomain = [mydomain]
#myorigin = $myhostname
myorigin = $mydomain
#inet_interfaces = all
#inet_interfaces = $myhostname
#inet_interfaces = $myhostname, localhost
#proxy_interfaces =
#proxy_interfaces = 1.2.3.4
#mydestination = $myhostname, localhost.$mydomain, localhost
...
#local_recipient_maps = unix:passwd.byname $alias_maps
unknown_local_recipient_reject_code = 550
#mynetworks_style = class
#mynetworks_style = subnet
mynetworks_style = host
#mynetworks = 168.100.189.0/28, 127.0.0.0/8
#mynetworks = $config_directory/mynetworks
#mynetworks = hash:/etc/postfix/network_table
#relay_domains = $mydestination
#relayhost = $mydomain
...
relay_domains = *
virtual_alias_maps = proxy:mysql:/etc/postfix/virtual_alias_maps.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/virtual_mailbox_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/virtual_mailbox_maps.cf
virtual_mailbox_base = /home/vmail
virtual_mailbox_limit = 512000000
virtual_minimum_uid = 5000
virtual_transport = virtual
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
local_transport = virtual
local_recipient_maps = $virtual_mailbox_maps
transport_maps = hash:/etc/postfix/transport

smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = /var/run/dovecot/auth-client
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated,     reject_unauth_destination
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/private/server.crt
smtpd_tls_key_file = /etc/ssl/private/server.key
smtpd_sasl_local_domain = $mydomain
broken_sasl_auth_clients = yes
smtpd_tls_loglevel = 1

Eu também tentei definir o smtp_conn_options do Roundcube como nulo, conforme aqui . Eu realmente não tenho certeza se os problemas estão nos registros DNS, no certificado SSL ou no quê. Toda e qualquer ajuda seria apreciada!

UPDATE

Depois de definir meu Roundcube conf.inc.php para verify_peer (_name) = false

/* Local configuration for Roundcube Webmail */
$config['db_dsnw'] = 'mysql://roundcube_user:steelcube@localhost/roundcube_db';
$config['default_host'] = 'ssl://localhost/';
$config['default_port'] = 993;
$config['smtp_server'] = 'tls://localhost/';
$config['smtp_user'] = '%u';
$config['smtp_pass'] = '%p';
$config['smtp_auth_type'] = 'LOGIN';
$config['smtp_conn_options'] = null;
$config['imap_conn_options'] = array(
  'ssl'         => array(
     'verify_peer'  => false,
     'verfify_peer_name' => false,
   ),
);
$config['smtp_conn_options'] = array(
  'ssl'         => array(
     'verify_peer'      => false,
     'verify_peer_name' => false,
  ),
);

$config['smtp_port'] = 587;
$config['support_url'] = '';
$config['des_key'] = '[secret]';
$config['plugins'] = array('archive', 'zipdownload');
$config['mime_types'] = '/etc/httpd/conf/mime.types';

Isso me dá um novo erro SMTP Error (535): Authentication failed quando enviar e-mail. Aqui o conteúdo do erro roundcube

[18-Jan-2015 02:58:06 UTC] PHP Deprecated:  Non-static method PEAR::raiseError() should not be called statically, assuming $this from incompatible context in /usr/share/webapps/roundcubemail/program/lib/Net/SMTP.php on line 371
[18-Jan-2015 02:58:06 UTC] PHP Deprecated:  Non-static method PEAR::raiseError() should not be called statically, assuming $this from incompatible context in /usr/share/webapps//roundcubemail/program/lib/Net/SMTP.php on line 371
[18-Jan-2015 02:58:06 +0000]: SMTP Error: SMTP error: Failed to set sender /roundcubemail/program/lib/Net/SMTP.php on line 371'[username]@[mydomain]' in /usr/share/webapps/roundcubemail/program/lib/Roundcube/rcube.php on line 1505 (POST /roundcube/?_task=mail&_unlock=loading1421549886598&_lang=en_US&_framed=1?_task=mail&_action=send)

E a entrada do maillog

Jan 18 20:18:21 steelhorse postfix/smtpd[1942]: connect from localhost.localdomain[127.0.0.1]
Jan 18 20:18:21 steelhorse postfix/smtpd[1942]: Anonymous TLS connection established from localhost.localdomain[127.0.0.1]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128    
Jan 18 20:18:21 steelhorse postfix/smtpd[1942]: warning: localhost.localdomain[127.0.0.1]: SASL LOGIN authentication failed: Invalid authentication mechanism
Jan 18 20:18:21 steelhorse postfix/smtpd[1942]: disconnect from localhost.localdomain[127.0.0.1]

Conforme solicitado em bate-papo , essa é a saída de dovecot -a | grep auth_mechanism

auth_mechanisms = plain

tls postfix roundcube email-server

por steelcowboy 17.01.2015 / 06:43

1 resposta

Tags tls postfix roundcube email-server

Por que os computadores objetam um CN e não uma unidade organizacional no Microsoft Active Directory? Que problemas terei ao executar uma SAN após o tempo de vida de suporte?

score 7 · Accepted Answer

OK parece que há muitas incompatibilidades em sua configuração de postfix, roundcube e dovecot. Vamos dividir um por um.

Erro STARTTLS

Esta linha de log

warning: TLS library problem: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca:s3_pkt.c:1293:SSL alert number

indicou que o PHP não verifica o certificado peer porque a CA desconhecida Este é um problema duplicado exato com esta pergunta: Roundcube & Postfix SMTP: Rotinas SSL: SSL3_READ_BYTES: alerta tlsv1 desconhecido ca: s3_pkt.c . E a partir da pergunta que você já resolve, adicione essas linhas no roundcube

$config['smtp_conn_options'] = array(
  'ssl'         => array(
     'verify_peer'      => false,
     'verify_peer_name' => false,
  ),
);

Erro de falha na autenticação

Para fazer isso, devemos procurar nos logs postfix e roundcube para identificar o problema. A mensagem real foi capturada no arquivo de log postfix

Jan 18 20:18:21 steelhorse postfix/smtpd[1942]: warning: localhost.localdomain[127.0.0.1]: SASL LOGIN authentication failed: Invalid authentication mechanism

Agora, como o mecanismo SASL de postfix foi fornecido pelo dovecot, você deve verificar o mecanismo que o dovecot oferece executando dovecot -a | grep auth_mechanism .

Olhando para roundcube $config['smtp_auth_type'] e dovecot auth_mechanisms config, você pode ver uma diferença entre esses dois. O Dovecot só oferece mecanismo PLAIN. Mas o roundcube foi configurado para usar o mecanismo LOGIN.

A solução pode ser uma ou ambas

Oferecendo mecanismo de LOGIN do lado do dovecot, adicionando
```
auth_mechanisms = plain login
```
na configuração do dovecot.
Defina o login PLAIN para o lado do roundcube alterando o parâmetro para
```
$config['smtp_auth_type'] = 'PLAIN';
```