Bonjour à tous,
Je souhaiterais mettre en place une configuration mail pour avoir *postfix-dovecot* en HA via *HAproxy* mais je n'arrive pas à faire fonctionner le tout.
Je me suis basé sur les documentations suivantes et sur ce que je pouvais trouver sur la toile :
* http://wiki2.dovecot.org/HAProxy (pour dovecot) * http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-... (pour postfix)
La version de mes packages :
* /dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) // / * /haproxy : 1.5.14 // / * /postfix : 2.11.2-1 (>2.10 pour postscreen)/
Une partie de ma configuration :
##HAPROXY
/#postfix// //listen smtp// //bind mail.xx.xx:465// //balance roundrobin// //timeout client 1m// //timeout connect 5s// //no option http-server-close// //mode tcp// //option smtpchk// //option tcplog// //server tst tst.xxx:10465 send-proxy// //server tst2 tst2.xxx:10465 send-proxy// //server tst3 tst3.xxx:10465 send-proxy/
/#dovecot// //listen imap// //bind mail.xxx.xx:993// //timeout client 1m// //no option http-server-close// //balance leastconn// //stick store-request src// //stick-table type ip size 200k expire 30m// //mode tcp// //option tcplog// //server tst tst.xxx:10993 send-proxy-v2// //server tst2tst2.xxx:10993 send-proxy-v2// //server tst3 tst3.xxx:10993 send-proxy-v2/
##POSTFIX
/postix main.cf// //#Haproxy proxy protocol// //postscreen_upstream_proxy_protocol = haproxy// // //postfix master.cf// //#haproxy// //10465 inet n – n – 1 postscreen// //smtpd pass – – n – – smtpd/ S
##DOVECOT
/dovecot dovecot.conf// //#trust haproxy requests// //haproxy_trusted_networks = l'ip privée de mon HAproxy// //haproxy_timeout = 5// // //inet_listener imap_haproxy {// //port = 10993// //haproxy = yes// //}/
Avec mon client de mail :
Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne récupère pas mon login. / //dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): //*user=<>*//, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx/
Lors d'une connexion SMTP, voici les logs, ça mouline et au bout d'un moment j'ai un timeout.
/postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465// //postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k”FjA#\144\145\153\vP\\155HL\190
/Si quelqu'un a une idée, je suis preneur.
Cordialement. / /
Bonjour,
J'essaie de faire exactement la m?me chose et ait le m?me probl?me. Je suis donc preneur d'une solution :)
Merci ? tous,
Philippe
________________________________ From: FRsAG frsag-bounces@frsag.org on behalf of Michael JOIGNY mjoigny@neteven.com Sent: Tuesday, October 13, 2015 17:02 To: frsag@frsag.org Subject: [FRsAG] Postfix - Dovecot HA avec HAproxy
Bonjour ? tous,
Je souhaiterais mettre en place une configuration mail pour avoir postfix-dovecot en HA via HAproxy mais je n'arrive pas ? faire fonctionner le tout.
Je me suis bas? sur les documentations suivantes et sur ce que je pouvais trouver sur la toile :
* http://wiki2.dovecot.org/HAProxy (pour dovecot) * http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-... (pour postfix)
La version de mes packages :
* dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) * haproxy : 1.5.14 * postfix : 2.11.2-1 (>2.10 pour postscreen)
Une partie de ma configuration :
##HAPROXY
#postfix listen smtp bind mail.xx.xx:465 balance roundrobin timeout client 1m timeout connect 5s no option http-server-close mode tcp option smtpchk option tcplog server tst tst.xxx:10465 send-proxy server tst2 tst2.xxx:10465 send-proxy server tst3 tst3.xxx:10465 send-proxy
#dovecot listen imap bind mail.xxx.xx:993 timeout client 1m no option http-server-close balance leastconn stick store-request src stick-table type ip size 200k expire 30m mode tcp option tcplog server tst tst.xxx:10993 send-proxy-v2 server tst2tst2.xxx:10993 send-proxy-v2 server tst3 tst3.xxx:10993 send-proxy-v2
##POSTFIX
postix main.cf #Haproxy proxy protocol postscreen_upstream_proxy_protocol = haproxy
postfix master.cf #haproxy 10465 inet n - n - 1 postscreen smtpd pass - - n - - smtpd S
##DOVECOT
dovecot dovecot.conf #trust haproxy requests haproxy_trusted_networks = l'ip priv?e de mon HAproxy haproxy_timeout = 5
inet_listener imap_haproxy { port = 10993 haproxy = yes }
Avec mon client de mail :
Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne r?cup?re pas mon login.
dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): user=<>, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx
Lors d'une connexion SMTP, voici les logs, ?a mouline et au bout d'un moment j'ai un timeout.
postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465 postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k"FjA#\144\145\153\vP\\155HL\190
Si quelqu'un a une id?e, je suis preneur.
Cordialement.
-- [cid:part1.02090305.07060902@neteven.com]
[EDSI-Tech Sarl]http://www.edsi-tech.com Philippe Bonvin, Directeur EDSI-Tech S?rlhttp://www.edsi-tech.com EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | T?l?phone: +41 (0) 21 566 14 15 Savoie Technolac, 17 Avenue du Lac L?man, 73375 Le Bourget-du-Lac, France | T?l?phone: +33 (0)4 86 15 44 78
Bonjour,
J'ai eu un retour sur via la mailing list de dovecot :
A priori, on ne peut pas utiliser le port 465 car il n'est pas supporté via proxy protocol.
/you cant use port 465, please use port 25. The SMTPS is ancient and not support via proxy protocol. Iam refering to your listen port. -- listen smtp bind mail.xx.xx:25 .. server tst tst.xxx:10465 send-proxy --/
Du coup, effectivement le smtp fonctionne avec ce changement.
Pour l'imap, voici le retour :
/service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 *ssl = yes* } inet_listener imap_haproxy { port = 10143 haproxy = yes } inet_listener imaps_haproxy { port = 10993 *ssl = yes* haproxy = yes } /J'ai donc rajouté le "ssl = yes" et ça fonctionne aussi.
Du coup, pour Thunderbird, la conf pour IMAP ne change :
* port 993 * mot de passe normal * sécurité de la connexion : SSL TLS
Mais pour le SMTP, dans mon cas, ça fonctionne qu'avec :
* port 25 * mot de passe chiffré * sécurité de la connexion : aucune (alors que je voudrais du SSL TLS également mais pas possible sur ce port)
J'attends un retour à ce sujet, en espérant que ça puisse aider/débloquer quelqu'un dans votre configuration.
Cordialement.
Le 14/10/2015 09:03, Philippe Bonvin a écrit :
Bonjour,
J'essaie de faire exactement la même chose et ait le même problème. Je suis donc preneur d'une solution :)
Merci à tous,
Philippe
*From:* FRsAG frsag-bounces@frsag.org on behalf of Michael JOIGNY mjoigny@neteven.com *Sent:* Tuesday, October 13, 2015 17:02 *To:* frsag@frsag.org *Subject:* [FRsAG] Postfix - Dovecot HA avec HAproxy Bonjour à tous,
Je souhaiterais mettre en place une configuration mail pour avoir *postfix-dovecot* en HA via *HAproxy* mais je n'arrive pas à faire fonctionner le tout.
Je me suis basé sur les documentations suivantes et sur ce que je pouvais trouver sur la toile :
- http://wiki2.dovecot.org/HAProxy (pour dovecot)
- http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-... (pour postfix)
La version de mes packages :
- /dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) // /
- /haproxy : 1.5.14 // /
- /postfix : 2.11.2-1 (>2.10 pour postscreen)/
Une partie de ma configuration :
##HAPROXY
/#postfix// //listen smtp// //bind mail.xx.xx:465// //balance roundrobin// //timeout client 1m// //timeout connect 5s// //no option http-server-close// //mode tcp// //option smtpchk// //option tcplog// //server tst tst.xxx:10465 send-proxy// //server tst2 tst2.xxx:10465 send-proxy// //server tst3 tst3.xxx:10465 send-proxy/
/#dovecot// //listen imap// //bind mail.xxx.xx:993// //timeout client 1m// //no option http-server-close// //balance leastconn// //stick store-request src// //stick-table type ip size 200k expire 30m// //mode tcp// //option tcplog// //server tst tst.xxx:10993 send-proxy-v2// //server tst2tst2.xxx:10993 send-proxy-v2// //server tst3 tst3.xxx:10993 send-proxy-v2/
##POSTFIX
/postix main.cf// //#Haproxy proxy protocol// //postscreen_upstream_proxy_protocol = haproxy// // //postfix master.cf// //#haproxy// //10465 inet n – n – 1 postscreen// //smtpd pass – – n – – smtpd/ S
##DOVECOT
/dovecot dovecot.conf// //#trust haproxy requests// //haproxy_trusted_networks = l'ip privée de mon HAproxy// //haproxy_timeout = 5// // //inet_listener imap_haproxy {// //port = 10993// //haproxy = yes// //}/
Avec mon client de mail :
Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne récupère pas mon login. / //dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): //*user=<>*//, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx/
Lors d'une connexion SMTP, voici les logs, ça mouline et au bout d'un moment j'ai un timeout.
/postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465// //postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k”FjA#\144\145\153\vP\\155HL\190
/Si quelqu'un a une idée, je suis preneur.
Cordialement. / / --
EDSI-Tech Sarl http://www.edsi-tech.com *Philippe Bonvin*, Directeur *EDSI-Tech Sàrl http://www.edsi-tech.com* EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | Téléphone: +41 (0) 21 566 14 15 Savoie Technolac, 17 Avenue du Lac Léman, 73375 Le Bourget-du-Lac, France | Téléphone: +33 (0)4 86 15 44 78
Bonjour,
Vu que l'envoi est authentifié, ce n'est pas plutôt le port 587 qu'il faut utiliser, et non pas le 25 (§3.1 RFC 2476) ? Le port 25 est filtré chez quelques FAI pour limiter le spam, cela risque de poser des soucis à tes utilisateurs lorsqu'ils ne sont pas en interne.
My 2 cents.
Barth
Le 14 octobre 2015 16:00, Michael JOIGNY mjoigny@neteven.com a écrit :
Bonjour,
J'ai eu un retour sur via la mailing list de dovecot :
A priori, on ne peut pas utiliser le port 465 car il n'est pas supporté via proxy protocol.
*you cant use port 465, please use port 25. The SMTPS is ancient and not support via proxy protocol. Iam refering to your listen port.
-- listen smtp bind mail.xx.xx:25 .. server tst tst.xxx:10465 send-proxy --*
Du coup, effectivement le smtp fonctionne avec ce changement.
Pour l'imap, voici le retour :
*service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 ssl = yes } inet_listener imap_haproxy { port = 10143 haproxy = yes } inet_listener imaps_haproxy { port = 10993 ssl = yes haproxy = yes }
*J'ai donc rajouté le "ssl = yes" et ça fonctionne aussi.
Du coup, pour Thunderbird, la conf pour IMAP ne change :
- port 993
- mot de passe normal
- sécurité de la connexion : SSL TLS
Mais pour le SMTP, dans mon cas, ça fonctionne qu'avec :
- port 25
- mot de passe chiffré
- sécurité de la connexion : aucune (alors que je voudrais du SSL TLS
également mais pas possible sur ce port)
J'attends un retour à ce sujet, en espérant que ça puisse aider/débloquer quelqu'un dans votre configuration.
Cordialement.
Le 14/10/2015 09:03, Philippe Bonvin a écrit :
Bonjour,
J'essaie de faire exactement la même chose et ait le même problème. Je suis donc preneur d'une solution :)
Merci à tous,
Philippe
*From:* FRsAG frsag-bounces@frsag.org frsag-bounces@frsag.org on behalf of Michael JOIGNY mjoigny@neteven.com mjoigny@neteven.com *Sent:* Tuesday, October 13, 2015 17:02 *To:* frsag@frsag.org *Subject:* [FRsAG] Postfix - Dovecot HA avec HAproxy
Bonjour à tous,
Je souhaiterais mettre en place une configuration mail pour avoir *postfix-dovecot* en HA via *HAproxy* mais je n'arrive pas à faire fonctionner le tout.
Je me suis basé sur les documentations suivantes et sur ce que je pouvais trouver sur la toile :
- http://wiki2.dovecot.org/HAProxy (pour dovecot)
http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-... (pour postfix)
La version de mes packages :
- *dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) *
- *haproxy : 1.5.14 *
- *postfix : 2.11.2-1 (>2.10 pour postscreen)*
Une partie de ma configuration :
##HAPROXY *#postfix* *listen smtp* *bind mail.xx.xx:465* *balance roundrobin* *timeout client 1m* *timeout connect 5s* *no option http-server-close* *mode tcp* *option smtpchk* *option tcplog* *server tst tst.xxx:10465 send-proxy* *server tst2 tst2.xxx:10465 send-proxy* *server tst3 tst3.xxx:10465 send-proxy*
*#dovecot* *listen imap* *bind mail.xxx.xx:993* *timeout client 1m* *no option http-server-close* *balance leastconn* *stick store-request src* *stick-table type ip size 200k expire 30m* *mode tcp* *option tcplog* *server tst tst.xxx:10993 send-proxy-v2* *server tst2tst2.xxx:10993 send-proxy-v2* *server tst3 tst3.xxx:10993 send-proxy-v2*
##POSTFIX
*postix main.cf http://main.cf* *#Haproxy proxy protocol* *postscreen_upstream_proxy_protocol = haproxy*
*postfix master.cf http://master.cf* *#haproxy* *10465 inet n – n – 1 postscreen* *smtpd pass – – n – – smtpd* S
##DOVECOT
*dovecot dovecot.conf* *#trust haproxy requests* *haproxy_trusted_networks = l'ip privée de mon HAproxy* *haproxy_timeout = 5*
*inet_listener imap_haproxy {* *port = 10993* *haproxy = yes* *}*
Avec mon client de mail :
Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne récupère pas mon login.
*dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): **user=<>**, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx*
Lors d'une connexion SMTP, voici les logs, ça mouline et au bout d'un moment j'ai un timeout.
*postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465*
*postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k”FjA#\144\145\153\vP\\155HL\190 *Si quelqu'un a une idée, je suis preneur.
Cordialement.
--
[image: EDSI-Tech Sarl] http://www.edsi-tech.com *Philippe Bonvin*, Directeur *EDSI-Tech Sàrl http://www.edsi-tech.com* EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | Téléphone: +41 (0) 21 566 14 15 Savoie Technolac, 17 Avenue du Lac Léman, 73375 Le Bourget-du-Lac, France | Téléphone: +33 (0)4 86 15 44 78
--
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
J'ai tenté de bindé HAproxy avec le port 587 en gardant la même configuration mais ça ne fonctionne pas.
Dans les logs : / //2015-10-14T16:21:57.759108+02:00 tst postfix/postscreen[25248]: CONNECT from [mon_ip_publique]:33585 to [Haproxy_ip_publique]:587// //2015-10-14T16:21:57.759128+02:00 tst postfix/postscreen[25248]: PASS OLD [mon_ip_publique]:33585// //2015-10-14T16:21:57.771439+02:00 tst postfix/smtpd[25249]: connect from xxxxxxx[mon_ip_publique]
/
Le 14/10/2015 16:14, Barthélémy DELUY a écrit :
Bonjour,
Vu que l'envoi est authentifié, ce n'est pas plutôt le port 587 qu'il faut utiliser, et non pas le 25 (§3.1 RFC 2476) ? Le port 25 est filtré chez quelques FAI pour limiter le spam, cela risque de poser des soucis à tes utilisateurs lorsqu'ils ne sont pas en interne.
My 2 cents.
Barth
Le 14 octobre 2015 16:00, Michael JOIGNY <mjoigny@neteven.com mailto:mjoigny@neteven.com> a écrit :
Bonjour, J'ai eu un retour sur via la mailing list de dovecot : A priori, on ne peut pas utiliser le port 465 car il n'est pas supporté via proxy protocol. /you cant use port 465, please use port 25. The SMTPS is ancient and not support via proxy protocol. Iam refering to your listen port. -- listen smtp bind mail.xx.xx:25 .. server tst tst.xxx:10465 send-proxy --/ Du coup, effectivement le smtp fonctionne avec ce changement. Pour l'imap, voici le retour : /service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 *ssl = yes* } inet_listener imap_haproxy { port = 10143 haproxy = yes } inet_listener imaps_haproxy { port = 10993 *ssl = yes* haproxy = yes } /J'ai donc rajouté le "ssl = yes" et ça fonctionne aussi. Du coup, pour Thunderbird, la conf pour IMAP ne change : * port 993 * mot de passe normal * sécurité de la connexion : SSL TLS Mais pour le SMTP, dans mon cas, ça fonctionne qu'avec : * port 25 * mot de passe chiffré * sécurité de la connexion : aucune (alors que je voudrais du SSL TLS également mais pas possible sur ce port) J'attends un retour à ce sujet, en espérant que ça puisse aider/débloquer quelqu'un dans votre configuration. Cordialement. Le 14/10/2015 09:03, Philippe Bonvin a écrit :Bonjour, J'essaie de faire exactement la même chose et ait le même problème. Je suis donc preneur d'une solution :) Merci à tous, Philippe ------------------------------------------------------------------------ *From:* FRsAG <frsag-bounces@frsag.org> <mailto:frsag-bounces@frsag.org> on behalf of Michael JOIGNY <mjoigny@neteven.com> <mailto:mjoigny@neteven.com> *Sent:* Tuesday, October 13, 2015 17:02 *To:* frsag@frsag.org <mailto:frsag@frsag.org> *Subject:* [FRsAG] Postfix - Dovecot HA avec HAproxy Bonjour à tous, Je souhaiterais mettre en place une configuration mail pour avoir *postfix-dovecot* en HA via *HAproxy* mais je n'arrive pas à faire fonctionner le tout. Je me suis basé sur les documentations suivantes et sur ce que je pouvais trouver sur la toile : * http://wiki2.dovecot.org/HAProxy (pour dovecot) * http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/ (pour postfix) La version de mes packages : * /dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) // / * /haproxy : 1.5.14 // / * /postfix : 2.11.2-1 (>2.10 pour postscreen)/ Une partie de ma configuration : ##HAPROXY /#postfix// //listen smtp// //bind mail.xx.xx:465// //balance roundrobin// //timeout client 1m// //timeout connect 5s// //no option http-server-close// //mode tcp// //option smtpchk// //option tcplog// //server tst tst.xxx:10465 send-proxy// //server tst2 tst2.xxx:10465 send-proxy// //server tst3 tst3.xxx:10465 send-proxy/ /#dovecot// //listen imap// //bind mail.xxx.xx:993// //timeout client 1m// //no option http-server-close// //balance leastconn// //stick store-request src// //stick-table type ip size 200k expire 30m// //mode tcp// //option tcplog// //server tst tst.xxx:10993 send-proxy-v2// //server tst2tst2.xxx:10993 send-proxy-v2// //server tst3 tst3.xxx:10993 send-proxy-v2/ ##POSTFIX /postix main.cf <http://main.cf>// //#Haproxy proxy protocol// //postscreen_upstream_proxy_protocol = haproxy// // //postfix master.cf <http://master.cf>// //#haproxy// //10465 inet n – n – 1 postscreen// //smtpd pass – – n – – smtpd/ S ##DOVECOT /dovecot dovecot.conf// //#trust haproxy requests// //haproxy_trusted_networks = l'ip privée de mon HAproxy// //haproxy_timeout = 5// // //inet_listener imap_haproxy {// //port = 10993// //haproxy = yes// //}/ Avec mon client de mail : Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne récupère pas mon login. / //dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): //*user=<>*//, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx/ Lors d'une connexion SMTP, voici les logs, ça mouline et au bout d'un moment j'ai un timeout. /postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465// //postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k”FjA#\144\145\153\vP\\\155HL\190 /Si quelqu'un a une idée, je suis preneur. Cordialement. / / -- EDSI-Tech Sarl <http://www.edsi-tech.com> *Philippe Bonvin*, Directeur *EDSI-Tech Sàrl <http://www.edsi-tech.com>* EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | Téléphone: +41 (0) 21 566 14 15 <tel:%2B41%20%280%29%2021%20566%2014%2015> Savoie Technolac, 17 Avenue du Lac Léman, 73375 Le Bourget-du-Lac, France | Téléphone: +33 (0)4 86 15 44 78 <tel:%2B33%20%280%294%2086%2015%2044%2078>-- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour, Je regardais votre conversation pour voir ce qui avait évolué depuis 10 ans de ce côté là et ma conclusion de l'époque était qu'il fallait juste load balancer les ports pour équilibrer la charge et parer à une défaillance. On utilisait ipvsadm avec de l'iptable, ça juste marchait.
De nos jours la seule info que j'ai vu passer sur un proxy donc niveau 7 pour les flux de mails c'est Nginx qui gère la partie imap pour diriger vers différents serveurs. Pas testé car pas l'usage de monter en niveau 7 pour ce type de flux.
bon courage
Le 14/10/2015 16:35, Michael JOIGNY a écrit :
Bonjour,
J'ai tenté de bindé HAproxy avec le port 587 en gardant la même configuration mais ça ne fonctionne pas.
Dans les logs : / //2015-10-14T16:21:57.759108+02:00 tst postfix/postscreen[25248]: CONNECT from [mon_ip_publique]:33585 to [Haproxy_ip_publique]:587// //2015-10-14T16:21:57.759128+02:00 tst postfix/postscreen[25248]: PASS OLD [mon_ip_publique]:33585// //2015-10-14T16:21:57.771439+02:00 tst postfix/smtpd[25249]: connect from xxxxxxx[mon_ip_publique]
/
Le 14/10/2015 16:14, Barthélémy DELUY a écrit :
Bonjour,
Vu que l'envoi est authentifié, ce n'est pas plutôt le port 587 qu'il faut utiliser, et non pas le 25 (§3.1 RFC 2476) ? Le port 25 est filtré chez quelques FAI pour limiter le spam, cela risque de poser des soucis à tes utilisateurs lorsqu'ils ne sont pas en interne.
My 2 cents.
Barth
Le 14 octobre 2015 16:00, Michael JOIGNY <mjoigny@neteven.com mailto:mjoigny@neteven.com> a écrit :
Bonjour, J'ai eu un retour sur via la mailing list de dovecot : A priori, on ne peut pas utiliser le port 465 car il n'est pas supporté via proxy protocol. /you cant use port 465, please use port 25. The SMTPS is ancient and not support via proxy protocol. Iam refering to your listen port. -- listen smtp bind mail.xx.xx:25 .. server tst tst.xxx:10465 send-proxy --/ Du coup, effectivement le smtp fonctionne avec ce changement. Pour l'imap, voici le retour : /service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 *ssl = yes* } inet_listener imap_haproxy { port = 10143 haproxy = yes } inet_listener imaps_haproxy { port = 10993 *ssl = yes* haproxy = yes } /J'ai donc rajouté le "ssl = yes" et ça fonctionne aussi. Du coup, pour Thunderbird, la conf pour IMAP ne change : * port 993 * mot de passe normal * sécurité de la connexion : SSL TLS Mais pour le SMTP, dans mon cas, ça fonctionne qu'avec : * port 25 * mot de passe chiffré * sécurité de la connexion : aucune (alors que je voudrais du SSL TLS également mais pas possible sur ce port) J'attends un retour à ce sujet, en espérant que ça puisse aider/débloquer quelqu'un dans votre configuration. Cordialement. Le 14/10/2015 09:03, Philippe Bonvin a écrit :Bonjour, J'essaie de faire exactement la même chose et ait le même problème. Je suis donc preneur d'une solution :) Merci à tous, Philippe ------------------------------------------------------------------------ *From:* FRsAG <frsag-bounces@frsag.org> <mailto:frsag-bounces@frsag.org> on behalf of Michael JOIGNY <mjoigny@neteven.com> *Sent:* Tuesday, October 13, 2015 17:02 *To:* frsag@frsag.org <mailto:frsag@frsag.org> *Subject:* [FRsAG] Postfix - Dovecot HA avec HAproxy Bonjour à tous, Je souhaiterais mettre en place une configuration mail pour avoir *postfix-dovecot* en HA via *HAproxy* mais je n'arrive pas à faire fonctionner le tout. Je me suis basé sur les documentations suivantes et sur ce que je pouvais trouver sur la toile : * http://wiki2.dovecot.org/HAProxy (pour dovecot) * http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/ (pour postfix) La version de mes packages : * /dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) // / * /haproxy : 1.5.14 // / * /postfix : 2.11.2-1 (>2.10 pour postscreen)/ Une partie de ma configuration : ##HAPROXY /#postfix// //listen smtp// //bind mail.xx.xx:465// //balance roundrobin// //timeout client 1m// //timeout connect 5s// //no option http-server-close// //mode tcp// //option smtpchk// //option tcplog// //server tst tst.xxx:10465 send-proxy// //server tst2 tst2.xxx:10465 send-proxy// //server tst3 tst3.xxx:10465 send-proxy/ /#dovecot// //listen imap// //bind mail.xxx.xx:993// //timeout client 1m// //no option http-server-close// //balance leastconn// //stick store-request src// //stick-table type ip size 200k expire 30m// //mode tcp// //option tcplog// //server tst tst.xxx:10993 send-proxy-v2// //server tst2tst2.xxx:10993 send-proxy-v2// //server tst3 tst3.xxx:10993 send-proxy-v2/ ##POSTFIX /postix main.cf <http://main.cf>// //#Haproxy proxy protocol// //postscreen_upstream_proxy_protocol = haproxy// // //postfix master.cf <http://master.cf>// //#haproxy// //10465 inet n – n – 1 postscreen// //smtpd pass – – n – – smtpd/ S ##DOVECOT /dovecot dovecot.conf// //#trust haproxy requests// //haproxy_trusted_networks = l'ip privée de mon HAproxy// //haproxy_timeout = 5// // //inet_listener imap_haproxy {// //port = 10993// //haproxy = yes// //}/ Avec mon client de mail : Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne récupère pas mon login. / //dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): //*user=<>*//, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx/ Lors d'une connexion SMTP, voici les logs, ça mouline et au bout d'un moment j'ai un timeout. /postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465// //postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k”FjA#\144\145\153\vP\\\155HL\190 /Si quelqu'un a une idée, je suis preneur. Cordialement. / / -- EDSI-Tech Sarl <http://www.edsi-tech.com> *Philippe Bonvin*, Directeur *EDSI-Tech Sàrl <http://www.edsi-tech.com>* EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | Téléphone: +41 (0) 21 566 14 15 <tel:%2B41%20%280%29%2021%20566%2014%2015> Savoie Technolac, 17 Avenue du Lac Léman, 73375 Le Bourget-du-Lac, France | Téléphone: +33 (0)4 86 15 44 78 <tel:%2B33%20%280%294%2086%2015%2044%2078>-- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/--
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
J'ai abandonné la configuration que j'évoquai dans mes précédents posts, ma configuration finale ressemble à ça, je passe par deux "listen".
#postfix listen smtp bind mail.xxx.xxx:465 balance roundrobin timeout client 1m timeout connect 5s no option http-server-close mode tcp option tcplog server tst tst.xxx:465 check inter 10s server tst2 tst2.xxx:465 check inter 10s server tst3 tst3.xxx:465 backup
#dovecot listen imap bind mail.xxx.xxx:993 timeout client 1m no option http-server-close balance leastconn stick store-request src stick-table type ip size 200k expire 30m mode tcp option tcplog server tst tst.xxx:993 check inter 10s server tst2 tst2.xxx:993 check inter 10s server tst3 tst3.xxx:993 backup
Et mon client Thunderbird s'authentifie de la même façon qu'avant.
Cdt.
Le 14/10/2015 16:57, Wallace a écrit :
Bonjour, Je regardais votre conversation pour voir ce qui avait évolué depuis 10 ans de ce côté là et ma conclusion de l'époque était qu'il fallait juste load balancer les ports pour équilibrer la charge et parer à une défaillance. On utilisait ipvsadm avec de l'iptable, ça juste marchait.
De nos jours la seule info que j'ai vu passer sur un proxy donc niveau 7 pour les flux de mails c'est Nginx qui gère la partie imap pour diriger vers différents serveurs. Pas testé car pas l'usage de monter en niveau 7 pour ce type de flux.
bon courage
Le 14/10/2015 16:35, Michael JOIGNY a écrit :
Bonjour,
J'ai tenté de bindé HAproxy avec le port 587 en gardant la même configuration mais ça ne fonctionne pas.
Dans les logs : / //2015-10-14T16:21:57.759108+02:00 tst postfix/postscreen[25248]: CONNECT from [mon_ip_publique]:33585 to [Haproxy_ip_publique]:587// //2015-10-14T16:21:57.759128+02:00 tst postfix/postscreen[25248]: PASS OLD [mon_ip_publique]:33585// //2015-10-14T16:21:57.771439+02:00 tst postfix/smtpd[25249]: connect from xxxxxxx[mon_ip_publique]
/
Le 14/10/2015 16:14, Barthélémy DELUY a écrit :
Bonjour,
Vu que l'envoi est authentifié, ce n'est pas plutôt le port 587 qu'il faut utiliser, et non pas le 25 (§3.1 RFC 2476) ? Le port 25 est filtré chez quelques FAI pour limiter le spam, cela risque de poser des soucis à tes utilisateurs lorsqu'ils ne sont pas en interne.
My 2 cents.
Barth
Le 14 octobre 2015 16:00, Michael JOIGNY <mjoigny@neteven.com mailto:mjoigny@neteven.com> a écrit :
Bonjour, J'ai eu un retour sur via la mailing list de dovecot : A priori, on ne peut pas utiliser le port 465 car il n'est pas supporté via proxy protocol. /you cant use port 465, please use port 25. The SMTPS is ancient and not support via proxy protocol. Iam refering to your listen port. -- listen smtp bind mail.xx.xx:25 .. server tst tst.xxx:10465 send-proxy --/ Du coup, effectivement le smtp fonctionne avec ce changement. Pour l'imap, voici le retour : /service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 *ssl = yes* } inet_listener imap_haproxy { port = 10143 haproxy = yes } inet_listener imaps_haproxy { port = 10993 *ssl = yes* haproxy = yes } /J'ai donc rajouté le "ssl = yes" et ça fonctionne aussi. Du coup, pour Thunderbird, la conf pour IMAP ne change : * port 993 * mot de passe normal * sécurité de la connexion : SSL TLS Mais pour le SMTP, dans mon cas, ça fonctionne qu'avec : * port 25 * mot de passe chiffré * sécurité de la connexion : aucune (alors que je voudrais du SSL TLS également mais pas possible sur ce port) J'attends un retour à ce sujet, en espérant que ça puisse aider/débloquer quelqu'un dans votre configuration. Cordialement. Le 14/10/2015 09:03, Philippe Bonvin a écrit :Bonjour, J'essaie de faire exactement la même chose et ait le même problème. Je suis donc preneur d'une solution :) Merci à tous, Philippe ------------------------------------------------------------------------ *From:* FRsAG <frsag-bounces@frsag.org> on behalf of Michael JOIGNY <mjoigny@neteven.com> *Sent:* Tuesday, October 13, 2015 17:02 *To:* frsag@frsag.org <mailto:frsag@frsag.org> *Subject:* [FRsAG] Postfix - Dovecot HA avec HAproxy Bonjour à tous, Je souhaiterais mettre en place une configuration mail pour avoir *postfix-dovecot* en HA via *HAproxy* mais je n'arrive pas à faire fonctionner le tout. Je me suis basé sur les documentations suivantes et sur ce que je pouvais trouver sur la toile : * http://wiki2.dovecot.org/HAProxy (pour dovecot) * http://blog.haproxy.com/2012/06/30/efficient-smtp-relay-infrastructure-with-postfix-and-load-balancers/ (pour postfix) La version de mes packages : * /dovecot : 2:2.2.19 (>= 2.2.19 pour proxy protocol) // / * /haproxy : 1.5.14 // / * /postfix : 2.11.2-1 (>2.10 pour postscreen)/ Une partie de ma configuration : ##HAPROXY /#postfix// //listen smtp// //bind mail.xx.xx:465// //balance roundrobin// //timeout client 1m// //timeout connect 5s// //no option http-server-close// //mode tcp// //option smtpchk// //option tcplog// //server tst tst.xxx:10465 send-proxy// //server tst2 tst2.xxx:10465 send-proxy// //server tst3 tst3.xxx:10465 send-proxy/ /#dovecot// //listen imap// //bind mail.xxx.xx:993// //timeout client 1m// //no option http-server-close// //balance leastconn// //stick store-request src// //stick-table type ip size 200k expire 30m// //mode tcp// //option tcplog// //server tst tst.xxx:10993 send-proxy-v2// //server tst2tst2.xxx:10993 send-proxy-v2// //server tst3 tst3.xxx:10993 send-proxy-v2/ ##POSTFIX /postix main.cf <http://main.cf>// //#Haproxy proxy protocol// //postscreen_upstream_proxy_protocol = haproxy// // //postfix master.cf <http://master.cf>// //#haproxy// //10465 inet n – n – 1 postscreen// //smtpd pass – – n – – smtpd/ S ##DOVECOT /dovecot dovecot.conf// //#trust haproxy requests// //haproxy_trusted_networks = l'ip privée de mon HAproxy// //haproxy_timeout = 5// // //inet_listener imap_haproxy {// //port = 10993// //haproxy = yes// //}/ Avec mon client de mail : Lors d'une connexion IMAP, voici les logs, je ne comprends pas pourquoi il ne récupère pas mon login. / //dovecot: imap-login: Disconnected: Too many invalid commands (no auth attempts in 0 secs): //*user=<>*//, rip=mon_ip_publique, lip=ip_publique_haproxy, session= xxx/ Lors d'une connexion SMTP, voici les logs, ça mouline et au bout d'un moment j'ai un timeout. /postfix/postscreen[16654]: CONNECT from [my public ip]:49942 to [my haproxy public ip]:465// //postfix/postscreen[16654]: PREGREET 166 after 0 from [mon ip publique]:49942: \22\3\1\161\1\157\3\3+0E\b\213\131\177\173>\r/\213\177i\223k”FjA#\144\145\153\vP\\\155HL\190 /Si quelqu'un a une idée, je suis preneur. Cordialement. / / -- EDSI-Tech Sarl <http://www.edsi-tech.com> *Philippe Bonvin*, Directeur *EDSI-Tech Sàrl <http://www.edsi-tech.com>* EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | Téléphone: +41 (0) 21 566 14 15 <tel:%2B41%20%280%29%2021%20566%2014%2015> Savoie Technolac, 17 Avenue du Lac Léman, 73375 Le Bourget-du-Lac, France | Téléphone: +33 (0)4 86 15 44 78 <tel:%2B33%20%280%294%2086%2015%2044%2078>-- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/--
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
-
Barthélémy DELUY -
Michael JOIGNY -
Philippe Bonvin -
Wallace