Connessione a un server SMTP su localhost:25 senza autenticazione?

Quali sono le impostazioni corrette da passare a ./discourse-setup per connettersi a un server SMTP su localhost:25 senza autenticazione?

Sono molto sorpreso che questo non sia supportato OOTB; è la configurazione predefinita sulla maggior parte delle installazioni Linux.

Il mio server esegue localmente Postfix; non è accessibile da Internet. Funziona perfettamente, ad esempio, quando si esegue il comando mail. Ho trovato alcune guide non ufficiali su Internet che suggerivano modifiche a /var/discourse/containers/app.yml, e alla fine sono riuscito a installarlo e avviarlo con le seguenti impostazioni:

  DISCOURSE_SMTP_ADDRESS: localhost
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_USER_NAME: discourse@opensouceecology.org
  DISCOURSE_SMTP_PASSWORD: "none"
  DISCOURSE_SMTP_AUTHENTICATION: none
  DISCOURSE_SMTP_OPENSSL_VERIFY_MODE: none
  DISCOURSE_SMTP_ENABLE_START_TLS: false

Nota che se ometto le variabili DISCOURSE_SMTP_USER_NAME o DISCOURSE_SMTP_PASSWORD, lo script di installazione mi fa una scenata dicendo che sono richieste (bug?).

Ora, quando clicco sul pulsante “Invia di nuovo l’email di attivazione” nell’interfaccia web di Discourse, questa voce appare nel file di log (/var/discourse/shared/standalone/log/rails/production.log):

Started PUT "/finish-installation/resend-email" for 127.0.0.1 at 2019-11-07 13:15:31 +0000
Processing by FinishInstallationController#resend_email as HTML
  Parameters: {"authenticity_token"=>"SzQCvRWiqdXsBKzOjIB0X7KkvXro7Od6SdP8Qa8vvrskPeNYZNos5ORHJfyDUrHiKShZR/txM6NHuqHHCQCR1w=="}
  Rendering finish_installation/resend_email.html.erb within layouts/finish_installation
  Rendered finish_installation/resend_email.html.erb within layouts/finish_installation (Duration: 0.7ms | Allocations: 103)
  Rendered layouts/_head.html.erb (Duration: 0.5ms | Allocations: 103)
Completed 200 OK in 98ms (Views: 3.0ms | ActiveRecord: 0.0ms | Allocations: 4763)
  Rendering layouts/email_template.html.erb
  Rendered layouts/email_template.html.erb (Duration: 0.5ms | Allocations: 141)
Delivered mail c4ca58ca-345e-46c4-81bc-6d0eac7afa04@discourse.opensourceecology.org (11.3ms)
Job exception: wrong authentication type none

…Ma il mio tipo di autenticazione è ‘none’. Qual è l’impostazione corretta per nessuna autenticazione?

EDIT: inoltre, qualcuno può linkarmi la documentazione che definisce tutte le possibili variabili “DISCOURSE_SMTP_*” e tutti i loro valori validi?

EDIT2: questo si sta rivelando molto più difficile di quanto dovrebbe essere. Penso che ‘localhost’ si risolva all’interno del container Docker di Discourse nel container Docker di Discourse stesso (app) – non nell’host Docker che esegue il mio server SMTP Postfix. Ciò è ulteriormente complicato da mynetworks di Postfix e da iptables (configurati dallo script discourse-setup o dai suoi script figli). Qual è la configurazione corretta per far sì che Discourse utilizzi semplicemente il server SMTP su cui voglio eseguire Discourse, senza autenticazione SMTP?

I think that hasn’t been very true for about 20 years.

You can’t use discourse-setup for situations like yours because few people have non password protected smtp servers, even behind a firewall.

What I would do is configure smtp passwords for my mail server. There really isn’t much downside.

If you don’t want to do that I think that instead of “none” for authentication you might want “” (and similarly for the password and username).

I think so too. You might try using the container name. I think that you need to see that they are both on the same docker network.

In 2019, it’s the default config for postfix on RHEL/CentOS. Postfix binds only to the loopback interface and drops all smtp requests that don’t originate from 127.0.0.0/8. No auth required. I’m not sure about debian, but I’d imagine exim has a similar default config.

A couple relevant topics on these forums from other users who hit this issue:

• How to set SMTP config to use localhost?
• https://meta.discourse.org/t/smtp-without-user-or-password/88879

There doesn’t appear to be a topic for how to set this up on RHEL/Cent OS with the necessary changes to both Discourse and postfix, so I’m documenting this here.

This does not appear to be possible with the discourse-setup script, but I did get this to work.

First, I had to figure out the IP address of the docker host as the docker container sees it. Using 127.0.0.1 won’t work because the docker container will see 127.0.0.1 as itself. Rather, we need to specify the IP address or hostname of the docker host that is running the postfix SMTP server, and one that is addressible by the docker container (so not your docker host’s Internet-facing IP address if you want your SMTP server to not be Internet-accessible, for example).

I extracted the relevant IP address of the docker host (172.17.0.1) from the docker0 interface by executing this on the docker host:

[maltfield@osestaging1 ~]$ ip address show docker0
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:80:35:65:a1 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:80ff:fe35:65a1/64 scope link 
       valid_lft forever preferred_lft forever
[maltfield@osestaging1 ~]$

Then I edited my Discourse app’s yaml file, setting the “DISCOURSE_SMTP_ADDRESS” to 172.17.0.1 from above.

[maltfield@osestaging1 ~]$ cd /var/discourse/
[maltfield@osestaging1 discourse]$ grep SMTP containers/app.yml
  DISCOURSE_SMTP_ADDRESS: 172.17.0.1
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_AUTHENTICATION: none
  DISCOURSE_SMTP_OPENSSL_VERIFY_MODE: none
  DISCOURSE_SMTP_ENABLE_START_TLS: false
[maltfield@osestaging1 discourse]$ 

Note that I first tried to use the internal docker hostname host.docker.internal for this, but apparently this hostname isn’t available to linux docker users

• https://github.com/docker/for-linux/issues/264

Because the default postfix configuration in RHEL/Cent OS binds only to 127.0.0.1 (which is good), you’ll need to change /etc/postfix/main.cf so it also binds to the docker0 interface and add that subnet to the mynetworks group so that SMTP traffic coming from docker containers will be accepted by postfix.

[maltfield@osestaging1 postfix]$ grep -ir '172.17' /etc/postfix/*
/etc/postfix/main.cf:inet_interfaces = 127.0.0.1, 172.17.0.1
/etc/postfix/main.cf:mynetworks = 127.0.0.0/8, 172.17.0.0/16
[maltfield@osestaging1 postfix]$ 

After those changes, rebuild Discourse and it should now be able to send emails out through your docker host’s postfix.

/var/discourse/launcher rebuild app

While this works, I have a few questions:

1. Is there some other environment variable or hostname that already points to the docker host (172.17.0.1 in this case)?

I noticed that there is a DISCOURSE_HOST_IP environment variable “injected” by launcher. Is it possible to set this DISCOURSE_SMTP_ADDRESS yaml key to the same value as the other’s yaml key with something like this?

DISCOURSE_SMTP_ADDRESS: $DISCOURSE_HOST_IP

2. In general, how durable is the 172.17.0.1 IP of the docker host? Is it always this IP on RHEL/Cent OS systems? Will it ever change on me?

@maltfield Just wanted to say thank you for the instructions.

I ran into same issue on Debian… Could create a separate mail user for Discourse I suppose and have it connect and log in to site:465 but connecting to port 25 from the inside is more logical, in my opinion.

And by the way, on Debian 10 with docker.io from the repositories - docker0 is still 172.17.0.1/16.

Maybe you are misunderstanding what @maltfield is saying?

For as long as I can remember (which goes further back than 20 years), Linux ( / Unix / BSD / Solaris) systems have an SMTP server running which is configured by default to be happy to relay anything received from localhost without any questions. This relieves any other application running on that machine from having to worry about and configure SMTP settings themselves.

Yes, most linux servers don’t require auth to send mail (either by default or after installl & configuring). Nor is it necessary if they don’t relay from anywhere but the local network. The default Discourse install scripts won’t work for most servers. It’s designed for a narrow set of docker-based cloud solutions.

You can read my full comprehensive instructions for installing Discourse on a dedicated, baremetal server running RHEL/CentOS 7 on the Open Source Ecology wiki. Note the section on SMTP here:

• Discourse/Install - Open Source Ecology

Well, I almost always defer to you on such matters! I guess it’s been a good number of years since I’ve run an SMTP server on localhost, so it’s a good bet that I don’t know what I’m talking about.

More evidence that I’m wrong!

Nice!

But discourse-setup is only ever going to be for people who know virtually nothing about system administration. If you know how to install an SMTP server, you can edit a yml file.

Se l’host su cui è in esecuzione il contenitore ha un nome ottenibile tramite DNS, è sufficiente specificarlo:

DISCOURSE_SMTP_ADDRESS: real.machine.example.com

Postfix rileverà comunque che l’origine della posta è locale e la gestirà di conseguenza.

Se DISCOURSE_HOSTNAME e DISCOURSE_SMTP_ADDRESS sono uguali, causerà problemi?

Ho configurato Postfix e Dovecot sull’host Docker per accettare richieste autenticate tramite TLS. Ho certificati validi per il mio server, ma qualunque configurazione io provi, non riesco a far inviare correttamente le email da Discourse a Postfix in esecuzione sull’host Docker.

Se uso l’hostname (discourse.[myhost].com) non funziona (non si connette nemmeno). Se uso l’indirizzo IP dell’host Docker (172.17.0.1), ottengo

hostname "172.17.0.1" does not match the server certificate

Chiaramente, devo usare il FQDN utilizzato per creare i certificati. Se provo a impostare DISCOURSE_SMTP_ENABLE_START_TLS su false, dice che devo emettere un comando start TLS. Non voglio davvero aprire Postfix senza TLS, quindi non la vedo come un’opzione praticabile.

Utilizzare un relay SMTP esterno non è nemmeno un’opzione perché non voglio pagare di più solo per assicurarmi che le email non finiscano nelle cartelle spam/posta indesiderata delle persone.

Devo dire che ho solo una comprensione rudimentale del networking Docker, una comprensione ancora minore dell’impostazione di un server SMTP Postfix con Dovecot per l’autenticazione, ma non sono un principiante assoluto, ma rendere questa configurazione sicura/protetta si sta rivelando estremamente difficile.

@maltfield Ho letto il tuo articolo su Open Source Ecology ma non voglio usare comunicazioni non autenticate sulla porta 25. L’università per cui lavoro ha protocolli molto rigidi sull’uso di comunicazioni non crittografate e non autenticate (anche all’interno di una configurazione di rete locale come questa). Sono troppo preoccupati che possa essere abusata da uno studente scontento.

Quindi, ho capito che c’era qualcosa di strano nell’usare lo stesso hostname sia per il server Discourse che per il server SMTP.

Ulteriori indagini rivelano che il container Docker aggiunge la seguente voce al file hosts:

172.17.0.2	discourse.[mydomain].com discourse

Quindi qualsiasi tentativo di utilizzare lo stesso hostname per il container in esecuzione e l’host Docker causerà l’invio di tutte le richieste emesse dal container al container stesso e non all’host Docker.

Che fiasco! Perché Discourse non fornisce semplicemente un server SMTP di configurazione predefinito nel container!?
OPPURE rende più facile utilizzare Discourse senza Docker!

Due giorni della mia vita persi a causa di questo problema.

Alla fine, accetto il fatto che non posso usare TLS per comunicare con SMTP in esecuzione sull’host Docker (senza ottenere certificati utilizzando un nome host diverso). Per far funzionare finalmente questo, ho dovuto assicurarmi che 172.17.0.0/16 fosse aggiunto alla variabile mynetworks nel file main.cf di Postfix:

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 172.17.0.0/16

Questo permette a Postfix di considerare qualsiasi container Docker in esecuzione su questo server come parte della rete.

Un’altra modifica che ho dovuto apportare è stata quella di assicurarmi che smtpd_sasl_security_options fosse impostato su noanonymous per impedire agli “estranei” di utilizzare Postfix come relay SMTP. Assicurati che l’opzione noplaintext non sia impostata qui, altrimenti Postfix consentirà l’autenticazione solo tramite TLS.

smtpd_sasl_security_options = noanonymous

Con queste impostazioni di configurazione, ho potuto specificare le seguenti impostazioni in app.yml:

  DISCOURSE_SMTP_ADDRESS: 172.17.0.1                            # IP address of the Docker host (as seen from within this container)
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_USER_NAME: discourse
  DISCOURSE_SMTP_PASSWORD: pa$$word
  DISCOURSE_SMTP_ENABLE_START_TLS: false                        # (optional, default true)
  DISCOURSE_SMTP_DOMAIN: discourse.[mydomian].com                # (required by some providers)
  DISCOURSE_NOTIFICATION_EMAIL: noreply@discourse.[mydomain].com # (address to send notifications from)

Ho anche creato un account utente locale sull’host Docker solo per lo scopo dell’autenticazione SASL.
Con queste modifiche, sono finalmente riuscito a inviare e-mail dal container, ma non posso fare a meno di pensare che questa sia una configurazione subottimale. Idealmente, dovrebbe essere possibile utilizzare il nome host desiderato per l’host Docker e far sì che le richieste a discourse.[mydomain].com vadano nel posto giusto.

Ora devo configurare SPF e DKIM per far sì che le e-mail finiscano nelle caselle di posta delle persone (invece che nelle cartelle spam). Spero davvero che un giorno questo doloroso processo sia più automatizzato. Forse fornire alcune istruzioni su come configurare Discourse senza utilizzare Docker (in modo che possa essere utilizzato con cPanel, ad esempio…) o rendere la configurazione della posta elettronica meno dolorosa fornendo una sorta di configurazione SMTP predefinita direttamente nel container Docker!

Se torni all’inizio degli anni '90, era come desideri. Le cose di cui parli funzionavano e basta. Ma gli spammer hanno reso tutto molto più complicato. Il processo diventerà solo più difficile, motivo per cui la raccomandazione è di utilizzare un servizio che si occupi di molte delle complicazioni per te.

Sono contento che tu abbia configurato la tua posta elettronica!

Ci sono alcuni aggiornamenti sulla guida alla risoluzione dei problemi di posta elettronica rispetto a ieri. Se non sei ancora soddisfatto della tua configurazione di posta elettronica, prova a riprovare!

Può essere risolto utilizzando:

… solo la risoluzione DNS predefinita del nome di dominio in IP.

Non fraintendermi. Capisco l’importanza di SPF e DKIM. È solo fastidioso. Vorrei solo che questo potesse essere installato sui nostri attuali server cPanel dove queste cose sono già configurate.

Mi mancava questo. Ora funziona con TLS.

Ho anche configurato DKIM, quindi le email non dovrebbero più finire nello spam.