ошибка аутентификации при проксировании smtp
Maxim Dounin
mdounin на mdounin.ru
Пт Май 2 14:19:12 UTC 2025
Hello!
On Fri, May 02, 2025 at 03:50:10PM +0300, Юрий Ястребов via nginx-ru wrote:
> Добрый день, уважаемые коллеги!
> Я тестирую модуль mail и столкнулся с ситуацией некорректного проксирования команды AUTH в smtp сессии.
> Я хотел бы понять: это ожидаемое поведение или я что-то делаю неправильно?
> Сервер smtp: postfix 3.7.11, прокси: nginx 1.26.3
>
> Вот мой конфиг контекста mail:
>
> mail {
> auth_http localhost/auth;
> proxy_pass_error_message on;
> xclient off;
> starttls off;
>
> server {
> listen 465 ssl;
> protocol smtp;
> smtp_auth login plain cram-md5;
> proxy_smtp_auth on;
> proxy_protocol on;
> ssl_certificate /etc/ssl/certs/ssl-cert-snakeoil.pem;
> ssl_certificate_key /etc/ssl/private/ssl-cert-snakeoil.key;
> }
> }
>
> Для аутентификации используется статическая заглушка:
>
> location = /auth {
> add_header Auth-Status OK;
> add_header Auth-Server 192.168.0.104;
> add_header Auth-Port 10025;
> return 204;
> }
>
> При взаимодействии smtp клиента через прокси возникает ошибка аутентификации, вот кусок лога:
> ----
> 2025-05-02T15:33:20.716305+03:00 mail-smtp postfix/smtpd[7539]: match_list_match: 192.168.0.101: no match
> 2025-05-02T15:33:20.716396+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-mail.yyv83.dynv6.net
> 2025-05-02T15:33:20.716446+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-PIPELINING
> 2025-05-02T15:33:20.716496+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-SIZE 10240000
> 2025-05-02T15:33:20.716551+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-ETRN
> 2025-05-02T15:33:20.716622+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-STARTTLS
> 2025-05-02T15:33:20.716682+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-ENHANCEDSTATUSCODES
> 2025-05-02T15:33:20.716737+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-8BITMIME
> 2025-05-02T15:33:20.716785+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-DSN
> 2025-05-02T15:33:20.716837+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250-SMTPUTF8
> 2025-05-02T15:33:20.716927+03:00 mail-smtp postfix/smtpd[7539]: > mail-client.yyv83[192.168.0.101]: 250 CHUNKING
> 2025-05-02T15:33:20.716985+03:00 mail-smtp postfix/smtpd[7539]: smtp_stream_setup: maxtime=300 enable_deadline=0 min_data_rate=0
[...]
> Если клиент взаимодейтсвует с сервером напрямую, то все работает корректно, вот часть лога:
> ---
> 2025-05-02T14:58:39.796402+03:00 mail-smtp postfix/smtps/smtpd[6781]: match_list_match: 192.168.0.101: no match
> 2025-05-02T14:58:39.796459+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-mail.yyv83.dynv6.net
> 2025-05-02T14:58:39.796548+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-PIPELINING
> 2025-05-02T14:58:39.796659+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-SIZE 10240000
> 2025-05-02T14:58:39.796768+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-ETRN
> 2025-05-02T14:58:39.796847+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-AUTH PLAIN LOGIN
> 2025-05-02T14:58:39.796935+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-ENHANCEDSTATUSCODES
> 2025-05-02T14:58:39.797086+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-8BITMIME
> 2025-05-02T14:58:39.797165+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-DSN
> 2025-05-02T14:58:39.797227+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250-SMTPUTF8
> 2025-05-02T14:58:39.797331+03:00 mail-smtp postfix/smtps/smtpd[6781]: > mail-client.yyv83[192.168.0.101]: 250 CHUNKING
> 2025-05-02T14:58:39.797412+03:00 mail-smtp postfix/smtps/smtpd[6781]: smtp_stream_setup: maxtime=300 enable_deadline=0 min_data_rate=0
[...]
Судя по логам - у вас аутентификация в postfix'е разрешена только
через SSL (smtpd_tls_auth_only = yes). Клиент ходит через SSL и у
него, соответственно, работает. А поскольку nginx к почтовым
бэкендам ходит без шифрования - ему аутентификацию не разрешают.
Лечить, соответственно, проще всего на стороне postfix'а, либо
вообще убрав запрет на аутентификацию без SSL, либо
сконфигурировав в master.cf отдельный smtpd-сервис для nginx без
такого запрета.
Если сеть не доверенная и нужно таки шифровать соединения к
почтовым бэкендам - то можно в nginx'е сделать дополнительное
проксирование через модуль stream, и там включить шифрование
соединений к бэкенду (proxy_ssl on).
--
Maxim Dounin
http://mdounin.ru/
Подробная информация о списке рассылки nginx-ru