Проблема с настройкой почты

WindWatcher

New member
Сообщения
46
#41
:)
1. на форуме была в прошлом году начата довольно объёмная ветка по настройке почтовика в ЗС. Там есть всё, в полном объёме, правда, придётся таки покопаться, т.к. единого не создали.
2. если разговор про ЗС, то могу помочь "под ключ" - в личку.
 

oko

New member
Сообщения
1 257
#43
*в сторону*
Ночное включение модуля экстрасенсорики - ничего личного, так, мысли вслух...
Ситуацию тов. Sasha с <...сервер недоступен...> совместно с <...со слов ответственного у них все нормально работает...> следует, очевидно, понимать как "сервер удаленный и территориально размещенный далеко"...
Делаем допущение, что связь идет через Заслон или КМ некий криптомаршрутизатор (ибо вопрос изначально по мандатным меткам, ага). Который, в свою очередь, активно NATит все соединения, засовывая их в ГОСТ89/ГОСТ2015 VPN или IPsec, не суть важно...
Тогда, вероятно, проблема не в ACL на этом криптомаршрутизаторе, а в том, что он попросту знать не знает о поле security в IPv4, куда Astra Linux SE в полном соответствии с ГОСТ-Р-58256-2018 инкапсулирует текущую мандатную метку. И пересылает NAT-трафик, не добавляя оную метку...
Следовательно, удаленный сервер при любом раскладе получает трафик без метки и считает его за 0 метку по умолчанию. Поэтому в 0-сессии клиента все идет как по маслу, а "выше" доступ режется...

Это был первый вариант. И он бы подошел, если бы не одно НО: SMTP (передача) работает, но POP3 (прием) в не0-сессии падает. Модуль экстрасенсорики подсказывает, что:
  1. Криптомаршрутизатор работает как надо, но МСВС все-таки нихрена не поддерживает ГОСТ в нужном виде (ибо он 2018 года, а МСВС 3.0, увы, нет) и всегда принимает трафик под 0 сессией вне зависимости от метки, установленной клиентом. Astra Linux ожидает наличие метки, чтобы разместить полученное письмо в нужном мандатном "каталоге" (условно, конечно), но раз метки нет, то и схема не срабатывает. Однако при передаче почты метка на приемной стороне нивелируется - МСВС принимает почтовое сообщение вне зависимости от полей security IPv4. Правда, в таком случае выходит, что лица, рапортующие, что у них все работает - явно врут...
  2. Косячат и криптомаршрутизатор, и МСВС. Далее как в варианте 1...
Впрочем, это все несколько не согласуется с ГОСТ по части передачи меток в полях IP, а не протоколов более высокого уровня (SMTP, POP3, IMAP, etc). Надо бы стенд собрать и поиграть с ним - как руки дойдут, отпишусь...

ЗЫ Проверить обе гипотезы вне стенда элементарно: дать по ушам попросить лицо, ответственное за сервер, - нехай откроет логи под МСВС и конкретно выявит проблему. А если wireshark в промежутке запустит (например, через SPAN-порт пограничного коммутатора) - вообще красота. На крайний случай, wireshark можно и на клиентской стороне поглядеть - видны ли метки в "ответе" сервера (их отсутствие однозначно укажет суть проблемы, но не ее причину - оба варианта останутся возможными). Тогда и разговор сразу станет более предметным...
 

WindWatcher

New member
Сообщения
46
#44
Проблема в том, что там обсуждается настройка exim и dovecot, а в этой ветке идет речь о sep.
Чтож... во-первых, сорри: не обОзрел, что разговор за sep. Во-вторых, в чём проблема снести всё и поставить снова: SEP это вам не AL :) И в дистрибутах поставки МСВС всё есть, и на фтпшниках всё было, как минимум.
В нехорошей МСВС это несколько проще, чем в AL.
 

_Denis_

New member
Сообщения
72
#45
Чтож... во-первых, сорри: не обОзрел, что разговор за sep. Во-вторых, в чём проблема снести всё и поставить снова: SEP это вам не AL :) И в дистрибутах поставки МСВС всё есть, и на фтпшниках всё было, как минимум.
В нехорошей МСВС это несколько проще, чем в AL.
Проблема в том, что админ сервера в дискуссии не участвует. Он только говорит, что "все хорошо".
 

oko

New member
Сообщения
1 257
#46
*в сторону*
И вновь ночное включение нашей передачи, дорогие товарищи-радиослушатели!
Сегодняшний выпуск посвящен забавным манипуляциям с виртуалками и Astra Linux Special Edition 1.6 в контексте означенной в топике проблемы...

  • astra16-arm - типа полнофункциональное рабочее место с графикой, thunderbird и учеткой с мин=0:макс=2 мандатными уровнями, IP-адрес 192.168.2.2;
  • astra16-srv - типа сервер без графики, с exim4 + dovecot и настроенным пользователем user1@astra.lan с мин=0:макс=2 мандатными уровнями, IP-адрес 192.168.1.1;
  • шлюз под Win - типа шлюз, форвардид трафик через себя от АРМ к Серверу и обратно (т.е. без NAT и иных преобразований).

  1. Вспомнил как поднимается bind9. Он, конечно, для локального почтаря на внутренний домен не обязателен, но с ним приятнее...
  2. Долго плевался, но так и не понял, почему РусБИТех выбрал exim4, а не более юзабельный postfix. Впрочем, тут, primo, дело вкуса, secundo, вся соль, очевидно, в интеграции с мандатной подсистемой. Но, imho, что конфиг, что логи в exim4 отвратные...
  3. Накидал краткий ман для рабочих bind9, dovecot, exim4 с парой-тройкой выявленных граблей для случая "простой dns/email сервер с выходом и релеем на внешку". Без ALD (чур меня, чур), без SSL, и требует напильника по части безопасности, зато вполне рабочие конфигурации. Кому понадобится - обращайтесь...

  1. Выяснил, что AL SE 1.6 не умеет POP3 от Dovecot, потому что пакет dovecot-pop3d в поставке отсутствует. Только IMAP, только хардкор...
  2. SMTP/IMAP в 0 уровне работают отлично даже через форвард-шлюз...
  3. Ни SMTP, ни IMAP не отрабатывают в 1 и выше уровнях при условии форвард-шлюза. Причина на участке АРМ-шлюз - AL SE 1.6 на АРМ не хватает поля Option-Security в заголовках IP-пакета, поэтому такие пакеты отбрасываются с порога. А форвард-шлюз о них, разумеется, ни сном, ни духом. Как и ожидалось в прошлом посте про криптомаршрутизатор. Трафик до Сервера не доходит в принципе...
  4. Собрал дамп в Wireshark для двух случаев. На втором снимке явно видны поля Security - ab 02 - в полном соответствии ГОСТ...
  5. Любопытно, что при передаче трафика с 0 мандатной меткой AL SE 1.6 не модифицирует поле Security. По ГОСТ должно быть просто ab, а по факту какой-то дефолт: 00 8f. Зато это обеспечивает коммуникацию с любыми другими участниками процесса, не знающими о ГОСТ, ага...

ЗЫ Результаты эксперимента в целом положительные, но несколько не вяжутся с рассказом тов. Sasha: в моем случае не работает ни SMTP (отправка), ни IMAP (прием). Что логично, но несколько сбивает с толку относительно первичной проблемы. Поковыряю дальше - попробую собрать стенд на железе, чтобы исключить проблему виртуалок, а также обкатать это все с NAT вместо forward, добавить VPN и попробовать совместить с МСВС 3.0. Когда это будет - откровенно не в курсе, но явно не в ближайшее время...

Кому интересны веселые картинки Wireshark для наглядности, милости прошу (картинки большие и форумная вставка их не переваривает, поэтому пришлось отдельной ссылкой на фото-хостинг):
дамп здорового IMAP
дамп курильщика 1 уровня
 
Последнее редактирование:

_Denis_

New member
Сообщения
72
#47
почту я отправлять могу а получать нет.
После этих слов, версия о проблемах "закрывашки" по передаче мандатных меток на участке арм - сервер, была отброшена.

Возможно мы хотим решить уравнение с слишком большим количеством неизвестных.
 

oko

New member
Сообщения
1 257
#48
to _Denis_
Разумеется. Но от этого оно (решение уравнения) становится только интереснее...
Кстати, а в МСВС 3.0 что используется в качестве mail-сервисов?
 

WindWatcher

New member
Сообщения
46
#50
Проблема в том, что админ сервера в дискуссии не участвует. Он только говорит, что "все хорошо".
По-всей видимости, мне пора отходить *в сторону* :) , т.к. чего-то не догоняю:
- человек задававший первый вопрос не указывал, что разговор идёт про МСВС, а в ходе обсуждения однозначно задавал вопросы, специфичные для АЛ1.5;
- ответы, которые ему давались, и, в частности _Denis_ом, описывали ситуацию с АЛ.
Скорее всего всё уже решилось, а остальное - мелочи.
Прошу извинить :)
 

Sasha

New member
Сообщения
19
#51
Да нет , не решилось .Вот Ваши ответы пытаюсь донести до ответственного по серверу.
 

WindWatcher

New member
Сообщения
46
#52
Да нет , не решилось .Вот Ваши ответы пытаюсь донести до ответственного по серверу.
В подобных случаях рекомендуют вернуться в исходную точку: о чём разговор: операционка? Если будет полезно - делитесь контактами в О/З.