Своя пошта на Postfix та Dovecot, не отримую пошту, помилка 111 Опции

[follet]

Добрий день. Я на распбері пай налаштував поштовий сервер Postfix 3.7.11 та Dovecot 2.3.19.1. В мене є дійсний домен mydomain.com а для пошти я виписав безкоштовний сертифікат для субдомена mail.mydomain.com, прописав потрібні записи в розділі DNS на cloudfare. На роутері відкрив порти
465 та 993 для SMTP та IMAP протоколів.

Через телнет підключився до сервера через вказані порти успішно. Також я налаштував Thunderbird і успішно підключаюсь до поштового сервера, також успішно надсилаю пошту на гмейл та інші сервіси, навіть вони попадають в папку вхідних а не спам, бо я додатково прописав SPF, DMARK, DKIM записи.

В мене тільки одна проблнема, коли я надсилаю пошту з гмейла або іншого сервіса на свій сервер, то я ці листи не отримую, а гмейл надсилає відповідь мені із помилкою:

The recipient server did not accept our requests to connect. For more information, go to https://support.google.com/mail/answer/7720 [mail.mydomain.com. [my-ip]: FAILED_PRECONDITION: connect error (111): Connection refused

Підкажіть будь ласка, на що звернути увагу, щоб я все-ж таки зміг отримувати листи. Файли конфігурацій без коментарів додав в спойлер. Дякую.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

/etc/postfix/main.cf

myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 3.6
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.com-0001/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.com-0001/privkey.pem
smtpd_tls_security_level = encrypt
smtpd_tls_auth_only = yes
smtpd_tls_wrappermode = yes
smtpd_tls_loglevel = 1
smtpd_use_tls = yes
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
myhostname = mail.mydomain.com
mydomain = mydomain.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mydomain.com, mail.mydomain.com, localhost.localdomain, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
home_mailbox = Maildir/
maillog_file = /var/log/mail.log
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

/etc/dovecot/dovecot.conf

!include_try /usr/share/dovecot/protocols.d/*.protocol
!include conf.d/*.conf
!include_try local.conf
log_path = /var/log/dovecot.log
auth_verbose = yes
protocols = imap lmtp

/etc/dovecot/conf.d/10-ssl.conf

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.mydomain.com-0001/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.mydomain.com-0001/privkey.pem
ssl_ca = </etc/letsencrypt/live/mail.mydomain.com-0001/chain.pem
ssl_client_ca_dir = /etc/ssl/certs
ssl_dh = </usr/share/dovecot/dh.pem

/etc/dovecot/conf.d/10-auth.conf

disable_plaintext_auth = yes
auth_username_format = %n
auth_mechanisms = plain login
!include auth-system.conf.ext

/etc/dovecot/conf.d/10-master.conf

service imap-login {
inet_listener imaps {
port = 993
ssl = yes
}
}
service pop3-login {
inet_listener pop3s {
port = 995
ssl = yes
}
}
service submission-login {
inet_listener submission {
}
}
service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
mode = 0600
user = postfix
group = postfix
}
}
service auth {
unix_listener /var/spool/postfix/private/auth {
mode = 0666
user = postfix
group = postfix
}
}

Сообщение отредактировал follet - Feb 13 2025, 11:31

[Spectral]

TCP 25 на вход живой, открыт? Без него никак.

[follet]

25й я також на всякий випадок пробросив, проте утилітами перевірки відкритості порту він заблокований. Я звернувся до провайдера він відповів, що 25й порт не блокує. Тоді як його розблокувати? І взагалі я не розумію, навіщо 25й порт, якщо в мене відкритий 465 це те саме тільки зашифроване.

[Spectral]

Это стандарт. Для борьбы со спамерами в т.ч, что бы банить нормально. Мой пров блокирует 25 совсем и открыть никак, даже за бабло (адекватное как для дома). Проблема может быть именно в этом.

[Tiger]

25й я також на всякий випадок пробросив, проте утилітами перевірки відкритості порту він заблокований. Я звернувся до провайдера він відповів, що 25й порт не блокує. Тоді як його розблокувати?

У тебя 25й порт открыт. Но сервер не отвечает на него корректно.

[BANDIT(filmmaniac)]

https://serverfault.com/questions/140212/ho...5-on-the-server

[follet]

Я відкрив порт 25 та 587. Спробував повторно відправити з гмейла лист на свій сервер, отримав таку відповідь:

The recipient server did not accept our requests to connect. For more information, go to https://support.google.com/mail/answer/7720 [mail.mydomain.com. [my-ip]: unable to read banner]

а Постфікс в логах пише таке:

CODE Format

Feb 11 15:51:35 mail postfix/smtpd[37677]: SSL_accept error from mail-ej1-f44.google.com[209.85.218.44]: lost connection
Feb 11 15:51:35 mail postfix/smtpd[37677]: lost connection after CONNECT from mail-ej1-f44.google.com[209.85.218.44]
Feb 11 15:51:35 mail postfix/smtpd[37677]: disconnect from mail-ej1-f44.google.com[209.85.218.44] commands=0/0

Начебто із сертифікатами все ок, бо вони від летценкріпт, повинні працювати, на що ще можна звернути увагу?

Сообщение отредактировал follet - Feb 13 2025, 11:32

[ao_mmm]

Доброго дня!
Запустив тест на https://mxtoolbox.com, щодо вас. Що бачу
mxtoolbox

SMTP TLS - Warning - Does not support TLS.
SMTP Transaction Time - 15.249 seconds - Not good! on Transaction Time

Подивиться тут https://www.postfix.org/TLS_README.html#server_enable
розділ "Enabling TLS in the Postfix SMTP server" я б у конфігі виправив на
Example:

/etc/postfix/main.cf:
smtpd_tls_security_level = may

і звісно час очікування, ну то так ...

Сообщение отредактировал ao_mmm - Feb 11 2025, 17:20

[follet]

SMTP TLS - Warning - Does not support TLS.
SMTP Transaction Time - 15.249 seconds - Not good! on Transaction Time
/etc/postfix/main.cf:
smtpd_tls_security_level = may
і звісно час очікування, ну то так ...

Дякую за відповідь. На жаль

CODE Format

smtpd_tls_security_level = may

так само як і

CODE Format

smtpd_tls_security_level = may

не впливають на результат, діагностика все одно пише, що Does not support TLS.
Мені чатгпт сказав, що якщо провайдер не може змінити PTR запис у себе то кіна не буде, проте в жодному мануалі по налаштуванню поштового сервера не було скарг саме на PTR, ну або дійсно була б інша помилка, адже Гмейл конектиться, проте далі сертифіката зєднаня не відбувається. Я вирішив надіслати лист сам собі через тандербьорд, і всередині мережі воно доставилося та обробилося коректно, можливо дійсно проблема не в сертифікаті а в банері

CODE Format

unable to read banner

Оскільки це налаштування виключно для навчання, то в мене є необмежена кількість часу на експерименти, проте поки не можу визначити чіткої проблеми...

[follet]

Проблему вирішив, дякую за участь проте напишу відповідь:
Проблема була в конфігурації Постфікса, а саме я ще раз перепровірив доступність портів та їх сервісу, і ось що побачив:

CODE Format

nmap -sV -p 25,465,587 mail.mydomain.com

PORT    STATE SERVICE  VERSION
25/tcp  open  ssl/smtp Postfix smtpd
465/tcp open  ssl/smtp Postfix smtpd
587/tcp open  ssl/smtp Postfix smtpd

Суть в тому, що виявляється 25 порт повинен працювати використовуючи starttls а не ssl/smtp, тому змінивши конфігурацію і перезавантаживши сервер, все взлетіло!

CODE Format

smtp       inet  n       -       y       -       -       smtpd
-o smtpd_tls_security_level=may
-o smtpd_tls_cert_file=/etc/letsencrypt/live/mydomain.com-0001/fullchain.pem
-o smtpd_tls_key_file=/etc/letsencrypt/live/mydomain.com-0001/privkey.pem

Відповідь змінилася, а пошта почала надходити коректно.

CODE Format

PORT    STATE SERVICE  VERSION
25/tcp  open  smtp     Postfix smtpd
465/tcp open  ssl/smtp Postfix smtpd
587/tcp open  smtp     Postfix smtpd

Тему можна позначитеся як вирішену, ще раз дякую.