Verbindung zu einem SMTP-Server auf localhost:25 ohne Authentifizierung?

Welche sind die korrekten Einstellungen für ./discourse-setup, um eine Verbindung zu einem SMTP-Server auf localhost:25 ohne Authentifizierung herzustellen?

Ich bin sehr überrascht, dass dies nicht standardmäßig (OOTB) unterstützt wird; es ist die Standardkonfiguration bei den meisten Linux-Installationen.

Mein Server führt lokal Postfix aus; er ist nicht aus dem Internet erreichbar. Er funktioniert beispielsweise einwandfrei, wenn ich den Befehl mail ausführe. Ich habe ein paar inoffizielle Anleitungen im Internet gefunden, die Änderungen an /var/discourse/containers/app.yml vorschlagen, und ich habe es schließlich geschafft, es mit den folgenden Einstellungen zu installieren und zu starten:

  DISCOURSE_SMTP_ADDRESS: localhost
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_USER_NAME: discourse@opensouceecology.org
  DISCOURSE_SMTP_PASSWORD: "none"
  DISCOURSE_SMTP_AUTHENTICATION: none
  DISCOURSE_SMTP_OPENSSL_VERIFY_MODE: none
  DISCOURSE_SMTP_ENABLE_START_TLS: false

Beachten Sie, dass das Installationsskript mich anschreit und sagt, dass die Variablen DISCOURSE_SMTP_USER_NAME oder DISCOURSE_SMTP_PASSWORD erforderlich sind, wenn ich sie weglasse (Bug?).

Und wenn ich jetzt auf die Schaltfläche „Aktivierungs-E-Mail erneut senden" in der Discourse-WUI klicke, erscheint dieser Eintrag in der Protokolldatei (/var/discourse/shared/standalone/log/rails/production.log):

Started PUT "/finish-installation/resend-email" for 127.0.0.1 at 2019-11-07 13:15:31 +0000
Processing by FinishInstallationController#resend_email as HTML
  Parameters: {"authenticity_token"=>"SzQCvRWiqdXsBKzOjIB0X7KkvXro7Od6SdP8Qa8vvrskPeNYZNos5ORHJfyDUrHiKShZR/txM6NHuqHHCQCR1w=="}
  Rendering finish_installation/resend_email.html.erb within layouts/finish_installation
  Rendered finish_installation/resend_email.html.erb within layouts/finish_installation (Duration: 0.7ms | Allocations: 103)
  Rendered layouts/_head.html.erb (Duration: 0.5ms | Allocations: 103)
Completed 200 OK in 98ms (Views: 3.0ms | ActiveRecord: 0.0ms | Allocations: 4763)
  Rendering layouts/email_template.html.erb
  Rendered layouts/email_template.html.erb (Duration: 0.5ms | Allocations: 141)
Delivered mail c4ca58ca-345e-46c4-81bc-6d0eac7afa04@discourse.opensourceecology.org (11.3ms)
Job exception: wrong authentication type none

…Aber mein Authentifizierungstyp ist doch ‘none’. Was ist die korrekte Einstellung für keine Authentifizierung?

EDIT: Kann mir jemand außerdem das Dokument verlinken, das alle möglichen „DISCOURSE_SMTP_*"-Variablen und alle ihre gültigen Werte definiert?

EDIT2: Dies erweist sich als weitaus schwieriger, als es sein sollte. Ich vermute, dass „localhost" innerhalb des Docker-Containers auf den Discourse-Docker-Container selbst (app) aufgelöst wird – und nicht auf den Docker-Host, auf dem mein Postfix-SMTP-Server läuft. Das wird weiter durch Postfixs mynetworks und iptables (die vom discourse-setup-Skript oder seinen Kindskripten konfiguriert wurden) kompliziert. Was ist hier die korrekte Konfiguration, damit Discourse einfach den SMTP-Server verwendet, auf dem ich Discourse ausführen möchte, ohne SMTP-Authentifizierung?

I think that hasn’t been very true for about 20 years.

You can’t use discourse-setup for situations like yours because few people have non password protected smtp servers, even behind a firewall.

What I would do is configure smtp passwords for my mail server. There really isn’t much downside.

If you don’t want to do that I think that instead of “none” for authentication you might want “” (and similarly for the password and username).

I think so too. You might try using the container name. I think that you need to see that they are both on the same docker network.

In 2019, it’s the default config for postfix on RHEL/CentOS. Postfix binds only to the loopback interface and drops all smtp requests that don’t originate from 127.0.0.0/8. No auth required. I’m not sure about debian, but I’d imagine exim has a similar default config.

A couple relevant topics on these forums from other users who hit this issue:

• How to set SMTP config to use localhost?
• https://meta.discourse.org/t/smtp-without-user-or-password/88879

There doesn’t appear to be a topic for how to set this up on RHEL/Cent OS with the necessary changes to both Discourse and postfix, so I’m documenting this here.

This does not appear to be possible with the discourse-setup script, but I did get this to work.

First, I had to figure out the IP address of the docker host as the docker container sees it. Using 127.0.0.1 won’t work because the docker container will see 127.0.0.1 as itself. Rather, we need to specify the IP address or hostname of the docker host that is running the postfix SMTP server, and one that is addressible by the docker container (so not your docker host’s Internet-facing IP address if you want your SMTP server to not be Internet-accessible, for example).

I extracted the relevant IP address of the docker host (172.17.0.1) from the docker0 interface by executing this on the docker host:

[maltfield@osestaging1 ~]$ ip address show docker0
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:80:35:65:a1 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:80ff:fe35:65a1/64 scope link 
       valid_lft forever preferred_lft forever
[maltfield@osestaging1 ~]$

Then I edited my Discourse app’s yaml file, setting the “DISCOURSE_SMTP_ADDRESS” to 172.17.0.1 from above.

[maltfield@osestaging1 ~]$ cd /var/discourse/
[maltfield@osestaging1 discourse]$ grep SMTP containers/app.yml
  DISCOURSE_SMTP_ADDRESS: 172.17.0.1
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_AUTHENTICATION: none
  DISCOURSE_SMTP_OPENSSL_VERIFY_MODE: none
  DISCOURSE_SMTP_ENABLE_START_TLS: false
[maltfield@osestaging1 discourse]$ 

Note that I first tried to use the internal docker hostname host.docker.internal for this, but apparently this hostname isn’t available to linux docker users

• https://github.com/docker/for-linux/issues/264

Because the default postfix configuration in RHEL/Cent OS binds only to 127.0.0.1 (which is good), you’ll need to change /etc/postfix/main.cf so it also binds to the docker0 interface and add that subnet to the mynetworks group so that SMTP traffic coming from docker containers will be accepted by postfix.

[maltfield@osestaging1 postfix]$ grep -ir '172.17' /etc/postfix/*
/etc/postfix/main.cf:inet_interfaces = 127.0.0.1, 172.17.0.1
/etc/postfix/main.cf:mynetworks = 127.0.0.0/8, 172.17.0.0/16
[maltfield@osestaging1 postfix]$ 

After those changes, rebuild Discourse and it should now be able to send emails out through your docker host’s postfix.

/var/discourse/launcher rebuild app

While this works, I have a few questions:

1. Is there some other environment variable or hostname that already points to the docker host (172.17.0.1 in this case)?

I noticed that there is a DISCOURSE_HOST_IP environment variable “injected” by launcher. Is it possible to set this DISCOURSE_SMTP_ADDRESS yaml key to the same value as the other’s yaml key with something like this?

DISCOURSE_SMTP_ADDRESS: $DISCOURSE_HOST_IP

2. In general, how durable is the 172.17.0.1 IP of the docker host? Is it always this IP on RHEL/Cent OS systems? Will it ever change on me?

@maltfield Just wanted to say thank you for the instructions.

I ran into same issue on Debian… Could create a separate mail user for Discourse I suppose and have it connect and log in to site:465 but connecting to port 25 from the inside is more logical, in my opinion.

And by the way, on Debian 10 with docker.io from the repositories - docker0 is still 172.17.0.1/16.

Maybe you are misunderstanding what @maltfield is saying?

For as long as I can remember (which goes further back than 20 years), Linux ( / Unix / BSD / Solaris) systems have an SMTP server running which is configured by default to be happy to relay anything received from localhost without any questions. This relieves any other application running on that machine from having to worry about and configure SMTP settings themselves.

Yes, most linux servers don’t require auth to send mail (either by default or after installl & configuring). Nor is it necessary if they don’t relay from anywhere but the local network. The default Discourse install scripts won’t work for most servers. It’s designed for a narrow set of docker-based cloud solutions.

You can read my full comprehensive instructions for installing Discourse on a dedicated, baremetal server running RHEL/CentOS 7 on the Open Source Ecology wiki. Note the section on SMTP here:

• Discourse/Install - Open Source Ecology

Well, I almost always defer to you on such matters! I guess it’s been a good number of years since I’ve run an SMTP server on localhost, so it’s a good bet that I don’t know what I’m talking about.

More evidence that I’m wrong!

Nice!

But discourse-setup is only ever going to be for people who know virtually nothing about system administration. If you know how to install an SMTP server, you can edit a yml file.

Wenn der Host, auf dem der Container läuft, einen über DNS abrufbaren Namen hat, reicht es aus, diesen anzugeben:

DISCOURSE_SMTP_ADDRESS: real.machine.example.com

Postfix wird dennoch erkennen, dass die Quelle der E-Mail lokal ist, und sie entsprechend behandeln.

Verursacht es Probleme, wenn DISCOURSE_HOSTNAME und DISCOURSE_SMTP_ADDRESS identisch sind?

Ich habe Postfix & Dovecot auf dem Docker-Host eingerichtet, um authentifizierte Anfragen über TLS zu akzeptieren. Ich habe gültige Zertifikate für meinen Server, aber egal welche Konfiguration ich versuche, ich kann Discourse nicht dazu bringen, E-Mails korrekt an Postfix zu senden, das auf dem Docker-Host läuft.

Wenn ich den Hostnamen (discourse.[myhost].com) verwende, funktioniert es nicht (es wird nicht einmal eine Verbindung hergestellt). Wenn ich die IP-Adresse des Docker-Hosts (172.17.0.1) verwende, erhalte ich

hostname "172.17.0.1" does not match the server certificate

Offensichtlich muss ich den FQDN verwenden, der zum Erstellen der Zertifikate verwendet wurde. Wenn ich versuche, DISCOURSE_SMTP_ENABLE_START_TLS auf false zu setzen, wird gesagt, dass ich einen Start-TLS-Befehl ausgeben muss. Ich möchte Postfix nicht wirklich ohne TLS öffnen, daher sehe ich dies sowieso nicht als praktikable Option an.

Die Verwendung eines externen SMTP-Relays ist ebenfalls keine Option, da ich nicht mehr bezahlen möchte, nur um sicherzustellen, dass E-Mails nicht im Spam-/Junk-Ordner landen.

Ich muss sagen, ich habe nur ein rudimentäres Verständnis von Docker-Networking und noch weniger Verständnis für die Einrichtung eines Postfix-SMTP-Servers mit Dovecot zur Authentifizierung, aber ich bin kein kompletter Anfänger. Es erweist sich als äußerst schwierig, dies auf sichere Weise einzurichten.

@maltfield Ich habe Ihren Artikel über Open Source Ecology gelesen, aber ich möchte keine unauthentifizierte Verbindung über Port 25 verwenden. Die Universität, für die ich arbeite, hat sehr strenge Protokolle bezüglich der Verwendung von unverschlüsselter, unauthentifizierter Kommunikation (selbst innerhalb eines lokalen Netzwerks wie diesem). Sie sind zu besorgt, dass dies von einem verärgerten Studenten missbraucht werden könnte.

Ich vermute also, dass es etwas faul war, denselben Hostnamen sowohl für den Discourse-Server als auch für den SMTP-Server zu verwenden.

Weitere Untersuchungen zeigen, dass der Docker-Container den folgenden Eintrag zur hosts-Datei hinzufügt:

172.17.0.2	discourse.[mydomain].com discourse

Jeder Versuch, denselben Hostnamen für den laufenden Container und den Docker-Host zu verwenden, führt dazu, dass alle vom Container ausgegebenen Anfragen an den Container selbst und nicht an den Docker-Host gehen.

Was für ein Fiasko! Warum stellt Discourse nicht einfach einen standardmäßigen konfigurierten SMTP-Server im Container bereit!?
ODER macht es einfacher, Discourse ohne Docker zu verwenden!

Zwei Tage meines Lebens habe ich wegen dieses Problems verloren.

Am Ende akzeptiere ich die Tatsache, dass ich TLS nicht zur Kommunikation mit SMTP auf dem Docker-Host verwenden kann (ohne Zertifikate mit einem anderen Hostnamen zu erhalten). Damit dies endlich funktioniert, musste ich sicherstellen, dass 172.17.0.0/16 zur Variablen mynetworks in der Postfix main.cf-Datei hinzugefügt wird:

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 172.17.0.0/16

Dies ermöglicht es Postfix, jeden Docker-Container, der auf diesem Server läuft, als Teil des Netzwerks zu betrachten.

Eine weitere Änderung, die ich vornehmen musste, war sicherzustellen, dass smtpd_sasl_security_options auf noanonymous gesetzt ist, um zu verhindern, dass „Fremde“ Postfix als SMTP-Relay verwenden. Stellen Sie sicher, dass die Option noplaintext hier nicht gesetzt ist, da Postfix sonst nur die Authentifizierung über TLS zulässt.

smtpd_sasl_security_options = noanonymous

Mit diesen Konfigurationseinstellungen konnte ich die folgenden Einstellungen in app.yml angeben:

  DISCOURSE_SMTP_ADDRESS: 172.17.0.1                            # IP-Adresse des Docker-Hosts (wie aus diesem Container heraus gesehen)
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_USER_NAME: discourse
  DISCOURSE_SMTP_PASSWORD: pa$$word
  DISCOURSE_SMTP_ENABLE_START_TLS: false                        # (optional, Standard true)
  DISCOURSE_SMTP_DOMAIN: discourse.[mydomian].com                # (von einigen Anbietern erforderlich)
  DISCOURSE_NOTIFICATION_EMAIL: noreply@discourse.[mydomain].com # (Adresse, von der Benachrichtigungen gesendet werden)

Ich habe auch ein lokales Benutzerkonto auf dem Docker-Host nur für die SASL-Authentifizierung erstellt.
Mit diesen Änderungen konnte ich endlich E-Mails vom Container aus versenden, aber ich habe das Gefühl, dass dies eine suboptimale Konfiguration ist. Idealerweise sollte es möglich sein, den gewünschten Hostnamen für den Docker-Host zu verwenden und Anfragen an discourse.[mydomain].com an die richtige Stelle zu leiten.

Jetzt muss ich SPF und DKIM einrichten, damit E-Mails in den Posteingängen der Leute landen (anstatt in ihren Spam-Ordnern). Ich hoffe wirklich, dass dieser schmerzhafte Prozess eines Tages automatisierter ist. Vielleicht Anweisungen zur Konfiguration von Discourse ohne Docker (damit es z. B. mit cPanel verwendet werden kann) oder die Mail-Einrichtung weniger schmerzhaft gestalten, indem eine Art Standard-SMTP-Konfiguration direkt im Docker-Container bereitgestellt wird!

Wenn Sie in die frühen 1990er Jahre zurückblicken, war es, wie Sie es sich wünschen. Die Dinge, über die Sie sprechen, funktionierten einfach. Aber Spammer haben es viel komplizierter gemacht. Der Prozess wird nur noch schwieriger, weshalb die Empfehlung lautet, einen Dienst zu nutzen, der sich um viele der Komplikationen für Sie kümmert.

Ich freue mich, dass Ihre E-Mail-Einrichtung funktioniert!

Seit gestern gibt es einige Updates in der Anleitung zur Fehlerbehebung bei E-Mails. Wenn Sie mit Ihrer E-Mail-Einrichtung immer noch nicht zufrieden sind, versuchen Sie es vielleicht noch einmal!

Kann gelöst werden durch die Verwendung von:

… nur die Standard-DNS-Auflösung des Domainnamens zur IP.

Missverstehen Sie mich nicht. Ich verstehe die Bedeutung von SPF und DKIM. Es ist einfach ärgerlich. Ich wünschte nur, dies könnte auf unseren aktuellen cPanel-Servern installiert werden, wo diese Dinge bereits konfiguriert sind.

Das hat mir gefehlt. Es funktioniert jetzt mit TLS.

Ich habe auch DKIM zum Laufen gebracht, sodass E-Mails nicht mehr gespammt werden sollten.