在我的基础设施中,我有几个邮件服务器 (mailcow),每个实例为不同的域提供服务。我想在它们前面构建一个邮件代理,以减少每个服务使用的 IP 数量,并允许客户在客户端预设中拥有自己的域名。
SMTP 作为 MTA 的处理方式不同。通过 Postfix 传入的消息由中央服务器处理(因为 MX 记录对客户不可见)。所以这不是我的问题。
因此我在 Debian Buster 上配置了一个基于 Dovecot 的邮件代理,配置如下:
ssl_cert = </etc/dovecot/ssl/default.pem
ssl_key = </etc/dovecot/ssl/default.key
# just an example for different domains via SNI
local_name mail.domain1.tld {
ssl_cert = </etc/dovecot/ssl/mail.domain1.tld.pem
ssl_key = </etc/dovecot/ssl/mail.domain1.tld.key
}
# just an example for different domains via SNI
local_name mail.domain2.tld {
ssl_cert = </etc/dovecot/ssl/mail.domain2.tld.pem
ssl_key = </etc/dovecot/ssl/mail.domain2.tld.key
}
auth_cache_size = 4 k
disable_plaintext_auth = no
passdb {
args = /etc/dovecot/sql.conf
driver = sql
}
protocols = "imap pop3 submission"
service auth {
user = root
}
userdb {
args = static uid=5000 gid=5000 home=/dev/null
driver = static
}
并且 sql.conf 是
## SQL passdb configuration
driver = mysql
# Database options
connect = host=localhost dbname=dovecot user=dovecot password=dovecot
# Query
password_query = SELECT NULL AS password, NULL AS destuser, host, 'Y' AS nologin, 'Y' AS nodelay, 'Y' AS nopassword, 'Y' AS proxy, 'any-cert' AS `ssl` FROM proxy_domain WHERE domain = '%d'
# eof
该数据库包含:
CREATE TABLE `proxy_domain` (
`domain` varchar(255) NOT NULL,
`host` varchar(255) NOT NULL,
PRIMARY KEY (`domain`)
);
insert into proxy_domain (domain, host) values ('domain1.tld','mailhost1');
insert into proxy_domain (domain, host) values ('domain2.tld','mailhost2');
这或多或少是
- 代理人:https://wiki1.dovecot.org/HowTo/ImapProxy(上次更新于 2011 年,配置参数非常旧)
- 服务质量:https://wiki.dovecot.org/SSL/DovecotConfiguration
IMAP 和 POP3 服务已启动,并且
openssl s_client -connect ac-hcn0002.acoby.net:993
我可以登录,而且 SNI 也运行正常。后端可通过 SSL 访问。使用 starttls (110, 143, 587) 时,仅显示第一个证书。这没问题,可以接受,因为我不会向客户推荐这样做。
但是现在提交(后来筛选)。
问题 1:
Dovecot 能够打开 587 进行提交。这只能通过 STARTTLS 实现。但代理随后尝试在后端系统上直接使用端口 587 上的 SSL 进行通信以进行提交(我认为这是不正确的 - 它应该以纯文本形式启动并进行 STARTTLS)。我认为,发生这种情况是因为 passdb 返回了 global SSL=any-cert。这是一个错误吗?我可以覆盖 587 的该行为吗?也许有办法使用 STARTTLS(而不是默认/第一个)发送正确的证书?
问题2:
然后是端口 465。在我的情况下,Dovecot 还可以打开提交端口 465/SSL,以便将所有经过身份验证的消息转发到后端的 465 提交端口。但我该如何配置呢?我找不到任何示例。
我知道使用 dovecot 代理的邮件基础设施以及带有后缀的解决方案-但我不太确定,如果使用 dovecot-socket 的答案在这种情况下有效,并且我不想仅为提交而安装后缀,而 Dovecot 可以开箱即用地处理该问题。
答案1
通过返回'any-cert' AS 'ssl'passdb,您可以强制 dovecot 使用 TLS 进行下游连接。不幸的是,我不知道如何更改passdb 返回的内容之间starttls的连接类型(tlshttps://dovecot.org/pipermail/dovecot/2018-September/112928.html)
我的解决方法是强制下游 STARTTLS 连接并始终使用它。
password_query = SELECT NULL as password, 'y' as nopassword, 'y' as proxy, NULL as destuser, 'y' as proxy_nopipelining, host, 'y' as nodelay, 'y' as nologin, 'any-cert' as 'starttls';
“正确”的查询应该是这样的:
password_query = SELECT NULL as password, 'y' as nopassword, 'y' as proxy, NULL as destuser, 'y' as proxy_nopipelining, host, 'y' as nodelay, 'y' as nologin, IF(%{real_lport}=587, 'any-cert', 'no') as 'starttls', IF(%{real_lport}<>587, 'any-cert', 'no') as 'ssl';
它将根据连接进来的端口切换 starttls/tls。不幸的是,dovecot 目前不支持此功能。