Здравствуйте.
Стоит ubuntu server 20.04 : Nginx + Postfix + Dovecot + MariaDb + RoundCube.
Все делалось по этой (https://www.dmosk.ru/instruktions.php?object=mailserver-ubuntu#postfixadmin) инструкции.
Не отправляются письма из web интерфейса RoundCube. Ошибка SMTP 250/220. В логе

smtp server does not support authentication

Nov 10 21:12:59 mail dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=9*.**7.**.**, lip=192.168.10.20, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<C3ELLXPQie9XdRmr>

Помогите, пожалуйста, разобраться. Третьи сутки штурмую гугл.

smtp server does not support authentication »
У постфикса не настроен/не работает SASL.
Nov 10 21:12:59 mail dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=9*.**7.**.**, lip=192.168.10.20, TLS handshaking: SSL_accept() failed: error:14094416:SSL routines:ssl3_read_bytes:sslv3 alert certificate unknown: SSL alert number 46, session=<C3ELLXPQie9XdRmr> »
Это не связано с отправкой. Но установить доверенный сертификат вместо самоподписного всё равно нужно.

Jula0071, Спасибо.
Но заработало с такими настройками
// IMAP
$config['default_host'] = 'tls://mydomain.ru';
//$config['default_host'] = 'localhost';
$config['default_port'] = 143;
$config['imap_auth_type'] = 'PLAIN';
$config['imap_delimiter'] = '/';
// Required if you're running PHP 5.6 or later
$config['imap_conn_options'] = array(
'ssl' => array(
'verify_peer' => false,
'verify_peer_name' => false,
),
'tls' => array(
'verify_peer' => false,
'verify_peer_name' => false,
),
);

//*************************

// SMTP
$config['smtp_server'] = 'tls://myservername.mydomain.ru';
$config['smtp_port'] = 587;
$config['smtp_user'] = ''; //'%u';
$config['smtp_pass'] = ''; //'%p';
$config['smtp_auth_type'] = 'LOGIN';
$config['smtp_conn_options'] = array(
'ssl' => array(
'verify_peer' => false,
'verify_peer_name' => false,
),
);

Я дико извиняюсь за некропостинг, но я настраивал всё то же самое по этой инструкции и у меня были те же самые ошибки. Помогло ваше решение
$config['smtp_server']*=*'tls://myservername.mydomain.ru';
$config['smtp_port']*=*587;
$config['smtp_user']*=*'';*//'%u';
$config['smtp_pass']*=*'';*//'%p';
$config['smtp_auth_type']*=*'LOGIN';
$config['smtp_conn_options']*=*array(
****'ssl'*=>*array(
********'verify_peer'******=>*false,
********'verify_peer_name'*=>*false,
****),
); »

Но за что именно отвечает эта часть? Отключение проверки сертификата в roundcube? Как это глобально может повлиять на безопасность локальной почты?

На сколько я понимаю, эти настройки относятся к отправке почты и сильно не влияют не на что. Другое дело, если мерить рейтинг в почтовых специальных "проверялках", то это снижает уровень вашего почтового сервера и приближает его к СПАМУ.

Ребятки, я так смотрю у вас нет понимания, что там в инструкции. Для начала, осознайте, что Roundcube это всего лишь почтовый клиент, а работу по доставке/приёму осуществляют Postfix/Dovecot.

Jula0071, определенное понимание имеется. postfix/dovecot прекрасно отрабатывают(отправка/получение) на почтовых клиентах типа тандербёрда или аутлука после добавления самоподписанного сертификата в исключения. Но не даёт отправить с помощью этой веб-морды раундкуба. И сколько не штудирую гугл, всё сводится к одному - отключать verify_peer/verify_peer_name.
Может вы поделитесь мыслями, а не будете указывать на очевидное?

ManchesterFiend, предлагаю попробовать rainloop (https://www.rainloop.net/). Пользуюсь уже несколько лет после roundcube - нихт проблем, как говорится )))

dmitryst, cпасибо за совет, позже обязательно попробую! Мне не к спеху, поэтому хочется разобраться в проблеме)

ManchesterFiend, можете попробовать прямо сейчас - ничего не теряете, собственно.

определенное понимание имеется. postfix/dovecot прекрасно отрабатывают(отправка/получение) на почтовых клиентах типа тандербёрда или аутлука после добавления самоподписанного сертификата в исключения. »
Ну вот. По сути roundcube это такой же клиент, указанные директивы (verify_peer) просто говорят ему, что можно игнорировать факт, что сертификат не авторизованный, не проходит верификацию. Вы можете кстати добавить самоподписную CA в trust store на сервере и тогда всё будет верифицироваться, но честно говоря не понимаю, зачем сейчас для публичных сервисов использовать самоподписное - серты копейки стоят, да и вообще есть бесплатные от летсэнкрипт, причём с автоматическим продлением... А если вебморда и postfix/dovecot на одном сервере, можете вообще общаться без шифрования, по localhost.

Ну и последнее. Не понимаю, на кой нужны эти конструкторы, если есть готовая Zimbra?

[q=ManchesterFiend]
Ну и последнее. Не понимаю, на кой нужны эти конструкторы, если есть готовая Zimbra?
Ну это вообще такая замудренная штука, которая как выглядит так и работает…👎

Ну это вообще такая замудренная штука, которая как выглядит так и работает…�� »
Прекрасно она работает. Только ею и пользуюсь и с десяток почтарей на ней. Не без недостатков - оно писано на java, потому и аппетиты соответствующие, меньше чем на 4GB RAM не воткнуть. А конструкторы эти вполне могут и на одном гиге пахать, если потюнить.

есть бесплатные от летсэнкрипт, » для почты у них как раз нет. Для Https есть. С ним exim не запускается, а то был бы неплохой вариант.

для почты у них как раз нет. Для Https есть. »
Лол. Чем отличается сертификат для https от сертификата для ну скажем smtp/s или STARTTLS? Правильно, ничем. Subject там Common Name, что обычно hostname, а какой протокол пофиг.

Ну и последнее. Не понимаю, на кой нужны эти конструкторы, если есть готовая Zimbra? »
Есть и iRedMail. Но для понимания работы и получения хоть каких-то знаний хочется сыграть в конструктора, а уже потом можно и использовать уже готовые решения.

По поводу trust store - если имеется ввиду /etc/ssl/certs - то пробовал и туда закидывать в расширениях .pem .crt и даже в /usr/local/share/ca-certificates. Ничего не помогает.

По поводу лэтс энкрипта и платных сертификатов, всё же хочется оставить их на крайний случай, т.к повторюсь - хочется делать всё своими руками с максимальным понимаем происходящего.

Правильно, ничем. »
возможно, параметрами шифрования. Но это уже отдельная тема.
Ничего не помогает. »
а доступ-то туда у программы есть? По идее, владельцем надо сделать пользователя, от имени котрого работает сервис доставки/приема почты (mailnull или кто у вас там), права как минимум,0600.
Авторизация postfix/dovecot как организована? У меня, например, exim авторизуется через сервис dovecot-а, соответственно, если dovecot кого-то там авторизовать не может, то и отправка не работает - всё пишется в логи dovecot и exim. Из PostfixAdmin письма отправляются?

возможно, параметрами шифрования. »
Нет. Единственное, что приходит в голову, чем может быть вызвана проблема "непринятия" сертификата, это неполная или неверная цепочка сертификации. Например, взять тот же летсэнкрипт, у него не так давно корень протух, теперь новый нужно использовать, о чём может не знать ОС или старая версия сертбота. Но это легко выяснить при помощи openssl verify и не трудно исправить.

Jula0071, в моем случае, letsecrypt-овские сертификаты dovecot переварил после обновления версии, а вот exim никак (но у меня конфиг, мягко говоря, "малость нестандартный"), я думаю, мой косяк 100%, но это к делу не относится ))
не так давно корень протух »
всё давно обновлено и исправлено ;)
Кстати, ManchesterFiend, а что у вас в
smtpd_tls_cert_file=/etc/letsencrypt/live/host.hostprovider.com/cert.pem

smtpd_tls_cert_file должен указывать на cert.pem file, а не на fullchain.pem

dmitryst, я же писал, что не использовал сертификат от летнскрипа.
В общем за всё это время я перелопатил и настроил сервер заново уже на debian 11 и там всё прекрасно работает(по-крайней мере, пока что). Дело видимо было всё-таки в записях на ДНС, ну и самоподписанным сертификатом, етстесвенно. Далее удалось даже прикрутить глобальную адресную книгу на вебморду, но есть выстрелила неприятная деталь. В организации люди пользуются разными почтовыми клиентами, цель приобщить всех к раундкубу, но вот в чём беда: при первом входе в раундкуб, пользователю по умолчанию создаётся несколько стандартных папок. Далее, если он решит зайти в почтовый клиент аутлука - там тоже создадутся новые стандартные папки и по итогу их будет в обоих почтовых клиентах их будет паре(2 входящие, 2 отправленные и 2 спама) и естественно храниться письма будут в разных папках. С тандербёрдом допустим такой проблемы нет, может кто-то знает как это решить глобально, а не удаляя каждому пользователю вручную лишние папки?