Миграция почтового релея с Windows Server на CentOS 8

0

1

Решили устроить частичный вендекапец и перейти с Windows Server 2012 на Linux CentOS 8 и начать с почтовых relay.

Задача сводится к миграции с аналогичными настройками, но на Linux. С postfix я никогда не работал, но мануалы покурил и за меня делать не надо, проблема в другом.

В Windows Server три виртульных SMTP, два из которых привязаны к одному и тому же домену, но к разным портам. Для postfix нельзя указать один и тот же домен дважды для разных портов, выкидывает ошибку:

Jun  4 15:44:19 relay_server postfix/postmap[2526]: warning: virtual_transport.db: duplicate entry: "domain.ru"

На всякий случай, вот настройки на сервере Windows:

FQDN: mail.domain.ru
Домен: domain.ru
IP-адрес domain.ru: 270.24.83.12
Проверка подлинности: обычная + встроенная Windows
Ретрансляция: для всех, прошедших проверку

main.cf: https://pastebin.com/Wessgk6B

Файл /etc/postfix/db/virtual_transport:

domain.ru smtp:[270.24.83.12]:25

Собственно, вопрос такой: как на один домен навесить несколько портов и как вообще мой конфиг, нормально ли написан? Ну и, если вдруг не трудно, то как привязать авторизацию AD, как было в Windows? Гугл тряс, он не помог.

Ссылка

←	Настройка kerberos для принтера вместе с sssd

One-click почтовик на Арче

→

В Windows Server три виртульных SMTP, два из которых привязаны к одному и тому же домену, но к разным портам.

Это как? Не только на 25, но и на 26 и 27?

anonymous
(04.06.20 17:03:23 MSK)

Ответ на: комментарий от anonymous 04.06.20 17:03:23 MSK

Да. На 25, 2520. Третий виртуальный сервер работает на 37490-м порту с доменным именем domain (т. е. без домена первого уровня). Это и путает.

Fedorast
(04.06.20 17:06:43 MSK) автор топика

Ответ на: комментарий от Fedorast 04.06.20 17:06:43 MSK

Третий виртуальный сервер работает на 37490-м порту с доменным именем domain

Это где-нибудь есть в RFC об SMTP?

anonymous
(04.06.20 17:33:02 MSK)

Ответ на: комментарий от anonymous 04.06.20 17:33:02 MSK

Это где-нибудь есть в RFC об SMTP? Конечно, нет. Сервер настраивал не я, но задача - перенести, как было. Может, кто-то просто сталкивался с таким. Скриншот:

https://i.ibb.co/y8DW5Ck/image.png

В «доменном имени» - имя серверя-релея. Не пони-маю.

Fedorast
(04.06.20 17:57:46 MSK) автор топика

Ссылка

virtual_transport указывает, куда пересылать письма для определенного домена. Естественно запись может быть только одна и должна она содержать адрес вашего почтового сервера с ящиками.

Если вы хотите постфиксом слушать несколько портов (и, по желанию, с разными настройками), то дополнительные порты указываются в master.cf (вы его не упомянули, потому не знаю, изменяли ли его). Но изначально зависимости порт<->домен нет. Вы можете просто добавить порт в master.cf и он будет использовать ту же конфигурацию, что и в main.cf

Какую суть несет порт 37490 в вашем виндовом релее?

У вас релэй висит в интернете и принимает/отправляет письма из мира / в мир? или вы на него еще почтовых клиентов настраиваете?

keir ★★
(04.06.20 18:12:32 MSK)

Ответ на: комментарий от keir 04.06.20 18:12:32 MSK

(вы его не упомянули, потому не знаю, изменяли ли его). Нет, не изменял.

Какую суть несет порт 37490 в вашем виндовом релее? А чёрт его знает. Если я правильно понял, то на 25-порт письма принимаются, там как-то обрабатываются, а затем пересылаются на Exchange. Сервер непонятный и зачем он, вообще, нужен, тоже не ясно. Думаю обойтись без него.

У вас релэй висит в интернете и принимает/отправляет письма из мира / в мир? Да, но только из мира, только входящие. Планируется проверять на спам, на вирусы, вот это всё, но пока хотя бы сам релей настроить нормально, хотя бы с 25-ым портом. Не подскажете, кстати, где можно найти типовые конфиги для этой ситуации? В гугле есть, но кусочками и слишком отличающиеся друг от друга.

Fedorast
(04.06.20 18:31:53 MSK) автор топика

Проклятая разметка, при предпросмотре всё хорошо.

Fedorast
(04.06.20 18:46:41 MSK) автор топика

Ссылка

Вариант на случай «не получается вообще никак»: для postfix, как и для почти любой программы, можно создать несколько вариантов конфигов, и запустить несколько копий сервиса - каждый со своей конфигурацией. При таком подходе можно сделать абсолютно всё, например, персональный список доменов для postfix-а, висящего на определённом порту.
Но лучше конечно попытаться сделал всё в одном, это более спортивно.

spirit ★★★★★
(04.06.20 18:47:09 MSK)

Ответ на: комментарий от Fedorast 04.06.20 18:31:53 MSK

типовых конфигов как таковых нету - всегда разные условия проверки доменов/пользователей, разные способы использования антиспама/антивируса, проверка заголовков письма и т.д. Поэтому надо исходить только из задач, которые вы хотите решить.

По факту для приема писем вам нужен только 25 порт и транспорт для домена (который вы уже указали). Про остальные порты, используемые в windows server, можете не вспоминать - любой удаленный сервер будет обращаться к вам только по 25 порту.

У меня была пачка релеев с AD/Exchange на прошлой работе, если раскопаю в своем бардаке файлов конфиги, покажу )

keir ★★
(04.06.20 19:16:49 MSK)

Ответ на: комментарий от spirit 04.06.20 18:47:09 MSK

это как раз можно сконфигурировать в master.cf - создается экземпляр smtpd на отдельном порту/ip и указываются параметры, отличающиеся от main.cf.

keir ★★
(04.06.20 19:19:06 MSK)

Ссылка

Ответ на: комментарий от keir 04.06.20 19:16:49 MSK

У меня была пачка релеев с AD/Exchange на прошлой работе, если раскопаю в своем бардаке файлов конфиги, покажу )

О, я был бы очень благодарен :) Не списывать, а лишь сравнить, просмотреть, что у меня может быть не так.

Идея с пачкой сервисов очень хороша, можно попробовать, но мне кажется, что старые инженеры что-то перемудрили с несколькими виртуальными SMTP. Может, антиспам какой прикручивали or so.

Fedorast
(04.06.20 19:23:41 MSK) автор топика

В Windows Server три виртульных SMTP, два из которых привязаны к одному и тому же домену, но к разным портам.

Начни с понимания того, зачем этот бред там нагородили...

vasya_pupkin ★★★★★
(04.06.20 22:26:31 MSK)

Ответ на: комментарий от Fedorast 04.06.20 19:23:41 MSK

но мне кажется, что старые инженеры что-то перемудрили с несколькими виртуальными SMTP.

Контактов этих инженеров не осталось? В таких ситуациях самое простое и самое правильное решение - поговорить со специалистами, создававшими текущую конфигурацию сервисов.

Serge10 ★★★★★
(04.06.20 22:53:40 MSK)

Ссылка

Ответ на: комментарий от vasya_pupkin 04.06.20 22:26:31 MSK

Начни с понимания того, зачем этот бред там нагородили…

Что-то вроде того, что на разных портах разные разрешения. Вот вообще не понимаю, может, сообщество с таким сталкивалось.

Fedorast
(04.06.20 23:21:35 MSK) автор топика

Ссылка

Ну и, если вдруг не трудно, то как привязать авторизацию AD

Да, используй LDAP.

FireFighter ★★★
(05.06.20 17:30:46 MSK)

Ответ на: комментарий от FireFighter 05.06.20 17:30:46 MSK

Сервер в домене, вопрос, скорее, в том, как проверять список корректных e-mail в postfix. В официальной книге очень мутный алгоритм выгрузки данных из Exchange и передачи на сервер через SCP, но это не метод.

Fedorast
(06.06.20 23:00:18 MSK) автор топика

Ответ на: комментарий от Fedorast 06.06.20 23:00:18 MSK

С помощью чего вводил сервер в домен?

FireFighter ★★★
(08.06.20 05:26:14 MSK)

Вопросы читсо организационные.

Сколько тебе платят за переезд?

Куда убежали предыдущие, которые накрутили весь этот бред, но, что весело, таки ШинСервер - очень гибкая система, зачем её менять?

И что будет, если новая Линукс башня из костылей завалится?

anonymous
(08.06.20 07:36:57 MSK)

Ответ на: комментарий от Fedorast 04.06.20 19:23:41 MSK

smtpd_sender_login_maps = ldap:/etc/postfix/ldap-smtpd_sender_login_maps.cf
virtual_mailbox_maps = ldap:/etc/postfix/ldap-virtual_mailbox_maps.cf
virtual_mailbox_domains = domain.ru, domain.ltd, domain.aero
virtual_transport = hash:/etc/postfix/virtual_transport

/etc/postfix/ldap-smtpd_sender_login_maps.cf:

debuglevel = 0
search_base = dc=domain, dc=ltd
#server_host = ldap://domain.ltd
#server_port = 389
server_host = ldaps://domain.ltd
server_port = 636
ldap_timeout = 10
query_filter = (&(|(objectClass=group)(objectClass=user))(proxyaddresses=smtp:%s))
leaf_result_attribute = proxyAddresses
result_format = %s
special_result_attribute =
scope = sub
bind = yes

bind_dn = ldap-mailgates@domain.ltd
bind_pw = 1234567890abcdef

cache = no
dereference = 0
domain = domain.ru, domain.ltd, domain.aero
version = 3

/etc/postfix/ldap-virtual_mailbox_maps.cf:

debuglevel = 0
search_base = dc=domain, dc=ltd
#server_host = ldap://domain.ltd
#server_port = 389
server_host = ldaps://domain.ltd
server_port = 636
ldap_timeout = 10
query_filter = (proxyaddresses=*smtp:%s*) 
result_attribute = canonicalName
result_format = %s
special_result_attribute =
scope = sub
bind = yes

bind_dn = ldap-mailgates@domain.ltd
bind_pw = 1234567890abcdef

cache = no
dereference = 0
domain = domain.ru, domain.ltd, domain.aero
version = 3

/etc/postfix/virtual_transport:

domain.ru smtp:[exch-roundrobin.domain.ltd]
domain.ltd smtp:[exch-roundrobin.domain.ltd]
domain.aero smtp:[exch-roundrobin.domain.ltd]

keir ★★
(08.06.20 19:22:06 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.06.20 07:36:57 MSK

И что будет, если новая Линукс башня из костылей завалится?

Тяжко будет. Мне.

Fedorast
(09.06.20 12:04:28 MSK) автор топика

Ссылка

Ответ на: комментарий от FireFighter 08.06.20 05:26:14 MSK

С помощью чего вводил сервер в домен?

realm join

Fedorast
(09.06.20 12:06:40 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Настройка kerberos для принтера вместе с sssd

Admin

One-click почтовик на Арче

→

Похожие темы