主页 / server / 问题 / 1031441
Accepted
TRW
Asked: 2020-08-26 07:03:00 +0800 CST

Dovecot 作为提交的代理

  • 772

在我的基础架构中,我有几个邮件服务器(mailcow)为每个实例服务不同的域。我想在他们面前建立一个邮件代理,以减少每个服务使用的 IP 数量,并允许客户在他们的客户端预设中拥有自己的域名。

SMTP 作为 MTA 的处理方式不同。通过 Postfix 传入的消息由中央服务器处理(因为客户看不到 MX 记录)。所以这不是我的问题。

所以我在 Debian Buster 上配置了一个基于 Dovecot 的邮件代理,配置如下:

ssl_cert = </etc/dovecot/ssl/default.pem
ssl_key = </etc/dovecot/ssl/default.key

# just an example for different domains via SNI
local_name mail.domain1.tld {
  ssl_cert = </etc/dovecot/ssl/mail.domain1.tld.pem
  ssl_key = </etc/dovecot/ssl/mail.domain1.tld.key
}

# just an example for different domains via SNI
local_name mail.domain2.tld {
  ssl_cert = </etc/dovecot/ssl/mail.domain2.tld.pem
  ssl_key = </etc/dovecot/ssl/mail.domain2.tld.key
}

auth_cache_size = 4 k
disable_plaintext_auth = no

passdb {
  args = /etc/dovecot/sql.conf
  driver = sql
}
protocols = "imap pop3 submission"
service auth {
  user = root
}
userdb {
  args = static uid=5000 gid=5000 home=/dev/null
  driver = static
}

而 sql.conf 是

## SQL passdb configuration
driver = mysql

# Database options
connect = host=localhost dbname=dovecot user=dovecot password=dovecot

# Query
password_query = SELECT NULL AS password, NULL AS destuser, host, 'Y' AS nologin, 'Y' AS nodelay, 'Y' AS nopassword, 'Y' AS proxy, 'any-cert' AS `ssl` FROM proxy_domain WHERE domain = '%d'
# eof

该数据库包含:

CREATE TABLE `proxy_domain` (
  `domain` varchar(255) NOT NULL,
  `host` varchar(255) NOT NULL,
  PRIMARY KEY (`domain`)
);

insert into proxy_domain (domain, host) values ('domain1.tld','mailhost1');
insert into proxy_domain (domain, host) values ('domain2.tld','mailhost2');

这或多或少是一个例子

IMAP 和 POP3 服务已启动并与

openssl s_client -connect ac-hcn0002.acoby.net:993

我可以登录,而且 SNI 工作正常。后端可通过 SSL 访问。使用 starttls (110, 143, 587) 仅提供第一个证书。这是可以接受的,因为我不会向客户推荐。

但现在提交(和后来的筛子)。

问题一:

Dovecot 能够打开 587 进行提交。这只能通过 STARTTLS 获得。但是代理随后尝试在后端系统上直接与端口 587 上的 SSL 进行通信以提交(我认为这是不正确的 - 它应该以普通方式开始并生成 STARTTLS)。我认为,发生这种情况是因为 passdb 返回全局 SSL=any-cert。这是一个错误吗?我可以为 587 覆盖该行为吗?也许有没有办法用 STARTTLS 发送正确的证书(而不是默认/第一个)?

问题2:

然后是端口 465。Dovecot 还可以在我的情况下打开提交端口 465/SSL,以便将所有经过身份验证的消息转发到后端的 465 提交端口。但是我该如何配置呢?我找不到任何例子。

我知道带有 dovecot 代理的邮件基础设施和带有后缀的解决方案 - 但我不太确定,如果使用 dovecot-socket 的答案在这种情况下有效,并且我不想安装后缀仅用于提交,当Dovecot 可以开箱即用。

reverse-proxy dovecot smtp-auth

1 个回答

  1. Best Answer

    通过'any-cert' AS 'ssl'在您的 passdb 中返回,您强制 dovecot 使用 TLS 进行下游连接。不幸的是,我不知道如何更改starttlstls基于 passdb 返回的内容(https://dovecot.org/pipermail/dovecot/2018-September/112928.html)之间的连接类型

    我的解决方法是强制下游 STARTTLS 连接并始终使用它。

    password_query = SELECT NULL as password, 'y' as nopassword, 'y' as proxy, NULL as destuser, 'y' as proxy_nopipelining, host, 'y' as nodelay, 'y' as nologin, 'any-cert' as 'starttls';

    “正确”的查询将是这样的:

    password_query = SELECT NULL as password, 'y' as nopassword, 'y' as proxy, NULL as destuser, 'y' as proxy_nopipelining, host, 'y' as nodelay, 'y' as nologin, IF(%{real_lport}=587, 'any-cert', 'no') as 'starttls', IF(%{real_lport}<>587, 'any-cert', 'no') as 'ssl';

    这将根据连接进入的端口切换 starttls/tls。不幸的是,dovecot 目前不支持。

    • 1

相关问题