В моей инфраструктуре есть несколько почтовых серверов (mailcow), обслуживающих разные домены для каждого экземпляра. Я хочу создать перед ними почтовый прокси, чтобы уменьшить количество используемых IP-адресов для каждой службы и позволить клиентам в любом случае иметь свои собственные доменные имена в своих клиентских предустановках.
SMTP как MTA обрабатывается иначе. Входящие сообщения через Postfix обрабатываются центральным сервером (поскольку записи MX не видны клиенту). Так что это не моя проблема.
Итак, я настроил почтовый прокси на основе Dovecot в Debian Buster со следующей конфигурацией:
ssl_cert = </etc/dovecot/ssl/default.pem
ssl_key = </etc/dovecot/ssl/default.key
# just an example for different domains via SNI
local_name mail.domain1.tld {
ssl_cert = </etc/dovecot/ssl/mail.domain1.tld.pem
ssl_key = </etc/dovecot/ssl/mail.domain1.tld.key
}
# just an example for different domains via SNI
local_name mail.domain2.tld {
ssl_cert = </etc/dovecot/ssl/mail.domain2.tld.pem
ssl_key = </etc/dovecot/ssl/mail.domain2.tld.key
}
auth_cache_size = 4 k
disable_plaintext_auth = no
passdb {
args = /etc/dovecot/sql.conf
driver = sql
}
protocols = "imap pop3 submission"
service auth {
user = root
}
userdb {
args = static uid=5000 gid=5000 home=/dev/null
driver = static
}
И sql.conf
## SQL passdb configuration
driver = mysql
# Database options
connect = host=localhost dbname=dovecot user=dovecot password=dovecot
# Query
password_query = SELECT NULL AS password, NULL AS destuser, host, 'Y' AS nologin, 'Y' AS nodelay, 'Y' AS nopassword, 'Y' AS proxy, 'any-cert' AS `ssl` FROM proxy_domain WHERE domain = '%d'
# eof
База данных содержит:
CREATE TABLE `proxy_domain` (
`domain` varchar(255) NOT NULL,
`host` varchar(255) NOT NULL,
PRIMARY KEY (`domain`)
);
insert into proxy_domain (domain, host) values ('domain1.tld','mailhost1');
insert into proxy_domain (domain, host) values ('domain2.tld','mailhost2');
Это более или менее пример
Сервисы IMAP и POP3 работают и работают
openssl s_client -connect ac-hcn0002.acoby.net:993
Я могу войти в систему, и SNI работает нормально. Бэкэнд доступен через SSL. При starttls (110, 143, 587) предоставляется только первый сертификат. Это нормально и приемлемо, потому что я бы не рекомендовал это покупателю.
Но теперь подача (а потом и сито).
Вопрос 1:
Dovecot может открыть 587 для отправки. Это доступно только через STARTTLS. Но затем прокси пытается связаться для отправки в бэкэнд-систему напрямую через SSL на порт 587 (что, я думаю, неверно - он должен запускаться просто и делать STARTTLS). Я думаю, это происходит, потому что passdb возвращает global SSL = any-cert. Это ошибка? Могу ли я изменить это поведение для 587? И, может быть, есть способ отправить правильный сертификат с помощью STARTTLS (вместо стандартного / первого)?
Вопрос 2:
Затем порт 465. Dovecot также может открыть порт отправки 465 / SSL в моем случае для пересылки всех аутентифицированных сообщений на порт отправки 465 на бэкэнде. Но как я могу это настроить? Я не нашел ни одного примера.
Я знаю о Почтовая инфраструктура с прокси-сервером dovecot и решение с постфиксом - но я не совсем уверен, работает ли ответ с сокетом dovecot в этом сценарии, и я не хочу устанавливать постфикс только для отправки, когда Dovecot может справиться с этим вне- коробка.
Вернувшись 'any-cert' AS 'ssl'
в вашей passdb вы заставляете dovecot использовать TLS для нисходящих подключений. К сожалению, я не знаю способа изменить тип соединения между starttls
или tls
на основе того, что возвращает passdb (https://dovecot.org/pipermail/dovecot/2018-September/112928.html)
Мой обходной путь - принудительно использовать STARTTLS Connections ниже по течению и всегда использовать это.
password_query = SELECT NULL as password, 'y' as nopassword, 'y' as proxy, NULL as destuser, 'y' as proxy_nopipelining, host, 'y' as nodelay, 'y' as nologin, 'any-cert' as 'starttls';
«Правильный» запрос будет примерно таким:
password_query = SELECT NULL as password, 'y' as nopassword, 'y' as proxy, NULL as destuser, 'y' as proxy_nopipelining, host, 'y' as nodelay, 'y' as nologin, IF(%{real_lport}=587, 'any-cert', 'no') as 'starttls', IF(%{real_lport}<>587, 'any-cert', 'no') as 'ssl';
который будет переключать starttls / tls в зависимости от порта, к которому пришло соединение. К сожалению, в настоящее время он не поддерживается dovecot.