PTT數位生活區 / Linux

[問題] Postfix TLS 詭異問題已刪文

看板Linux作者 (安安)時間4年前 (2020/08/24 17:39), 4年前編輯推噓0(0010)
留言10則, 1人參與, 4年前最新討論串1/1
問題: gsuite 無法把信傳送回自己的主機,gsuite後端則告訴我 TLS error 系統:Debian GNU/Linux 10 (buster) Postfix 3.4.14 Dovecot 2.3.4.1 備注: hostname:relayb.xxx.tw mydestination = $myhostname, $mydomain 註2:從一台正常運行的centos 7的main.cf複製過來的postfix 但是後端換成了 dovecot-lda跟mdbox 詳細log在 https://pastebin.com/5Sc1BSUw 說明: 可以從gmail以比如root@relayb.xxx.tw 收到信 也可以用帳密以dovecot-sasl連上postfix:submission(587)/smtp(25)傳信到google,也 顯示有TLS加密 但是在使用smtps(wrapper_mode=yes)則無法連上 在利用gsuite雙重寄信的功能( https://support.google.com/a/answer/9228551 )回傳 給這台postfix時,則顯示TLS失敗 目的為備份user@xxx.tw收到的信(xxx.tw的mx已到gsuite上),且同樣使用centos7備份, 就沒有奇怪的問題 失敗情況:google 傳送 220 2.0.0 Ready to start TLS之後收到smtp_get: EOF 然後就 顯示例如 Aug 24 17:10:51 relayb postfix/smtpd[29497]: Anonymous TLS connection established from mail-wm1-f70.google.com[209.85.128.70]: TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256 Aug 24 17:10:51 relayb postfix/smtpd[29497]: lost connection after STARTTLS from mail-wm1-f70.google.com[209.85.128.70] 但是正常若是直接從gmail寄/收 user@relayb.xxx.tw的信 Aug 24 17:10:39 relayb postfix/smtpd[29497]: connect from mail-wm1-f41.google.com[209.85.128.41] 24 17:10:40 relayb postfix/smtpd[29497]: Anonymous TLS connection established from mail-wm1-f41.google.com[209.85.128.41]: TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits) key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256 Aug 24 17:10:40 relayb postfix/smtpd[29497]: C614AA1187: client=mail-wm1-f41.google.com[209.85.128.41] Aug 24 17:10:40 relayb postfix/cleanup[29503]: C614AA1187: message-id=<CA+Ysd5TWA1GZAQ5V0XygB@mail.gmail.com> Aug 24 17:10:40 relayb postfix/qmgr[29488]: C614AA1187: from=<aaaaaaa@gmail.com>, size=2556, nrcpt=1 (queue active) Aug 24 17:10:40 relayb postfix/local[29504]: C614AA1187: to=<user@relayb.xxx.tw>, relay=local, delay=0.08, delays=0.01/0.01/0/0.06, dsn=2.0.0, status=sent (delivered to command: /usr/lib/dovecot/dovecot-lda -d "$USER" -f "$SENDER" -a "$RECIPIENT") -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.233.226 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Linux/M.1598261984.A.4D2.html
08/25 11:43, 4年前 , 1F
雖然我沒用過,但用你那個lost connection...那段去google
08/25 11:43, 1F
08/25 11:44, 4年前 , 2F
,有人有同樣問題,自己找到答案: MTA_STS policy was to
08/25 11:44, 2F
08/25 11:44, 4年前 , 3F
blame. 祝好運
08/25 11:44, 3F
感謝B大回覆,但那個我有看過了,gsuite上並無設定mta-sts,其實問題就是現有centos7 沒問題,但改用debain10就有問題 用的同一份main.cf跟同樣的letsencrypt證書Orz ※ 編輯: tomsawyer (180.217.79.171 臺灣), 08/25/2020 18:22:18
08/25 20:43, 4年前 , 4F
看了一下該網站其他google結果,發現狀況還蠻多種,直覺覺
08/25 20:43, 4F
08/25 20:44, 4年前 , 5F
得可能是TLS 1.3問題? (centos相容,debian不相容或未更新
08/25 20:44, 5F
08/25 20:45, 4年前 , 6F
),猜這個是因為這個TLS 1.3比較新
08/25 20:45, 6F
剛剛看了一下 centos 7是openssl 1.0.2k-fips debain10是openssl 1.1.1d 應該不是這裡問題
08/25 21:21, 4年前 , 7F
debian是用來完全替代centos還是兩者並行運作? 如果並行
08/25 21:21, 7F
08/25 21:21, 4年前 , 8F
運作, 憑證應該要重新申請吧?
08/25 21:21, 8F
是wildcard證書,不用重新申請吧 debain算是備份站 所以是並行 ※ 編輯: tomsawyer (180.217.79.171 臺灣), 08/25/2020 21:33:46
08/25 21:52, 4年前 , 9F
要不要先試著重新申請一份憑證? 反正免費,逐個問題排除
08/25 21:52, 9F
08/25 21:54, 4年前 , 10F
你上面那個詳細log是private,他人無法存取
08/25 21:54, 10F
改權限了 剛剛是有讓postfix吃tlsv1,v1.2都一樣的結果 推測是有奇怪的原因讓他在established tl s後直接lost掉 證書兩台是用同一份 其實也不只兩台 有3台centos7用同一份wildcard證書收發信 都正常 運行 debian若真不行 我就要換ubuntu了= = ※ 編輯: tomsawyer (180.217.79.171 臺灣), 08/25/2020 22:49:42
更多 tomsawyer 的文章
文章代碼(AID): #1VGuhWJI (Linux)
Linux 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 tomsawyer 的文章
文章代碼(AID): #1VGuhWJI (Linux)