Test di qmail, SMTP e vpopmail auth

A quest'ora /command/svcscanboot dovrebbe aver avviato qmail:

> ps axfww

  137 ?        Sl     0:32 /home/vpopmail/bin/vusaged
20017 ?        Ss     0:00 /bin/sh /command/svscanboot 
20019 ?        S      0:00  \_ svscan /service 
20021 ?        S      0:00  |   \_ supervise qmail-submission 
20032 ?        S      0:00  |   |   \_ /usr/local/bin/tcpserver -v -R -l smtp.mydomain.tld -x /home/vpopmail/etc/tcp.submission.cdb -c 200 -u 89 -g 89 0 587 /var/qmail/bin/qmail-smtpd /home/vpopmail/bin/vchkpw /bin/true 
20022 ?        S      0:00  |   \_ supervise log 
20045 ?        S      0:00  |   |   \_ /usr/local/bin/multilog t s16777215 /var/log/qmail/submission 
20023 ?        S      0:00  |   \_ supervise qmail-smtpd 
20035 ?        S      0:00  |   |   \_ /usr/local/bin/tcpserver -v -R -l smtp.mydomain.tld -x /home/vpopmail/etc/tcp.smtp.cdb -c 200 -u 89 -g 89 0 25 /var/qmail/bin/qmail-smtpd /bin/true 
20024 ?        S      0:00  |   \_ supervise log 
20034 ?        S      0:00  |   |   \_ /usr/local/bin/multilog t n5 s16777215 /var/log/qmail/smtpd n5 s16777215 -* +* qlog* !/usr/local/bin/archive_qmail_qlog /var/log/qmail/smtpd/qlog 
13965 ?        S      0:00  |   \_ supervise vusaged 
13977 ?        Sl     0:05  |   |   \_ /home/vpopmail/bin/vusaged 
13966 ?        S      0:00  |   \_ supervise log 
13980 ?        S      0:00  |   |   \_ /usr/local/bin/multilog t /var/log/qmail/vusaged
20025 ?        S      0:00  |   \_ supervise vpopmaild 
20033 ?        S      0:00  |   |   \_ /usr/local/bin/tcpserver -v -H -R -l 0 -u 0 -g 0 0 89 /home/vpopmail/bin/vpopmaild 
20026 ?        S      0:00  |   \_ supervise log 
20040 ?        S      0:00  |   |   \_ /usr/local/bin/multilog t /var/log/qmail/vpopmaild 
20027 ?        S      0:00  |   \_ supervise clear 
20028 ?        S      0:00  |   \_ supervise qmail-smtpsd 
20047 ?        S      0:00  |   |   \_ /usr/local/bin/sslserver -seV -Rp -l smtp.mydomain.tld -Xx /home/vpopmail/etc/tcp.smtp.cdb -c 200 -u 89 -g 89 0 smtps /var/qmail/bin/qmail-smtpd /bin/true 
20029 ?        S      0:00  |   \_ supervise log 
20041 ?        S      0:00  |   |   \_ /usr/local/bin/multilog t n5 s16777215 /var/log/qmail/smtpsd n5 s16777215 -* +* qlog* !/usr/local/bin/archive_qmail_qlog /var/log/qmail/smtpsd/qlog 
20030 ?        S      0:00  |   \_ supervise qmail-send 
20036 ?        S      0:00  |   |   \_ qmail-send 
20052 ?        S      0:00  |   |       \_ qmail-lspawn | /home/vpopmail/bin/vdelivermail '' delete
20053 ?        S      0:00  |   |       \_ qmail-rspawn 
20054 ?        S      0:00  |   |       \_ qmail-clean 
20055 ?        S      0:00  |   |       \_ qmail-todo 
20056 ?        S      0:00  |   |       \_ qmail-clean 
20031 ?        S      0:00  |   \_ supervise log 
20042 ?        S      0:00  |       \_ /usr/local/bin/multilog t s16777215 /var/log/qmail/send 
20020 ?        S      0:00  \_ readproctitle service errors: .........................................................................................................................................................

Se tutto è a posto  si dovrebbe vedere qualcosa del genere. Devono esserci solo punti nella riga readproctitle service errors.

Puoi sempre ripulire la riga degli errori in questo modo:

svc -o /service/clear

Controlliamo la coda e il tempo di up-time dei servizi:

> qmailctl stat

qmail-smtpd:           [ up ] (pid 20035)   0 day(s), 00:02:13 
qmail-smtpd/log:       [ up ] (pid 20034)   0 day(s), 00:02:13 
qmail-smtpsd:          [ up ] (pid 20047)   0 day(s), 00:02:13 
qmail-smtpsd/log:      [ up ] (pid 20041)   0 day(s), 00:02:13 
qmail-submission:      [ up ] (pid 20032)   0 day(s), 00:02:13 
qmail-submission/log:  [ up ] (pid 20045)   0 day(s), 00:02:13 
qmail-send:            [ up ] (pid 20036)   0 day(s), 00:02:13 
qmail-send/log:        [ up ] (pid 20042)   0 day(s), 00:02:13 
vpopmaild:             [ up ] (pid 20033)   0 day(s), 00:02:13 
vpopmaild/log:         [ up ] (pid 20040)   0 day(s), 00:02:13 
vusaged:               [ up ] (pid 13977)   0 day(s), 00:02:13 
vusaged/log:           [ up ] (pid 13980)   0 day(s), 00:02:13 

dovecot status:        [ down ] 
clamd status:          [ down ] 
freshclam status:      [ down ] 
spamd status:          [ down ] 
solr status:           [ down ] 
httpd status:          [ down ] 
mariadb status:        [ down ] 
fail2ban status:       [ down ] 

ClamAV database updated at: 2021-09-28 12:40:15 
Total Domains: 16 

messages in queue: 0 
messages in queue but not yet preprocessed: 0

Controllare che il tempo di uptime aumenti digitando lo stesso comando più volte. Se qualcosa va storto controllare il log.

In seguito vedremo come provvedere a riparare la coda.

swaks

• Info: http://www.jetmore.org/john/code/swaks/
• Reference: http://www.jetmore.org/john/code/swaks/latest/doc/ref.txt

swaks è uno strumento utile a risparmiarsi la fatica di digitare a mano i comandi di telnet durante una sessione SMTP di test, come quelle che vedremo qui di seguito.

Installare al solito modo:

cd /usr/local/bin
wget http://www.jetmore.org/john/code/swaks/latest/swaks
chown root:root swaks
chmod +x swaks

L'utilizzo è semplice. Modificare secondo le proprie necessità:

swaks \
--to someone@somewhere.net \
--from postmaster@yourdomain.xy \
--server localhost \
--port 587 \
--ehlo test \
-tls \
--auth login \
--auth-user postmaster@yourdomain.xy \
--auth-password [PASSWORD]

Test di qmail delivery

Fare riferimento a quanto suggerito nella pagina man di TEST.deliver.

Test della connessione SMTP

In questo esempio [your-IP] è un IP a cui è consentito usare la nostra MTA come un relay in accordo con il file ~vpopmail/etc/tcp.smtp; tipicamente esso è 0 o 127.0.0.1 o un indirizzo della rete locale come 10.0.0.5 o 192.168.1.12

Questo test fallirà se si cerca di connettersi dalla rete Internet al server di posta senza fare l'autenticazione (Per questo è però previsto il servizio sulla porta 587, vedere  dopo).

# telnet [your IP] 25

Trying [your IP]...
Connected to qmail.mydomain.tld.
Escape character is '^]'.
220 mail.mydomain.tld ESMTP
mail from:<user@mydomain.tld>
250 ok
rcpt to:<someone@somewhere.else.net>
250 ok
data
354 go ahead
subject: This is the subject
to: someone@somewhere.else.net
from: user@mydomain.tld

Testo del messaggio seguente UNA RIGA BIANCA
.
250 ok 1286469273 qp 31969
quit
221 www.mydomain.tld
Connection closed by foreign host.

***********

Naturalmente può succedere che qualcosa vada storto...

# telnet [your IP] 25

Trying [your IP]...
Connected to [yout IP].
Escape character is '^]'.
Connection closed by foreign host.

Controlliamo il log di smtp:

# more /var/log/qmail/smtpd/current

@400000004cb7145314702f74 /var/qmail/bin/qmail-smtpd: error while loading shared libraries: libcrypt.so.1: failed to map segment from shared object: Cannot allocate memory

Se vedi un errore come questo, il tuo softlimit è troppo basso. Prova ad aumentarlo modificando  /var/qmail/supervise/qmail-smtpd/run

***********

# more /var/log/qmail/smtpd/current

@400000004cc5baaf076df464 /var/qmail/bin/qmail-smtpd: error while loading shared libraries: libmysqlclient.so.16: cannot open shared object file: No such file or directory

Ho incontrato questo errore in un virtual mail server a 64b. Mysql era in un virtual server separato da qmail e la cartella mysql era montata localmente ma  qmail-smtp non riusciva a caricarla. Ho risolto copiando (non linkando!) la libreria dentro il guest in questo modo:

cp -p /usr/local/mysql/lib/libmysqlclient.so.16.0.0 /usr/lib64/libmysqlclient.so.16

***********

Controllare se il messaggio è stato correttamente inviato aprendo il log /var/log/qmail/send/current

***********

Provare a inviarsi un messaggio e vedere se è stato correttamente scritto nella cartella Maildir/new folder Maildir/new dell'utente:

# telnet [your IP] 25 Trying [your IP]...
Connected to qmail.mydomain.tld.
Escape character is '^]'.
220 mail.mydomain.tld ESMTP
mail from:<user@mydomain.tld>
250 ok
rcpt to:<user@mydomain.tld>
250 ok
data
354 go ahead
subject: This is the subject
to: user@mydomain.tld
from: user@mydomain.tld

Testo msg (dopo una riga bianca)
.
250 ok 1286469273 qp 31969
quit
221 www.mydomain.tld
Connection closed by foreign host. 

# ls -l /home/vpopmail/domains/mydomain.tld/user/Maildir/new total 4
-rw------- 1 vpopmail vchkpw 211 2010-12-09 13:22 1291897368.13072.qmail,S\=211

Test vpopmail auth

# telnet [your-IP] 89

Trying [your-IP]...
Connected to [your-IP].
Escape character is '^]'.
+OK
login userid@mydomain.tld PASSWORD
+OK+
vpopmail_dir /home/vpopmail
domain_dir /home/vpopmail/domains/mydomain.tld
uid 89
gid 89
name userid
comment userName userSurname
quota NOQUOTA
user_dir /home/vpopmail/domains/mydomain.tld/userid
encrypted_password $xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
clear_text_password xxxxxxxxxxxxxxxxx
no_password_change 0
no_pop 0
no_webmail 0
no_imap 0
bounce_mail 0
no_relay 0
no_dialup 0
user_flag_0 0
user_flag_1 0
user_flag_2 0
user_flag_3 0
no_smtp 0
domain_admin_privileges 0
override_domain_limits 0
no_spamassassin 0
delete_spam 0
no_maildrop 0
system_admin_privileges 0
.
quit
+OK
Connection closed by foreign host.

Test di chkuser

Se esegui questo test da localhost o da una delle reti ammesse al relay secondo il file ~vpopmail/etc/tcp.smtp...

10.0.0.:allow,RELAYCLIENT=""
127.:allow,RELAYCLIENT=""

...prima di continuare, devi inibire te stesso dal relaying. Pulisci dunque e ricarica tcp.smtp:

cd ~vpopmail/etc
mv tcp.smtp tcp.smtp.bck
touch tcp.smtp
qmailctl cdb

Ora siamo pronti ad eseguire i test.

MX record non valido

chkuser respinge i messaggi se l'MX record del dominio presente nel campo from non esiste. Questo è comunque un caso raro poichè gli spammers metteranno proprio il nostro dominio nel campo from.

# telnet [yourIP] 25
Trying [yourIP]...
Connected to [yourIP].
Escape character is '^]'.
220 mydomain.tld ESMTP
mail from: unexistent@fake_domain.xxx
550 5.1.8 sorry, can''t find a valid MX for sender domain (chkuser)
quit

Mailbox inesistente

il file qmail/contro/rcpthosts determina se il destinatario sarà accettato: lo sarà se e solo se il dominio nell'indirizzo dato nel comando RCPT TO è listato in rcpthosts. In ogni caso  chkuser è programmato per respingere già a livello SMTP i messaggi per gli utenti locali che non esistono:

# telnet [yourIP] 25
Trying [yourIP]...
Connected to [yourIP].
Escape character is '^]'.
220 mydomain.tld ESMTP
mail from: someone@gmail.com
250 ok
rcpt to: nobody@mydomain.tld
550 5.1.1 sorry, no mailbox here by that name (chkuser)
quit

rcpthosts non valido

Per consentire ai client di spedire messaggi all'esterno usando la nostra MTA, bisogna autorizzare i loro indirizzi IP nel file tcp.smtp:

111.222.333.444:allow,RELAYCLIENT=""

In questo caso, per fare questo test, abbiamo cancellato tutti gli IP autorizzati dal file tcp.smtp, quindi possiamo spedire messaggi solo agli utenti locali, sempre che esistano, ovvero dei domini listati all'interno di rcpthosts e siccome chkuser non troverà il dominio remoto tra di questi, presenterà un messaggio di rcpthosts not allowed:

# telnet [yourIP] 25
Trying [yourIP]...
Connected to [yourIP].
Escape character is '^]'.
220 mydomain.tld ESMTP
mail from: someone@gmail.com
250 ok
rcpt to: someone@gmail.com
553 5.7.1 sorry, that domain isn''t in my list of allowed rcpthosts (chkuser)
quit

In aggiunta a questo dai un'occhiata ai messaggi di chkuser dentro l'smtp log /var/log/qmail/smtp/current.

Non dimentichiamo di ripristinare il file tcp.smtp

rm tcp.smtp
mv tcp.smtp.bck tcp.smtp
qmailctl cdb

Test di smtp-auth e della connessione criptata con TLS

Supponiamo di aver abilitato il servizio submission sulla porta 587. In caso sia stata abilitata l'autenticazione sulla porta 25 gli esempi qui sotto valgono per la porta 25.

Innanzitutto controlliamo che l'autenticazione e il TLS siano presenti:

# telnet [your-IP] 587

Trying [your-IP]...
Connected to [your-IP].
Escape character is '^]'.
220 smtp.mydomain.tld ESMTP
EHLO test
250-smtp.mydomain.tld
250-STARTTLS
250-PIPELINING
250-8BITMIME
250-SIZE 3000000
mail from:someone@somewhere.net
530 Authorization required (#5.7.1)
AUTH PLAIN
538 auth not available without TLS (#5.3.3)
STARTTLS
220 ready for tls
?(?S^F?^@???^\?^^CR?^??*LV^?^Y+
^W^C^A^@ o?^?&@?????^N^?>??^?.d[^ZE?^?2^?^F^?Xr?XN^W^C^A^@P?^?^?4H&>/4^UG^?^??Njg^]?^_^F;@?^T?^?
^@i?>r^F??g4??{^C??bc^^N?^Qb???^@?n^???8`?W^\?5?^?^HT?F^?X?(^?+
^W^C^A^@ ?+^??2??W]^Y??}?^?^B^[??n?w^?qs^???^N^B^[^W^C^A^@@^CC3^?f?^Y.^?^?x#?j?^D?+?u^F^?^H?0^?^U??^@i?c$
^CConnection closed by foreign host.

Il server sembra fornire correttamente il supporto STARTTLS e AUTH. Come si può vedere l'autorizzazione è richiesta e l'autenticazione non viene eseguita senza che sia stata inizializzata una sessione criptata con TLS. Quando il server è pronto ("ready for tls") la connessione diventa criptata ed è necessario interromperla con un ctrl-C.

Si badi al fatto che si può settare il meccanismo di autenticazione tra i tre seguenti:

1. PLAIN (non sicuro senza TLS)
2. LOGIN (non sicuro senza TLS)
3. CRAM-MD5 (più sicuro, ma non necessario se la connessione è criptata con TLS)

Poichè la connessione è già criptata con TLS è meglio non abilitare CRAM-MD5, che reallenterebbe solo la connessione, che è già criptata di suo con TLS. Se comunque si desidera abilitare CRAM-MD5 è possibile riferirsi al file README.auth.

Vediamo qui come testare le prime due modalità di autenticazione.

Test del relay con "AUTH LOGIN"

- Codificare il login -

Per testare la modalità "AUTH LOGIN" (è sicura poichè l'intera connessione è sicura) bisogna codificare in una stringa BASE64 il nome utente, useremo qui "test@test.net", e la password, che sarà in questo esempio "test".

# printf "test@test.net" | base64
dGVzdEB0ZXN0Lm5ldA==
# printf "test" | base64
dGVzdA==

Quindi, il nome utente "test@test.net" viene tradotto in "dGVzdEB0ZXN0Lm5ldA==" e la password corrispondente "test" diventerà "dGVzdA=="

- Test del relay -

Ora controlliamo se il relay funziona. Per dialogare con il server durante la sessione smtp criptata useremo una connessione openssl con l'opzione -starttls smtp; prima di tutto verrà presentato il certificato:

# openssl s_client -starttls smtp -crlf -connect [your-IP]:587

CONNECTED(00000003)                                                                                                                        
depth=0 /C=IT/ST=Italy/L=Cagliari/O=Your Name/CN=smtp.mydomain.tld/emailAddress=postmaster@mydomain.tld                              
verify error:num=18:self signed certificate                                                                                                
verify return:1
depth=0 /C=IT/ST=Italy/L=Cagliari/O=Your Name/CN=smtp.mydomain.tld/emailAddress=postmaster@mydomain.tld
verify return:1
---
Certificate chain
 0 s:/C=IT/ST=Italy/L=Cagliari/O=Your Name/CN=smtp.mydomain.tld/emailAddress=postmaster@mydomain.tld
   i:/C=IT/ST=Italy/L=Cagliari/O=Your Name/CN=smtp.sagredo.eu/emailAddress=postmaster@mydomain.tld
---
Server certificate
-----BEGIN CERTIFICATE-----
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
-----END CERTIFICATE-----
subject=/C=IT/ST=Italy/L=Cagliari/O=Your Name/CN=smtp.mydomain.tld/emailAddress=postmaster@mydomain.tld
issuer=/C=IT/ST=Italy/L=Cagliari/O=Your Name/CN=smtp.yourname.net/emailAddress=postmaster@yourname.net
---
No client certificate CA names sent
---
SSL handshake has read 1650 bytes and written 354 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    Session-ID-ctx:
    Master-Key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    Key-Arg   : None
    Start Time: 1292613625
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
EHLO test 
250-sagredo.eu 
250-PIPELINING 
250-8BITMIME 
250-AUTH LOGIN PLAIN CRAM-MD5 
250 SIZE 25000000 
AUTH LOGIN 
334 VXNlcm5hbWU6 
dGVzdEB0ZXN0Lm5ldA== 
334 UGFzc3dvcmQ6 
dGVzdA== 
235 ok, go ahead (#2.0.0)

Test del relay con "AUTH PLAIN"

- Codifica del login -

La forma corretta di AUTH PLAIN è "\0authentication-id\0passwd" dove \0 il null byte. Se il nome utente è "test@test.net" e la password è "test" bisogna codificare in BASE64 la stringa "\0test@test.net\0test":

# printf "\0test@test.net\0test" | base64
AHRlc3RAdGVzdC5uZXQAdGVzdA==

- Test del relay -

Ora controlliamo che il relay funzioni bene. Per dialogare con il server durante la sessione smtp criptata useremo una connessione openssl con l'opzione -starttls smtp; prima di tutto verrà presentato il certificato:

# openssl s_client -starttls smtp -crlf -connect [your-IP]:587

CONNECTED(00000003)
[THE SAME AS AUTH LOGIN BEFORE]
---
250 AUTH LOGIN PLAIN
AUTH PLAIN AHRlc3RAdGVzdC5uZXQAdGVzdA==

Risoluzione dei problemi

Se qualcosa va storto sarà il caso di registrare la connessione smtp con il programma di Berstein recordio (magari dalla linea di comando):

exec /usr/local/bin/softlimit -m "$SOFTLIMIT" \
    /usr/local/bin/tcpserver -v -H -R -l 0 \
    -x /home/vpopmail/etc/tcp.submission.cdb -c "$MAXSMTPD" \
    -u "$QMAILDUID" -g "$NOFILESGID" 0 submission \
    /usr/local/bin/recordio \
    /var/qmail/bin/qmail-smtpd \
    /home/vpopmail/bin/vchkpw /bin/true 2>&1

Oppure, cosa ancora migliore, vedere cosa succede con strace:

# strace -f -o /tmp/strace.log -p <tcpserver-pid>

Si può velocemente recuperare il processo del tcpserver associato a qmail-smtpd in questo modo:

# ps axf|grep tcpserver|grep 25
26194 ? S 0:00 | | \_ /usr/local/bin/tcpserver -v -H -R -l yourdomain.tld -x /home/vpopmail/etc/tcp.smtp.cdb -c 20 -u 89 -g 89 0 25 /var/qmail/bin/qmai

Test di TLS (1.3)

• Maggiori informazioni qui

E' possibile le capacità TLS 1.3 del server e ispezionare eventuali vulnerabilità con questo script molto carino di Dirk Wetter.

Scaricare

git clone --depth 1 https://github.com/drwetter/testssl.sh.git
cd testssl.sh

Controllare che la porta submission (587) offra TLS 1.3 e che che tutti i protocolli SSL siano interdetti

> ./testssl.sh -t smtp localhost:587

Testing protocols via sockets

SSLv2      not offered (OK) 
SSLv3      likely not offered (OK), received 4xx/5xx after STARTTLS handshake, rerun with DEBUG>=2 or --ssl-native 
TLS 1      offered (deprecated) 
TLS 1.1    offered (deprecated) 
TLS 1.2    offered (OK) 
TLS 1.3    offered (OK): final

Fare lo stesso con l'opzione --ssl-native per avere una prova sicura del fatto che SSLv3 non sia offerto.

Lo script consente di eseguire moltissimi test e di ispezionare in profondità la sicurezza del server (non solo il server di posta e ovviamente non solo smtp). E' possibile avere una panoramica del modo di utilizzo con l'opzione --help

./testssl.sh --help

delivery 35944: deferral: Connected_to_85.18.95.42_but_connection_died._(#4.4.2). 

telnet my ip server 25
Trying my ip server...
Connected to my ip server.
Escape character is '^]'.
220 myservername.eu ESMTP
helo myservername.eu
250 myservername.eu
mail from: postmaster@myvirtuallocaldomain.com
250 ok
rcpt to: info@dominiosufastweb.it
250 ok
data
354 go ahead
subject: This is a test
to: info@dominiosufastweb.it
from: postmaster@myvirtuallocaldomain.com

Testo testo testo
.
250 ok 1533360161 qp 39183