Простейший почтовик-relay для локалки

Попробуй такую схему:

Входящая почта: ya.ru -> cron + fdm (http://fdm.sf.net) -> procmail (http://www.procmail.org) или dovecot-lda (http://dovecot.org)

Исходящая: твой postfix* -> ya.ru

где (*): mydestination = localhost, work smarthost = mail.yandex.ru + переписывание исходящего адреса при отправке для него

ну и ман postconf(5) почитать для просветления.

Почта локальным юзерам раздаётся с помощью того же dovecot'а.

тьфу, разметка. Ну ладно, дополню.

/etc/postfix/main.cf:
mydestination = localhost, work
relayhost = mail.yandex.ru
mailbox_command = procmail -a "$EXTENSION"

sender_dependent_relayhost_maps = hash:/etc/postfix/relays
smtp_generic_maps     = hash:/etc/postfix/out_maps
sender_canonical_maps = hash:/etc/postfix/out_maps

/etc/postfix/out_maps:
*@work        corpa@ya.ru

/etc/postfix/relays:
corpa@ya.ru [mail.yandex.ru]:25

...типа того. Все настройки - примерные, проверь.

Благодарю за оперативный отклик, сейчас почитаю все это.

Моя ошибка, что сразу не обозначил, но сейчас соединение к внешнему серверу идет на порт TLS, соответственно на старом сервере был костыль в виде утилиты STunnel, так как старый почтовик на прямую в TLS не мог, и письма не ходили, ссылаясь на отсутствие/подмену сертификата.

Stunel юзает самоподписанный сертификат, установленный в системе как доверенный, поэтому костыль работает.

Так вот, в конфиге postfix'a достаточно будет прописать

corpa@ya.ru [mail.yandex.ru]:455

И не совсем понятно, как будет проходить авторизация на mail.yandex.ru?

main.cf:
smtp_use_tls = yes

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass
smtp_sasl_security_options = noanonymous

saslpass:
mail.yandex.ru    corpa:password

Вобщем, открываешь ман и далее поиском по ключевым словам, типа sasl, tls и т.д.

Опции называются согласованно, запутаться сложно. Например smtp_* - это когда postfix выступает клиентом, smtpd_* - сервером.

Алсо, порт неправильный, д/быть 465.

UPD: Гильдебранд — «Postfix - подробное руководство»

Ссылок не даю, но гуглится легко.

postfix

Удалось таки настроить postfix на пересылку через сервер Яндекса, теперь явилась другая проблема - авторизация пользователей на smtp(d) сервере в локальной сети.

Если в main.cf разрешить пересылку из локальной сети, то все хорошо, сервер позволяет клиентам отсылать письма.

Однако, требуется авторизация на локальном сервере. Авторизацию настраивал, прочитав рекомендованную выше книгу (Гильдебранд — «Postfix - подробное руководство»). Авторизация через SASL2, auxprop, sasldb. На мой взгляд самый простой метод, т. к. не требует создания локальных пользователей на хосте и установки СУБД.

Но при попытке авторизоваться любым из доступных способов сервер выдает только autentification failed.

Логин и пароль в sasldb2 точто правильные, так как пересоздал эту базу уже несколько раз. В клиенте тоже все указываю верно. Подозреваю, что неправильно настроен именно sasl, однако, несколько раз повторив то, что написано в книге, так и не понял, что и где я сделал не так.

Вот main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
#smtpd_use_tls=yes
#smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

disable_dns_lookups = yes
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtp_use_tls = yes
smtpd_sasl_path = smtpd
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = ubuntutest.ordaupfin.local
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/saslpass
smtp_sasl_security_options = noanonymous
smtpd_sasl_security_options = noanonymous
myhostname = ubuntutest.ordaupfin.local
alias_maps = hash:/etc/postfix/aliases
alias_database = hash:/etc/postfix/aliases
mydestination = $mydomain, $myhostname
myorigin = $myhostname
relayhost = smtp.yandex.ru
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
mailbox_command = procmail -a "@EXTENSION"
sender_dependent_relayhost_maps = hash:/etc/postfix/relays
smtp_generic_maps = hash:/etc/postfix/out_maps
sender_canonical_maps = hash:/etc/postfix/out_maps

Вот smtpd.conf, который в /etc/postfix/sasl/smtpd.conf

log_level: 4
pwcheck_method: auxprop
mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5
auxprop_plugin: sasldb

А вот что падает в mail.log при попытке отправить письмо:

Jul  1 14:54:34 ubuntutest postfix/master[925]: terminating on signal 15
Jul  1 14:54:34 ubuntutest postfix/master[1277]: daemon started -- version 2.11.0, configuration /etc/postfix
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: connect from unknown[192.168.0.160]
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: warning: unknown[192.168.0.160]: SASL CRAM-MD5 authentication failed: authentication failure
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: warning: unknown[192.168.0.160]: SASL LOGIN authentication failed: authentication failure
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: warning: SASL authentication failure: Password verification failed
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: warning: unknown[192.168.0.160]: SASL PLAIN authentication failed: authentication failure
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: NOQUEUE: reject: RCPT from unknown[192.168.0.160]: 454 4.7.1 <stiflerpunk@mail.ru>: Relay access denied; from=<dvtcepilov@yandex.ru> to=<stiflerpunk@mail.ru> proto=ESMTP helo=<[192.168.0.160]>
Jul  1 14:55:00 ubuntutest postfix/smtpd[1283]: disconnect from unknown[192.168.0.160]

upd:

А вот что происходит, если разрешить пересылку из подсети 192.168.0.0/24 без авторизации:

Jul  1 15:26:30 ubuntutest postfix/postfix-script[1305]: error: unknown command: 'update'
Jul  1 15:26:30 ubuntutest postfix/postfix-script[1306]: fatal: usage: postfix start (or stop, reload, abort, flush, check, status, set-permissions, upgrade-configuration)
Jul  1 15:26:52 ubuntutest postfix/master[1277]: terminating on signal 15
Jul  1 15:26:52 ubuntutest postfix/master[1440]: daemon started -- version 2.11.0, configuration /etc/postfix
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: connect from unknown[192.168.0.160]
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: warning: unknown[192.168.0.160]: SASL CRAM-MD5 authentication failed: authentication failure
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: warning: unknown[192.168.0.160]: SASL LOGIN authentication failed: authentication failure
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: warning: SASL authentication failure: Password verification failed
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: warning: unknown[192.168.0.160]: SASL PLAIN authentication failed: authentication failure
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: 5C13D2130: client=unknown[192.168.0.160]
Jul  1 15:26:59 ubuntutest postfix/cleanup[1448]: 5C13D2130: message-id=<1689689870.20150701152658@yandex.ru>
Jul  1 15:26:59 ubuntutest postfix/qmgr[1444]: 5C13D2130: from=<dvtcepilov@yandex.ru>, size=789, nrcpt=1 (queue active)
Jul  1 15:26:59 ubuntutest postfix/smtpd[1445]: disconnect from unknown[192.168.0.160]
Jul  1 15:27:01 ubuntutest postfix/smtp[1449]: 5C13D2130: to=<stiflerpunk@mail.ru>, relay=smtp.yandex.ru[213.180.204.38]:25, delay=1.9, delays=0.13/0.02/1.2/0.58, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued on smtp12.mail.yandex.net as 1435746421-8H9y4Rels5-R0aanRap)
Jul  1 15:27:01 ubuntutest postfix/qmgr[1444]: 5C13D2130: removed

На конечный адрес письмо приходит нормально.

PS: на данный момент все это развернуто в виртуалке, дабы ненароком не ушатать работающий сервер.

Проблема с авторизацией на локальной машине решилась следующим образом (может кто-то на те же грабли наступит): Содержимое master.cf

-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       -       -       -       smtpd
submission inet n       -       -       -       -       smtpd

-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       n       -       -       smtpd
submission inet n       -       n       -       -       smtpd

Иначе, smptd запускался в chroot-окружении postfix'а и базу с пользователями искал, соответственно, в /var/spool/postfix/etc/, а не в /etc/, где она и лежит.

Так и не понял, почему.

Входящая почта: ya.ru -> cron + fdm (http://fdm.sf.net) -> procmail (http://www.procmail.org)

По этому пункту можно подробнее? Чет я так и не могу понять, что заставить забирать периодически почту с яндекса и доставлять ее локальному пользователю.

pwcheck_method: auxprop

Не хочешь переделать на saslauthd? это бы решило твою проблему с chroot'ом

По этому пункту можно подробнее? Чет я так и не могу понять, что заставить забирать периодически почту с яндекса и доставлять ее локальному пользователю.

cron(8) периодически дёргает fdm(1), который забирает почту с яндекса по pop3/imap, запускает procmail(1) и отдаёт письмо ему, для сортировки и раскладывания по локальным ящикам. Схема достаточно гибкая, все компоненты могут быть заменены, например вместо fdm можно взять fetchmail, вместо procmail'а взять dovecot-lda или заставить fdm скормить «пришедшее» письмо твоему почтовому серверу. (в скобках указан раздел man pages)

Поскольку ты добрался до получения почты, подумай, как ты будешь её хранить и отдавать юзерам. Два главных вопроса: системные/виртуальные ящики и mbox/maildir.

От себя лично рекомендую виртуальные ящики с хранением в maildir и отдачу юзерам по imap4 через dovecot. Виртуальные - чтобы не захламлять системный passwd, maildir - потому что с mbox очень быстро получишь файлики по гигабайту (и тормоза при работе с почтой), а imap - потому что он очень органично взаимодействует с maildir.

P.S. В раздел заглядываю нечасто, могу ответить через пару дней.

Не хочешь переделать на saslauthd? это бы решило твою проблему с chroot'ом

Уже нет, действующая конфигурация в плане пересылки вполне сгодится. Но вот привязать получение почты без dovecot (и, соответственно, перехода на saslauthd), видимо, не выйдет.

Про принцип я понял, но если в качестве POP/IMAP сервера ставить dovecot, то придется все переделывать под dovecot-sasl, иначе для получения и отправки придется пользоваться физически разными учетками, ведь dovecot-sasl не сможет читать учетки из sasldb (которая от Cyrus-sasl)?

Хотя, скорей всего, и так придется все переделывать, ибо Postfix, настроенный «по учебнику» совершенно не подходит под требования. Ну зато хоть в его конфигурации разобрался.

На то он тебе и учебник - максимально доходчиво показать принцип настройки.

Вобщем будут конкретные вопросы - спрашивай.

В общем, переделал все под связку Postfix + Dovecot. Локальная почта ходит локально, наружу все через учетку на Яндексе.

Остались 2 проблемы:

1. Как заставить fdm забирать почту, складывая ее в Maildir одного из локальных пользователей (сортировка не нужна, получает внешнюю почту один человек). Очевидно, что fdm c заданными настройками подключается к Яндексу, забирает почту и передает в локальный ящик, но гуглеж дал один единственный пример использования fdm (http://www.pub2me.net/pop3-imap-linux-socks5-proxy/), из которого не понятно, что нужно добавить в крон и как положить почту в maildir (в примере mbox виртуального пользователя, похоже)

2. Как заставить локальных пользователей представляться Яндексу как corporation@yandex.ru (MAIL FROM), а не vasyan@corporation.local, и вот почему: если Яндекс получает

 MAIL FROM: <vasyan@crporation.local>

В настройках ящика у клиента можно задать «обратный адрес» как corporation@yandex.ru, тогда Яндекс без проблем принимает письмо и все работает, однако тогда мой MTA не может дать локальному пользователю ответ о невозможности пересылки при возникновении ошибки (например, нет такого адреса или превышен лимит максимального размера сообщения), то есть Mail Delivery Agent видит имя отправителя как внешнее и сообщения об ошибке уходят в пустоту (остается запись в недрах mail.log).

И да, данный ранее ответ с примером конфига

smtp_generic_maps     = hash:/etc/postfix/out_maps
sender_canonical_maps = hash:/etc/postfix/out_maps

/etc/postfix/out_maps:
*@corporation.local        corporation@ya.ru

Поправка:

smtp_generic_maps     = hash:/etc/postfix/out_maps

@corporation.local

*@corporation.local

с локального адреса отправляем письмо на несуществующий адрес abs@cab.xyz, идет пересылка через Яндекс, так как cab.xyz это не локальный домен. Яндекс в свою очередь уведомляет об отсутствии такого получателя.

с локального адреса отправляем письмо на несуществующий локальный адрес abc@corporation.local, доставка осуществляется агентом local, так как corporation.local - локальный домен. Далее MTA видит, что получателя с именем abc@corporation.local у нас нет. Он делает уведомление пользователю, отправившему письмо на обратный адрес user@corporation.local corporation@yandex.ru (так как сработала карта out_maps и поле MAIL FROM теперь выглядит именно так). При этом MAIL FROM от агента доставки выглядит так: <>.

Тут Яндекс видит, что <> вовсе не corporation@yandex.ru и отказывает в доставке. В результате Петя не в курсе, что его письмо ушло в никуда.

складывая ее в Maildir одного из локальных пользователей

# из fdm.conf(5)
action "123" maildir "/path/to/user/Maildir/"
# сам fdm раскладывает письма
или
action "321" pipe    "/usr/lib/dovecot/deliver"
# ...доверяет это дело dovecot'у

Как заставить локальных пользователей представляться Яндексу

Локальные юзеры у тебя работают с твоим почтовиком. Он их авторизует, принимает письма, меняет заголовки на нужные и отдаёт дальше яндексу.

Авторизация postfix'а на яндексе - smtp_sasl_password_maps, переписывание заголовков - smtp_generic_maps+sender_canonical_maps. Этого должно быть достаточно.

Ты postmap hash:<файл с картой> делал после редактирования?

Проблему понял.

1) включи проверку существования юзера на этапе smtp-сессии, чтобы письма для несуществующих юзеров не принимались к доставке. Это твой сервер, ты так и так знаешь там всех валидных юзеров. «Ускорение отказа» + нет лишних bounce.

2) попробуй временно выключить sender_canonical_maps (которое применяется для всех), оставив только smtp_generic_maps (применяемое только для отправки через smtp).

UPD: письма для несуществующих *локальных* юзеров

action «123» maildir «/path/to/user/Maildir/»

Сделал нечто подобное, следуя вики арча, сломался ящик пользователя, теперь туда письма не приходят и получить их невозможно. В лог шла ругань на что-то связанное с правами:

Jul  7 07:50:20 ubuntutest dovecot: master: Dovecot v2.2.9 starting up (core dumps disabled)
Jul  7 07:50:21 ubuntutest postfix/master[935]: daemon started -- version 2.11.0, configuration /etc/postfix
Jul  7 07:51:26 ubuntutest postfix/smtps/smtpd[1138]: connect from unknown[192.168.0.160]
Jul  7 07:51:26 ubuntutest postfix/smtps/smtpd[1138]: Anonymous TLS connection established from unknown[192.168.0.160]: TLSv1.1 with cipher AES256-SHA (256/256 bits)
Jul  7 07:51:27 ubuntutest postfix/smtps/smtpd[1138]: 8F5742E4D: client=unknown[192.168.0.160], sasl_method=LOGIN, sasl_username=stifler
Jul  7 07:51:27 ubuntutest postfix/cleanup[1145]: 8F5742E4D: message-id=<1278803267.20150707075126@ubuntutest>
Jul  7 07:51:27 ubuntutest postfix/qmgr[943]: 8F5742E4D: from=<dvtcepilov@yandex.ru>, size=995, nrcpt=1 (queue active)
Jul  7 07:51:27 ubuntutest postfix/smtps/smtpd[1138]: disconnect from unknown[192.168.0.160]
Jul  7 07:51:27 ubuntutest dovecot: lda(stifler): msgid=<1278803267.20150707075126@ubuntutest>: saved mail to INBOX
Jul  7 07:51:27 ubuntutest postfix/local[1146]: 8F5742E4D: to=<stifler@ubuntutest>, relay=local, delay=0.19, delays=0.05/0.02/0/0.12, dsn=2.0.0, status=sent (delivered to command: /usr/lib/dovecot/deliver)
Jul  7 07:51:27 ubuntutest postfix/qmgr[943]: 8F5742E4D: removed
Jul  7 07:51:38 ubuntutest dovecot: pop3-login: Login: user=<stifler>, method=PLAIN, rip=192.168.0.160, lip=192.168.0.14, mpid=1150, TLS, session=<TCTlGUAa+QDAqACg>
Jul  7 07:51:38 ubuntutest dovecot: pop3(stifler): Error: open(/home/stifler/Maildir/cur/1436181886.1243_0.ubuntutest.ordaupfin.local:2,) failed: Permission denied (euid=1001(stifler) egid=1001(stifler) missing +r perm: /home/stifler/Maildir/cur/1436181886.1243_0.ubuntutest.ordaupfin.local:2,)
Jul  7 07:51:38 ubuntutest dovecot: message repeated 2 times: [ pop3(stifler): Error: open(/home/stifler/Maildir/cur/1436181886.1243_0.ubuntutest.ordaupfin.local:2,) failed: Permission denied (euid=1001(stifler) egid=1001(stifler) missing +r perm: /home/stifler/Maildir/cur/1436181886.1243_0.ubuntutest.ordaupfin.local:2,)]
Jul  7 07:51:38 ubuntutest dovecot: pop3(stifler): Error: Couldn't init INBOX: Internal error occurred. Refer to server log for more information. [2015-07-07 07:51:38]
Jul  7 07:51:38 ubuntutest dovecot: pop3(stifler): Mailbox init failed top=0/0, retr=0/0, del=0/134, size=174089
Jul  7 07:54:47 ubuntutest postfix/anvil[1142]: statistics: max connection rate 1/60s for (smtps:192.168.0.160) at Jul  7 07:51:26
Jul  7 07:54:47 ubuntutest postfix/anvil[1142]: statistics: max connection count 1 for (smtps:192.168.0.160) at Jul  7 07:51:26
Jul  7 07:54:47 ubuntutest postfix/anvil[1142]: statistics: max cache size 1 at Jul  7 07:51:26

А если доверить дело довекоту, как он поймет, кому класть письма?

попробуй временно выключить sender_canonical_maps

Спасибо, это помогло, теперь адрес подменяется только если идет пересылка через Яндекс, при локальной доставке все остается как есть.

сломался ящик пользователя

Просто запустил fdm fetch от рута и письма сложились в ящик без прав на чтение обычным пользователем. Сменил права на полученные письма + добавил проверку писем в кронтаб пользователя, теперь все норм.

Олсоу, никак теперь не могу заставить postfix пересылать почту через 465 порт Яндекса. smtp_use_tls = on есть, relays = [smtp.yandex.ru]:465 есть, но при таком раскладе письма не отправляются, подозреваю, нужно установить корневой сертификат яндекса, но где его взять?

подозреваю, нужно установить корневой сертификат яндекса, но где его взять?

В дебиане все корневые сертификаты лежат в пакете ca-certificates, в убунте скорее всего пакет называется так же, так что смотри в ту сторону. Также, через него можно подсунуть и кастомный сертификат.

Благодарю анонимуса за помощь, все настроил, все работает.

1. Входящая почта: cron дергает fdm, запуская его от имени того пользователя, в ящик которого требуется сваливать все внешние письма. POP3/IMAP - dovecot.

2. Исходящая почта: postfix + авторизация через dovecot-sasl, пользователи системные, созданы без возможности логиниться в свое окружение. Без сортировки (в моем случае она не требуется, но при необходимости настроить не проблема).

Плюсы этого сервера перед Courier Mail Server 1.59 (под офтопик), который использовался ранее, в том, что в случае локальных проблем с доставкой пользователь получает уведомление, олсоу, fdm может оставлять полученные письма на внешнем сервере. Кроме того, наличие почтовика на сервере позволяет слать администратору уведомления о состоянии системы.

Как результат - простейший почтовый сервер с возможностью масштабирования в будущем.

Не думал, что с почтовиком возникнет такой геморрой, однако, куча времени ушла на изучение матана, после этого настройка работающей связки заняла чуть более часа.

куча времени ушла на изучение матана, после этого настройка работающей связки заняла чуть более часа.

Запомни вот этот принцип, «от понимания - к действию». Классический юникс весь построен на нём.