Здравствуйте, коллеги! Срочно нужна помощь. Сегодня ESERV перестал работать. При запуске службы acSMTP5 возникло сообщение. Проанализировали сертификаты EservRootCA и EservUsersCA — у них сегодня закончился срок действия. По ссылке для обновления переходим там пусто. Что собственно делать?
Почта не работает.
Временно помогло следующее для Eserv3.
Не стартует acIMAP.
Перевёл год на 2022. Запустил acIMAP. Вернул 2023 год.
Файл:
Eproxy будет чуть позже.
Рекомендую!
Апгрейд на E5 — займёт ещё большее время, чем пересборка
А корневой сертификат перевыпустить — это сложнее?
Файл:
Сам корневой сертификат выпустить легко, но тогда придётся и всё, что на него завязано, перевыпустить — сертификаты авторов, партнёров, клиентов. А также всё равно надо будет переподписать все бинарники.
Попробуйте эту сборку (сохраните предыдущую на всякий случай):
Файл:
Если на вашей машине не запускается, то потребуется заменить подкаталог "ext" — взять из архива acSMTP5_acIMAP5_2023-11-01_ext.rar выше.
Файл:
Если на вашей машине оба не запускаются, то потребуется заменить подкаталог "ext" — взять из архива acSMTP5_acIMAP5_2023-11-01_ext.rar выше.
Заменил файлы. Сервер стартанул без ругани. На дате не валится и все бы хорошо, НО по какой-то причине не доставляются письма с почтовых серверов Gmail.com, Yandex.ru и Mail.ru. Как я понимаю, эти сервера проверяют некие сертификаты или сертификат, при обращении к серверу, которые сейчас не соответствуют действительности и не найдя, просто не доставляют на Eserv письмо.
Что делать? Как с этим быть?
Сертификаты своих серверов на своих доменах вы выпускаете сами (server.pem или ваш_домен.pem), они никак не связаны с сертификатами подписи бинарников Eserv и с сертификатами лицензионных ключей. Помешать приёму письма по smtpS может не сертификат, а поломка самих механизмов SSL/TLS — проверьте, нет ли exceptions в acSMTP.log.
Что касается конкретно google, mail.ru, yandex, то, насколько я вижу по тестовым письмам, они вообще по plain SMTP на 25й порт отправляют (лог DATA\log\SMTP\2023-11-02-log.txt):
Файл:
У меня все работало и работает, ошибок не замечено.
Надо ли что-то заменять и что именно?
Про openssl 1.1 не в курсе, но в каталоге ext самый свежие файлы sqlite3.dll, libeay32.dll и libssl32.dll от 05/06/2016.
Если так, то как я могу заменить на Eserv 5.05 библиотеки OpenSSL на максимально свежие и чтоб сервер не упал?
Второй вопрос, могу ли я в качестве SSL сертификатов использовать WildCard сертификаты Let`s Encrypt, выпущенные под единый домен и суб.домены?
Третий вопрос, почему сколько я не тестировал, письма от моего домена yakcsm.ru не приходят на gmail.com и на yandex.ru? Равно как и письма отправленные с ящиков gmail.com и yandex.ru до нашего сервера не доходят? В логах проверил, блокировок нигде не нашел. Конфиг сервера не менял.
Заранее благодарю за ответ.
Наверное не перезапускали службы после 31 октября?
Выше есть две версии файлов для E5 — для старых dll (2016, acSMTP5_acIMAP5_2023-11-01.rar [467930 bytes]) и для новых (2020, acSMTP5_acIMAP5_2023-11-01_ext.rar). В архиве acSMTP5_acIMAP5_2023-11-01_ext.rar есть все необходимые dll, так что можно всем комплектом и заменить.
Сначала проверьте лог.
Да. Если положить этот сертификат (с закрытым ключом) в server.pem, то Eserv будет этот сертификат предъявлять для всех ваших доменов, для которых не указан индивидуальный сертификат (а также в случаях, если в запросе отсутствует SNI).
Ответы в логах Eserv. Если письмо для внешнего получателя было отправлено из почтового клиента на Eserv, но не поехало дальше, то в "DATA\temp\2023-11-02\outbound*_log.xml" будет указана причина. А через несколько дней письмо вернётся отправителю — тоже с указанием причины.
Блокировок не нашли, а что-нибудь про эти входящие подключения в логах SMTP есть? (примеры логов я выше привёл). Телнетом извне можете к своему Eserv'у на 25й порт подключиться?
И как только (02.11.23) я поставил фильтр на очередного "шустряка-хакера" и перезапустил acSMTP? acIMAP , начались проблемы с сертификатами. Временно запустился "2022" годом. А дальше как? Будет решение по E4?
Ставьте бинарники от E5 (можно переименовать в E4, чтобы службы не переустанавливать). С ключами от E4 в E5 не будет работать IPv6, а по конфигам они совместимы.
Спасибо. Чуть позже, займусь а пока пусть Бухгалтерия отправит свои "письма-счастья".
ред: 03.11.2023 11:52
Скопировала его, все заработало, сертификаты теперь культурно выглядят.
Надо "комлект" пополнить и acWeb-ом тоже )))
Спасибо!
П.С. А acFilter тоже заменить? acProxy для Eserv5 — не нужен же?
И "посерела" )))
У кого нибудь запустился Eserv3?
Pigmail2 не работает. acIMAP ни один не стартует.
или
acSMTP запустился, по почту не принимает
SMTPErr.log
Файл:
Сообщения так выглядят? Наверное вы удаляли какие-то сообщения. У нас (в смысле "у всех остальных") ваши удалённые сообщения не видны.
Что в этой строке указанного файла?
(4294965293) — этот тот же -2003
(4294966975) — это -321, еще один вариант "not found"
Ругается на Is8Bit
ред: 05.11.2023 18:32
До логов не успел толком добраться. Позже попробую, но вот с Gmail ответку по поводу отправленных на свой сервер писем:
Не удалось доставить сообщение получателю Admin@yakcsm.ru.
Полученный ответ:
TLS Negotiation failed: FAILED_PRECONDITION: starttls error (71): 4882203317952:error:1000012e:SSL routines:oPENSSL_internal:KEY_USAGE_BIT_INCORRECT:third_party/openssl/boringssl/src/ssl/ssl_cert.cc:605:
Если это чем-то поможет, буду благодарен.
С Яндекса почта прилетает, но с лагом в 25-30 минут.
/ добавлено вслед
Вот что выдал Яндекс, на попытки отправить письмо на наш сервер:
<admin@yakcsm.ru>: conversation with mail.yakcsm.ru[77.242.3.164] timed out while sending RCPT TO
Reporting-MTA: dns; forward500c.mail.yandex.net
X-Yandex-Queue-ID: B8AF4614FA
X-Yandex-Sender: rfc822; zhebrikov090279@yandex.ru
Arrival-Date: Thu, 2 Nov 2023 05:53:17 +0300 (MSK)
Final-Recipient: rfc822; admin@yakcsm.ru
Original-Recipient: rfc822;admin@yakcsm.ru
Action: failed
Status: 4.4.2
Diagnostic-Code: X-Yandex; conversation with mail.yakcsm.ru[77.242.3.164] timed out while sending RCPT TO
/ конец добавки
С Майл.ру почта прилетает почти мгновенно.
У меня этот не стартует:
MoveFileWithCreatePath isn't unique (..\CommonPlugins\plugins\mcontent\index.f)
Exception #-2003 at: ..\CommonPlugins\plugins\sd\index.f:21:18:
BEGIN SD_HANDLE @ 0= WHILE 3000 PAUSE REPEAT
^ conf\OnStartupPlugins.rules.txt — file not found
2023-11-05 23:20:54;0.0.0.0;Error 2003 in the rule file "..\CommonPlugins\plugins\sd\index.f", line: 21, char: 18
Exception #-2003 at: conf\OnStartupPlugins.rules.txt:60:20:
| Plugin: plugins\sd
^ conf\OnStartupPlugins.rules.txt — file not found
2023-11-05 23:20:54;0.0.0.0;Error 2003 in the rule file "conf\OnStartupPlugins.rules.txt", line: 60, char: 20
Exception #-2003 at: conf\OnStartup.rules.txt:10:30:
S" OnStartupPlugins EvalRules
^ conf\OnStartupPlugins.rules.txt — file not found
2023-11-05 23:20:54;0.0.0.0;Error 2003 in the rule file "conf\OnStartup.rules.txt", line: 10, char: 30
(4294965293)
А если отключить этот plugin?
ред: 06.11.2023 13:28
Для версии acSMTP3_2023-11-04.rar [198525 bytes]
Почту принимает, но периодически выдаются ошибки:
Почту не принимает, выдаются ошибки:
2023-11-06 13:17:43;141.98.11.82;Error 2009 in the rule file "conf\OnThreadConnect.rules.txt", line: 13, char: 59
2023-11-06 13:18:25;141.98.11.82;Error 2009 in the rule file "conf\OnThreadConnect.rules.txt", line: 13, char: 59
2023-11-06 13:19:07;141.98.11.82;Error 2009 in the rule file "conf\OnThreadConnect.rules.txt", line: 13, char: 59
2023-11-06 13:19:50;141.98.11.82;Error 2009 in the rule file "conf\OnThreadConnect.rules.txt", line: 13, char: 59
2023-11-06 13:20:32;141.98.11.82;Error 2009 in the rule file "conf\OnThreadConnect.rules.txt", line: 13, char: 59
2023-11-06 13:20:49;185.73.194.51;Error 2009 in the rule file "conf\smtp\STARTTLS.rules.txt", line: 4, char: 57
Exception #-2003 at: conf\smtp\MAILFROM.rules.txt:25:16:
MAILFROM Is8Bit | " 550 {MAILFROM} wrong email (8bit chars){CRLF}" MailFromError
^ conf\smtp\MAILFROM.rules.txt — file not found
2023-11-06 13:20:49;185.73.194.51;Error 2003 in the rule file "conf\smtp\MAILFROM.rules.txt", line: 25, char: 16
2023-11-06 13:20:50;185.73.194.51;Error 2009 in the rule file "conf\smtp\STARTTLS.rules.txt", line: 4, char: 57
Exception #-2003 at: conf\smtp\MAILFROM.rules.txt:25:16:
MAILFROM Is8Bit | " 550 {MAILFROM} wrong email (8bit chars){CRLF}" MailFromError
^ conf\smtp\MAILFROM.rules.txt — file not found
2023-11-06 13:20:50;185.73.194.51;Error 2003 in the rule file "conf\smtp\MAILFROM.rules.txt", line: 25, char: 16
2023-11-06 13:21:13;141.98.11.82;Error 2009 in the rule file "conf\OnThreadConnect.rules.txt", line: 13, char: 59
Не находит обновлённые dll openssl 1.1 (ext\libssl-1_1.dll). Выше в архиве acSMTP5_acIMAP5_2023-11-01_ext.rar было.
Файл:
ред: 06.11.2023 17:33
Подключился телнетом к вашему серверу (без TLS, на 25й порт). Действительно, на RCPT TO отвечает долго — больше минуты до получения ответа. Какие SMTP-фильтры у вас подключены на этой стадии?
Вот этот код в гугловом boringssl, который используется в гугловом MTA, отправляющем вам почту:
Что у вас в нём?
Пока разбираемся с этим, чтобы отправители не спотыкались об SSL, можете отключить порт 465 в acSMTP и убрать строчку "250-STARTTLS" из acSMTP\conf\OnStartup.rules.txt.
ред: 06.11.2023 17:16
Подключился к вашему серверу по TLS (сервер работоспособен), посмотрел сертификат. Обычный самоподписанный сертификат. Сделайте сертификат через LetsEncrypt — может к нему гугл не будет придираться.
ред: 06.11.2023 17:24
Комментарий в исходниках boringssl:
И действительно, отличие между Letsencrypt-сертификатом и вашим самоподписанным сертификатом — в этом бите "Цифровая подпись". Вот ваш сертификат:
Так что установка другого сертификата должна помочь, если отправляющие MTA используют TLS/1.3. Если используете openssl для создания самоподписанных сертификатов, то добавьте в openssl.cnf "keyUsage = digitalSignature".
ред: 06.11.2023 17:43
"Разудалить" нельзя? ))
Сервисы acSTMP и acIMAP из указанных здесь архивов — взлетели, наблюдаем
ред: 08.11.2023 07:35
Понаблюдали, часть писем не уходит. В acSMTP.log следующие однотипные записи:
Error 1073741819 in the rule file "conf\smtp\OnMessageEnd.rules.txt", line: 40, char: 36
В OnMessageEnd.rules.txt 40 строка:
36 символ это пробел межу MimeValueDecode и SMTP[BlackListSubject]
Это 0xC0000005 — исключение (есть в acSMTP.log записи про EXCEPTION?). Старые версии таких ошибок не записывали?
Тут либо попытаться найти, на каких данных сбоит, заменив строчку на такую:
По идее вот эта сборка acFTP
Да, конечно. Не стал сюда приводить из-за большого размера стека, а так выглядит примерно вот:
Пробуем ваш вариант с FALSE, т.к. не критично, у нас и черного списка нет, почта в локале, не требуется.
К сожалению не стартанул. Версия 1.5, в acFTP.log:
C acFTP версии 1.4, страта не происходит, в acFTP.log:
В журналах вообще никаких записей нет, как будто и не отправляли ничего.
Решила поставить "самоподписанный" сертификат с LetsEncrypt. Скачала certbot-beta-installer-win_amd64_signed.exe, установила его на компе с Eserv.
Запускаю. Выбираю вариант 2 (Saves the necessary validation files to a .well-known/acme-challenge/ directory within the nominated webroot path). Указываю домен. Дальше спрашивает "Input the webroot for...". И я не понимаю, что ему тут указать? Сейчас никакого сертификата нет.
Спасибо!
Путь к каталогу, который раздаёт ваш веб-сервер с этого домена. Если Eserv, то, например, D:\E5\DATA\domains\домен. Certbot запишет туда уникальный файл, по которому LetsEncrypt поймёт, что этот домен ваш.
Или выбрать в Certbot'е другой вариант — "1: Spin up a temporary webserver" (остановив предварительно ваш веб-сервер), он сам запустит свой временный веб-сервер, с которого выдаст нужную страничку, а после получения сертификата остановит.
ред: 15.11.2023 18:58
Файл:
ред: 16.11.2023 04:07
ред: 16.11.2023 11:24
В папке c:\Certbot\live\Мойдомен были созданы 4 файла. С ними что дальше делать (простите особо одаренных)?
Надо вот это сделать? А как "положить" в server.pem?
Да хочется, чтобы правильно все было )
Спасибо!
Бинарники скачал с этой "ветки", ссылка выше — 01.11.2023 13:56 . В результате:
Возвращаю "старый" aсSMTP4 — служба запускается при датах не позже "2022" (как и было).
Может я что-то не то делаю или не оттуда скачал?
ред: 16.11.2023 12:15
В такой файл скопировать содержимое:
ред: 16.11.2023 12:25
Certbot сгенерировал только "
BEGIN PRIVATE KEY
"
Там нет RSA. А в server.pem есть раздел "RSA Public Key: "
ред: 16.11.2023 12:59
Переписала содержимое в server.pem. Перезапустила acSmtp, acWeb.
Проверила, как предлагал
Получила результат:
Это же неправильно?
UPD. Но почта из гугла пришла сразу ))
А что делать с алиасом? У нас, помимо нашего домена, есть еще и его алиас. Почтовая запись в его DNS показывает на наш основной домен. И обслуживается нашим Eservом. Сейчас проверила, что почта из гугла на этот алиас не приходит. На него надо тоже сделать сертификат? И куда класть?
ред: 16.11.2023 14:44
Сделала так, пока не работает почта для алиаса. Но все равно не работает:
Изменила OnStartup.rules.txt и в E4.ini в секции [SMTP] поставила SslPort=0. Перезапустила acSmtp, acWeb.
Письма на адреса алиаса не проходят.
..................................................
.... Ветка работает?
Так что делать нам, скромным пользователям Eserv4
Запустили, всё работает, спасибо
Я уже и сертификаты сменил, и скомпоновал, и порт отключил, строчку из правил старта убрал, НО воз и ныне там. Почта с Яндекса, с ncsm.ru и еще с нескольких ведомственных серверов не приходит. Хотя по логу смотрю и вроде почта пытается долететь... Прошу помощи.
лог smpt:
Вот что тут в логе может быть не так? Как мне настроить сервер, чтоб почта вся доходила?
Я уже и сертификаты сменил, и скомпоновал, и порт отключил, строчку из правил старта убрал, НО воз и ныне там. Почта с Яндекса, с ncsm.ru и еще с нескольких ведомственных серверов не приходит. Хотя по логу смотрю и вроде почта пытается долететь... Прошу помощи.
лог smpt:
Вот что тут в логе может быть не так? Как мне настроить сервер, чтоб почта вся доходила?
update: Снес в админке все фильтры SMTP и почта отовсюду начала приходить. Включил на прием почты SSL и снова отвалилась.
Отсюда сразу несколько дополнительных вопросов:
ред: 06.12.2023 10:50
17;2316
И закончилось записью
Про сертификат. Я скачивала certbot-beta-installer-win_amd64_signed.exe (для Windows 64), устанавливала Certbot и запускала certbot certonly --key-type rsa в PowerShell (под админом).
Выбрать вариант 2. Указать свой домен и путь к webroot: ДИСК:\E5\DATA\domains\домен
(Certbot запишет туда уникальный файл, по которому LetsEncrypt поймёт, что этот домен ваш.)
Создадутся файлы в С:\Certbot\live\ВАШДОМЕН
Потом надо в файл \E5\cert\server.pem скопировать содержимое файла С:\Certbot\live\ВАШДОМЕН \privkey.pem в соотв.секцию (BEGIN RSA PRIVATE KEY) файла server.pem. И аналогично из файла fullchain.pem скопировать в соотв.секцию первый сертификат.
Перезапустить acSmtp и acWeb.
Это я себе прям инструкцию для себя написала, чтобы не забыть потом )))
Вот скрин лога с рекомендованного вами сервиса:
Давайте уже добъем, чтоб нормально все работало.
Что мне и где подкрутить и куда что прописать, чтоб TLS и SSL заработал?
Там в папке cert еще какие-то файлы и сертификаты лежат, они там зачем?
Вот прям один в один, дальше ничего об этом входящем, будто в космос улетает и меня не хочет видеть.
По сертботу, спасибо за подсказку, сейчас перевыпущу сертификат, возможно и правда в самом сертификате проблема, я без привязки к RSA выпускал ...
По результату отпишусь.
Да, перевыпуск приватного ключа в формате RSA решил проблему. Теперь на стороне сервиса красота. Стартует и TLS, и STARTTLS, кряхтит сервис только на то, что сертификат не оригинальный... но это мелочи.
Занимательно только одно: что при включенном, что при выключенном куске настроек 250-TLS и 250-STARTTLS письма прилетают чутка договасто...
с Яндекса — приятно быстро 20-30 секунд.
С Майла, Рамблера и Гугла — 3-4 минуты, при чем без разницы, что с включенным SSL, что с выключенным на стороне сервиса SMTP.
НО! Главное, что письма прилетают.
Здравствуйте!
Поставил, переименовал. Заработало!
А проблемы с лицензией не возникнет? Она же (лицензия) на E4.
После подмены exe'шников IMAP,SMTP,WEB вылезла такая проблема: не открывается веб — интерфейс. Хотя почта работает нормально.
После успешной авторизации выдает ZFORTH-SCRIPTP result: err=2010 (acWEB_SE 5570)
Сама служба acWEB, как служба перезапускается молча, а если запустить просто как обычный exe — жалуется на отсутствие vcruntime140.dll и bcrypt.dll. Сами файлы есть, подкидывал их отдельно и переустанавливал С++ 2015 Redistributable, но не помогло.
Возвращение старого acweb5.exe не помогло.
В какую сторону смотреть и думать?
Аналогичная проблема. Eserv4, при замене файлов acWeb, acIMAP, acFilter запускаются нормально.
А вот acSMTP5 (пробовал менять на обе версии, и для старых и для openssl 1.1) не запускается, новый acSMTP5 требует сертификат при любой дате.
Кому-то удалось победить данную проблему? Как запустить "новый" acSMTP5 для eServ4?
ред: 17.04.2024 13:45
VW Sphere 7.0 + Windows Server 2008R2 + acIMAP/5.16, build 34456, 01.11.2023 в логе acIMAP5 вот такое:
UNHANDLED EXCEPTION: FFFFFFFF
RETURN STACK:
03CAEF84 : 00555234 CATCH
03CAEF88 : 00000000
03CAEF8C : 03CAFF8C
03CAEF90 : 0056B954 FATAL-HANDLER1
03CAEF94 : 005551CC THROW
03CAEF98 : 005C9520 FilterAddIp
03CAEF9C : 005C96B8 FilterDenyPacketsFromIp
03CAEFA0 : 0061B807 IpApplyBlock
03CAEFA4 : 00553294 (LocalsExit)
03CAEFA8 : 00000008
03CAEFAC : 03F499E4
03CAEFB0 : 3A302AB9
03CAEFB4 : 0061B976 IpRestricted
03CAEFB8 : 00553294 (LocalsExit)
03CAEFBC : 00000004
03CAEFC0 : 3A302AB9
03CAEFC4 : 005C22E8 Server
03CAEFC8 : 00553294 (LocalsExit)
03CAEFCC : 00000004
03CAEFD0 : 000001E0
если кто-то сталкивался, посоветуйте как это победить?
Были раньше такие ошибки вот в этих темах (поиском по слову FATAL можно найти)