[ubuntu] sendmail relayen via gmail

Pagina: 1
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • Drgn
  • Registratie: Februari 2004
  • Niet online
Na zelf meerdere poginging te hebben ondernomen wil ik het eens proberen met jullie hulp. Ik heb al menigmaal geprobeerd om sendmail zo te configureren dat het gmail als smtp relay gebruikt. Dit zonder succes en met enige frustratie. Het doel is om system mail naar mijn gmail account te kunnen sturen, en eventueel ook naar andere users. Nou is het allemaal geen halszaak dat het werkt, maar ik zou het gewoon graag één keer voor elkaar krijgen :P

Omdat ik een cli oplossing (howto) vrij snel aan de gang had, ben ik met mijn zoveelste poging begonnen om de mail via smtp.gmail.com te relayen, maar wederom loop ik vast. Ik heb me dit keer gebaseerd op deze site, maar er zijn er al vele voorgegaan waarbij elke site een andere benadering lijkt te hebben.

Op zich leek alles redelijk goed te gaan, tot ik "/etc/init.d/sendmail reload" doe. Daarbij krijg ik de volgende meldingen in mijn log:
Aug 15 20:10:33 ubuntu-server sm-mta[15474]: restarting /usr/sbin/sendmail-mta due to signal
Aug 15 20:10:33 ubuntu-server sm-mta[17000]: starting daemon (8.14.2): SMTP+queueing@00:10:00
Aug 15 20:10:33 ubuntu-server sm-mta[17000]: STARTTLS=server: file /etc/mail/certs/mycert.pem unsafe: Permission denied
Aug 15 20:10:47 ubuntu-server sm-mta[17002]: n7EDkDrx001824: to=<[mijnemail]@gmail.com>, ctladdr=<www-data@localhost.localdomain> (33/33), delay=1+04:24:33, xdelay=00:00:13, mailer=relay, pri=16860893, relay=smtp.gmail.com [74.125.79.111], dsn=4.0.0, stat=Deferred: smtp.gmail.com: No route to host


Er gaan dus (minimaal) 2 zaken verkeerd: de permissies op mycert.pem staan niet goed en ik krijg geen verbinding met gmail.

Qua permissies heb ik al vanalles geprobeerd, van alleen lezen voor root tot volledig open, het is net alsof de permissies niet het eigenlijke probleem zijn. De permissies voor de certs map staan (op het moment) als volgt:
lrwxrwxrwx 1 smmsp smmsp   26 2009-08-15 12:03 CAcert.pem -> /etc/mail/certs/mycert.pem
-rwxr-xr-x 1 smmsp smmsp  455 2009-08-15 12:00 dsa1024.pem
-rwxr-xr-x 1 smmsp smmsp 1513 2009-08-15 12:07 mycert.pem
-rwxr-xr-x 1 smmsp smmsp  668 2009-08-15 12:02 privkey.pem


De rechten in /etc/mail:
-rw------- 1 root  root   4211 2009-08-15 11:42 access
-rw-r----- 1 smmta smmsp 12288 2009-08-15 16:39 access.db
-rw-r--r-- 1 root  root    281 2008-01-24 15:30 address.resolve
lrwxrwxrwx 1 root  smmsp    10 2009-03-05 01:59 aliases -> ../aliases
drwsr-sr-x 2 smmsp smmsp  4096 2009-08-15 16:38 auth
drwsr-sr-x 2 smmsp smmsp  4096 2009-08-15 13:18 certs
-rw-r--r-- 1 root  smmsp  3282 2009-08-15 16:53 databases
-rw-r--r-- 1 root  root   5657 2008-01-24 15:30 helpfile
-rw-r--r-- 1 root  smmsp    24 2009-03-05 01:59 local-host-names
drwsr-sr-x 2 smmta smmsp  4096 2009-03-05 01:59 m4
-rwxr-xr-- 1 root  smmsp 10932 2009-08-15 16:53 Makefile
drwxr-xr-x 2 root  root   4096 2009-03-05 01:59 peers
drwxr-xr-x 2 root  smmsp  4096 2008-01-24 15:29 sasl
-rw-r--r-- 1 root  smmsp 65086 2009-08-15 16:53 sendmail.cf
-rw-r--r-- 1 root  root  11886 2009-08-15 16:39 sendmail.conf
-rw-r--r-- 1 root  smmsp  4896 2009-08-15 16:53 sendmail.mc
-rw-r--r-- 1 root  root    149 2008-01-24 15:30 service.switch
-rw-r--r-- 1 root  root    180 2008-01-24 15:30 service.switch-nodns
drwsr-sr-x 2 smmta smmsp  4096 2009-03-05 01:59 smrsh
-rw-r--r-- 1 root  smmsp 43956 2009-08-15 16:39 submit.cf
-rw-r--r-- 1 root  smmsp  2308 2009-08-15 11:42 submit.mc
drwxr-xr-x 2 smmta smmsp  4096 2009-03-05 01:59 tls
-rw-r--r-- 1 root  smmsp     0 2009-03-05 01:59 trusted-users


Over no route to host lijkt me /etc/mail/sendmail.mc relevant. Ik heb hier de regel "define(`ESMTP_MAILER_ARGS', `TCP $h 587')dnl" (buiten de instructies op eerder genoemde site) toegevoegd om smtp.gmail.com op de - naar ik dacht - juiste poort te benaderen. De poort staan ook op mijn router open:
divert(0)dnl
#
#   Copyright (c) 1998-2005 Richard Nelson.  All Rights Reserved.
#
#  This file is used to configure Sendmail for use with Debian systems.
#
DAEMON_OPTIONS(`Port=smtp, Name=MTA')dnl
dnl # MASQUERADE_AS(`mydomain.com')dnl
dnl # FEATURE(masquerade_envelope)dnl
dnl # FEATURE(masquerade_entire_domain)dnl
dnl # MASQUERADE_DOMAIN(mydomainalias.com)dnl
dnl #### define(`_USE_ETC_MAIL_')dnl
define(`_USE_ETC_MAIL_')dnl
include(`/usr/share/sendmail/cf/m4/cf.m4')dnl
VERSIONID(`$Id: sendmail.mc, v 8.14.2-2build1 2008-01-24 14:29:57 cowboy Exp $')
OSTYPE(`debian')dnl
DOMAIN(`debian-mta')dnl
dnl #### DOMAIN(`debian-mta')dnl
dnl # Items controlled by /etc/mail/sendmail.conf - DO NOT TOUCH HERE
undefine(`confHOST_STATUS_DIRECTORY')dnl        #DAEMON_HOSTSTATS=
dnl # Items controlled by /etc/mail/sendmail.conf - DO NOT TOUCH HERE
dnl #
dnl # General defines
dnl #
dnl # SAFE_FILE_ENV: [undefined] If set, sendmail will do a chroot()
dnl #	into this directory before writing files.
dnl #	If *all* your user accounts are under /home then use that
dnl #	instead - it will prevent any writes outside of /home !
dnl #   define(`confSAFE_FILE_ENV',             `')dnl
dnl #
dnl # Daemon options - restrict to servicing LOCALHOST ONLY !!!
dnl # Remove `, Addr=' clauses to receive from any interface
dnl # If you want to support IPv6, switch the commented/uncommentd lines
dnl #
dnl #### FEATURE(`no_default_msa')dnl
dnl DAEMON_OPTIONS(`Family=inet6, Name=MTA-v6, Port=smtp, Addr=::1')dnl
dnl #### DAEMON_OPTIONS(`Family=inet,  Name=MTA-v4, Port=smtp, Addr=127.0.0.1')dnl
dnl DAEMON_OPTIONS(`Family=inet6, Name=MSP-v6, Port=submission, Addr=::1')dnl
dnl #### DAEMON_OPTIONS(`Family=inet,  Name=MSP-v4, Port=submission, Addr=127.0.0.1')dnl
dnl #
dnl # Be somewhat anal in what we allow
define(`confPRIVACY_FLAGS',dnl
`needmailhelo,needexpnhelo,needvrfyhelo,restrictqrun,restrictexpand,nobodyreturn,authwarnings')dnl
dnl #
dnl # Define connection throttling and window length
define(`confCONNECTION_RATE_THROTTLE', `15')dnl
define(`confCONNECTION_RATE_WINDOW_SIZE',`10m')dnl
dnl #
dnl # Features
dnl #
dnl # use /etc/mail/local-host-names
FEATURE(`use_cw_file')dnl
dnl #
dnl # The access db is the basis for most of sendmail's checking
FEATURE(`access_db', , `skip')dnl
dnl #
dnl # The greet_pause feature stops some automail bots - but check the
dnl # provided access db for details on excluding localhosts...
FEATURE(`greet_pause', `1000')dnl 1 seconds
dnl #
dnl # Delay_checks allows sender<->recipient checking
FEATURE(`delay_checks', `friend', `n')dnl
dnl #
dnl # If we get too many bad recipients, slow things down...
define(`confBAD_RCPT_THROTTLE',`3')dnl
dnl #
dnl # Stop connections that overflow our concurrent and time connection rates
FEATURE(`conncontrol', `nodelay', `terminate')dnl
FEATURE(`ratecontrol', `nodelay', `terminate')dnl
dnl #
dnl # If you're on a dialup link, you should enable this - so sendmail
dnl # will not bring up the link (it will queue mail for later)
dnl define(`confCON_EXPENSIVE',`True')dnl
dnl #
dnl # Dialup/LAN connection overrides
dnl #
include(`/etc/mail/m4/dialup.m4')dnl
include(`/etc/mail/m4/provider.m4')dnl
dnl #
FEATURE(`authinfo', `hash /etc/mail/auth/client-info')dnl
dnl # Default Mailer setup
MAILER_DEFINITIONS
MAILER(`local')dnl
MAILER(`smtp')dnl
define(`SMART_HOST', `smtp.gmail.com')dnl
define(`ESMTP_MAILER_ARGS', `TCP $h 587')dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`CERT_DIR', `/etc/mail/certs')
define(`confCACERT_PATH', `CERT_DIR')
define(`confCACERT', `CERT_DIR/CAcert.pem')
define(`confSERVER_CERT', `CERT_DIR/mycert.pem')
define(`confSERVER_KEY', `CERT_DIR/mykey.pem')
define(`confCLIENT_CERT', `CERT_DIR/mycert.pem')
define(`confCLIENT_KEY', `CERT_DIR/mykey.pem')


Heeft iemand suggesties?

[ Voor 0% gewijzigd door Drgn op 16-08-2009 13:53 . Reden: mail adres verwijderd ]

Leave the gun, get the canoli


Acties:
  • 0 Henk 'm!

Anoniem: 187577

Die permissies van je certificaat zijn juist te 'unsafe', je moet ze chmodden naar bijv. 0600. .pem is een private key als ik het goed heb, dus MOET onzichtbaar blijven voor public.

Google

[ Voor 13% gewijzigd door Anoniem: 187577 op 15-08-2009 20:43 ]


Acties:
  • 0 Henk 'm!

  • orillion
  • Registratie: April 2006
  • Laatst online: 11:09
Kan je smtp.gmail.com wel pingen?

Acties:
  • 0 Henk 'm!

  • Drgn
  • Registratie: Februari 2004
  • Niet online
Ik heb de permissies al eerder op 600 gehad, maar dan krijg ik hetzelfde bericht. Als ik het nog verder dicht zet krijg ik 'file not found' in plaats van 'permission denied'.

Permissies op /etc/mail/certs/
drwS--S--- 2 smmsp smmsp  4096 2009-08-15 13:18 certs


Permissis op /etc/mail/certs/*
lrwxrwxrwx 1 smmsp smmsp   26 2009-08-15 12:03 CAcert.pem -> /etc/mail/certs/mycert.pem
-rw------- 1 smmsp smmsp  455 2009-08-15 12:00 dsa1024.pem
-rw------- 1 smmsp smmsp 1513 2009-08-15 12:07 mycert.pem
-rw------- 1 smmsp smmsp  668 2009-08-15 12:02 privkey.pem


smtp.gmail.com pingen is geen probleem.

* knip *

[ Voor 40% gewijzigd door Drgn op 16-08-2009 13:38 . Reden: te vroeg gesproken ]

Leave the gun, get the canoli


Acties:
  • 0 Henk 'm!

  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

offtopic:
Als je mail relayed via Gmail zal er "namens <account@gmail.com>" komen te staan. Ik zou dat niet willen en dan eerder de smtp-server van mijn isp gebruiken.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.


Acties:
  • 0 Henk 'm!

  • Drgn
  • Registratie: Februari 2004
  • Niet online
@Marzman: op dit moment ben ik nog niet veeleisend :)

Ik ben net nog even met het linkje van rutgerlak aan de slag geweest. Ik heb /etc/mail/sendmail.mc aangepast door de regel
define(`ESMTP_MAILER_ARGS', `TCP $h 587')dnl


te verwijderen en de smtp.gmail.com regel aan te passen naar:
define(`SMART_HOST', `smtp.gmail.com:587')dnl


In mail.log krijg ik nu
Aug 16 14:08:08 ubuntu-server sm-mta[24195]: restarting /usr/sbin/sendmail-mta due to signal
Aug 16 14:08:08 ubuntu-server sm-mta[24328]: starting daemon (8.14.2): SMTP+queueing@00:10:00
Aug 16 14:08:08 ubuntu-server sm-mta[24328]: STARTTLS=server: file /etc/mail/certs/mycert.pem unsafe: Permission denied



Wat positief lijkt..

[ Voor 23% gewijzigd door Drgn op 16-08-2009 14:10 . Reden: Juiste poort ingesteld ]

Leave the gun, get the canoli


Acties:
  • 0 Henk 'm!

  • Sallin
  • Registratie: Mei 2004
  • Niet online
Gebruik je een beveiligde verbinding om met gmail te verbinden? Ik had eerder problemen met het gebruiken van de hotmail smtpserver omdat ik geen beveiligde verbinding probeerde te maken, terwijl een beveiligde verbinding noodzakelijk was.

Ik heb even snel door de TS gekeken of er aanwijzingen hierover stonden, zag zo snel niets en ben ook niet goed bekend met sendmail

This too shall pass
Debian | VirtualBox (W7), Flickr


Acties:
  • 0 Henk 'm!

  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

Drgn schreef op zondag 16 augustus 2009 @ 13:51:
@Marzman: op dit moment ben ik nog niet veeleisend :)
Ok, wat je dan waarschijnlijk ook nog moet doen afgezien van het mailserverconfiguratieverhaal is de e-mailadressen authentificeren als zijnde van jou waarmee je mail verstuurd. Dit kan via de webmail van Gmail.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.


Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Even los van het gmail-gedeelte; waarom in GODSNAAM doe je dit met sendmail? Neem alsjeblieft exim, dat is begrijpbaar zodat je a) iets hebt dat werkt en b) iets hebt dat niet compleet onveilig is omdat je niet weet wat je doet.

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • Marzman
  • Registratie: December 2001
  • Niet online

Marzman

They'll never get caught.

CyBeR schreef op zondag 16 augustus 2009 @ 14:41:
Even los van het gmail-gedeelte; waarom in GODSNAAM doe je dit met sendmail? Neem alsjeblieft exim, dat is begrijpbaar zodat je a) iets hebt dat werkt en b) iets hebt dat niet compleet onveilig is omdat je niet weet wat je doet.
Misschien doet hij het juist om er iets van te leren?

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.


Acties:
  • 0 Henk 'm!

  • Drgn
  • Registratie: Februari 2004
  • Niet online
Ja, ik doe dit om ervan te leren. Eigenlijk zat ik al te wachten op een reactie zoals die van Cyber, blijkbaar hoort het erbij om newbees even op de feiten te wijzen als ze met mailservers aan de slag gaan. Dat vind ik ook niet onterecht. Ik sta helemaal open voor suggesties voor andere (veiliger) MTA's, zaken waar ik rekening mee moet houden en documentatie die ik gelezen zou moeten hebben. Maar tot dat ik dit aan de gang heb wil ik me graag focussen op waar ik aan begonnen ben. Dat is dus sendmail, de rest is voor later.

Goed, de stand van zaken: Ik ben nu zover dat ik geen foutmeldingen meer heb door alles op readonly voor root te zetten. Bij eerdere pogingen had ik niet gezien dat de 'file not found' naar mykey.pem verwees ipv privkey.pem, zoals die bij mij heette |:( Maar goed, dat is dus ook opgelost.

Dat neemt niet weg dat ik nog steeds een 'stat: Deferred' krijg in mail.log. Ik ga zelf weer even verder zoeken, maar als iemand alvast een suggestie heeft is die natuurlijk van harte welkom.

Leave the gun, get the canoli


Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Drgn schreef op zondag 16 augustus 2009 @ 17:59:
Ja, ik doe dit om ervan te leren. Eigenlijk zat ik al te wachten op een reactie zoals die van Cyber, blijkbaar hoort het erbij om newbees even op de feiten te wijzen als ze met mailservers aan de slag gaan. Dat vind ik ook niet onterecht.
Fijn, want newbies die met mailservers aan de slag zijn gegaan zijn verantwoordelijk voor ongeveer 50% van de spam in m'n inbox.

That said, als je ervan wilt leren is dat allemaal prima (waarom je sendmail zou willen leren is een ander punt), maar dan hoop ik wel dat het ding niet vanaf het internet bereikbaar is zolang je niet zeker weet dat je niet een open relay hebt gemaakt.

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • Drgn
  • Registratie: Februari 2004
  • Niet online
Nope, zou niet moeten. Itt wat ik eerder postte staan alleen services als ssh en http open.

Leave the gun, get the canoli


Acties:
  • 0 Henk 'm!

Anoniem: 59380

hiermee kan je testen of je mailserver open relay speelt.

http://www.abuse.net/relay.html

[ Voor 23% gewijzigd door Anoniem: 59380 op 17-08-2009 15:00 . Reden: pasten vergeten ;-) ]


Acties:
  • 0 Henk 'm!

  • igmar
  • Registratie: April 2000
  • Laatst online: 16-06 09:56

igmar

ISO20022

CyBeR schreef op zondag 16 augustus 2009 @ 18:04:
Fijn, want newbies die met mailservers aan de slag zijn gegaan zijn verantwoordelijk voor ongeveer 50% van de spam in m'n inbox.
Blergh. Hier heb ik dus een hekel aan : Bovenstaande ging misschien 6 jaar geleden op. Je spam komt van 98% van met trojans en malware besmette bakken en foute hosters. sendmail staat al jaren bij default dicht, en al is het niet de makkelijkste mailer : De rulesets maken 'm wel erg flexibel (al zij er maar weinig mensen die dat echt snappen).

Acties:
  • 0 Henk 'm!

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

igmar schreef op dinsdag 18 augustus 2009 @ 10:31:
[...]


Blergh. Hier heb ik dus een hekel aan : Bovenstaande ging misschien 6 jaar geleden op. Je spam komt van 98% van met trojans en malware besmette bakken en foute hosters. sendmail staat al jaren bij default dicht, en al is het niet de makkelijkste mailer : De rulesets maken 'm wel erg flexibel (al zij er maar weinig mensen die dat echt snappen).
Alles staat default dicht. Maar het is vrij makkelijk om fouten te maken met dit soort spul, en zeker sendmail. En dat ging zeker niet alleen 6 jaar geleden op maar nu nog steeds. Via een open relay mailen is vaak veel effectiever dan direct mailen.

Dat is prima, in een afgesloten testomgeving. Maar niet op het internet.

Mail is zo ongeveer het enige waar dit voor geldt. Wat je doet met je webservers moet je lekker zelf weten, maar fout geconfigureerde mailservers zorgen voor overlast bij anderen.

All my posts are provided as-is. They come with NO WARRANTY at all.


Acties:
  • 0 Henk 'm!

  • Olaf van der Spek
  • Registratie: September 2000
  • Niet online
Marzman schreef op zondag 16 augustus 2009 @ 13:42:
offtopic:
Als je mail relayed via Gmail zal er "namens <account@gmail.com>" komen te staan. Ik zou dat niet willen en dan eerder de smtp-server van mijn isp gebruiken.
Dat hangt ervan af welk from adres je gebruikt toch? Als het toch al from gmail.com is, zie ik geen punt.
CyBeR schreef op zondag 16 augustus 2009 @ 14:41:
Even los van het gmail-gedeelte; waarom in GODSNAAM doe je dit met sendmail? Neem alsjeblieft exim, dat is begrijpbaar zodat je a) iets hebt dat werkt en b) iets hebt dat niet compleet onveilig is omdat je niet weet wat je doet.
Is dit met Exim wel makkelijk te doen? Een smarthost instellen is inderdaad geen punt. Maar kun je dan ook (liefst per-user) de From header aanpassen?

[ Voor 38% gewijzigd door Olaf van der Spek op 18-08-2009 12:22 ]


Acties:
  • 0 Henk 'm!

  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Marzman schreef op zondag 16 augustus 2009 @ 13:42:
offtopic:
Als je mail relayed via Gmail zal er "namens <account@gmail.com>" komen te staan. Ik zou dat niet willen en dan eerder de smtp-server van mijn isp gebruiken.
Plus dat ISP's veelal alléén SMTP relaying (/ mailverkeer) toestaan richting hun eigen SMTP servers als het mailtjes naar het internet betreft.

[ Voor 5% gewijzigd door CH4OS op 18-08-2009 12:32 ]


Acties:
  • 0 Henk 'm!

  • Olaf van der Spek
  • Registratie: September 2000
  • Niet online
GJtje schreef op dinsdag 18 augustus 2009 @ 12:29:
[...]
Plus dat ISP's veelal alleen SMTP relaying (/ mailverkeer) toestaan richting hun eigen SMTP servers.
Belachelijk is dat, zeker als je zelf SPF op je domein gebruikt.

Acties:
  • 0 Henk 'm!

  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Olaf van der Spek schreef op dinsdag 18 augustus 2009 @ 12:30:
Belachelijk is dat, zeker als je zelf SPF op je domein gebruikt.
Tja, het is wel secure natuurlijk. De servers van de ISP worden dan niet geblacklist en mails naar het internet toe hebben dan vaak een extra viruscheck. Maar dat is een totaal andere discussie, maar wat ik aanstipte is denk ik wel een aandachtspunt voor de TS.

Acties:
  • 0 Henk 'm!

  • Olaf van der Spek
  • Registratie: September 2000
  • Niet online
GJtje schreef op dinsdag 18 augustus 2009 @ 12:33:
[...]
Tja, het is wel secure natuurlijk. De servers van de ISP worden dan niet geblacklist en mails naar het internet toe hebben dan vaak een extra viruscheck.
Waarom zouden de servers van de ISP geblacklist worden? Delen van het dynamische adresbereik van de ISP worden misschien geblacklist, maar dat is wat anders. Delen die toch al op een lijst hadden moeten staan van systemen die niet direct mail mogen verzenden denk ik.
Pagina: 1