Connecting to a SMTP server on localhost:25 without auth?

インストール
1

What are the correct settings passed to ./discourse-setup for connecting to an smtp server on localhost:25 without auth?

I’m very surprised that this isn’t supported OOTB; it’s the default config on most linux installs…

My server runs postfix locally; it is not accessible from the Internet. It works fine, for example, when running the mail command. I found a few unofficial guides on the Internet suggesting changes to /var/discourse/containers/app.yml, and I finally got it to install & start with the following settings:

  DISCOURSE_SMTP_ADDRESS: localhost
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_USER_NAME: discourse@opensouceecology.org
  DISCOURSE_SMTP_PASSWORD: "none"
  DISCOURSE_SMTP_AUTHENTICATION: none
  DISCOURSE_SMTP_OPENSSL_VERIFY_MODE: none
  DISCOURSE_SMTP_ENABLE_START_TLS: false

Note that if I omit the DISCOURSE_SMTP_USER_NAME or DISCOURSE_SMTP_PASSWORD variables, your install script yells at me stating that they’re required (bug?).

And now when I click the “Resend Activation Email” button in the Discourse wui, this entry pops-up in the log file (/var/discourse/shared/standalone/log/rails/production.log):

Started PUT "/finish-installation/resend-email" for 127.0.0.1 at 2019-11-07 13:15:31 +0000
Processing by FinishInstallationController#resend_email as HTML
  Parameters: {"authenticity_token"=>"SzQCvRWiqdXsBKzOjIB0X7KkvXro7Od6SdP8Qa8vvrskPeNYZNos5ORHJfyDUrHiKShZR/txM6NHuqHHCQCR1w=="}
  Rendering finish_installation/resend_email.html.erb within layouts/finish_installation
  Rendered finish_installation/resend_email.html.erb within layouts/finish_installation (Duration: 0.7ms | Allocations: 103)
  Rendered layouts/_head.html.erb (Duration: 0.5ms | Allocations: 103)
Completed 200 OK in 98ms (Views: 3.0ms | ActiveRecord: 0.0ms | Allocations: 4763)
  Rendering layouts/email_template.html.erb
  Rendered layouts/email_template.html.erb (Duration: 0.5ms | Allocations: 141)
Delivered mail c4ca58ca-345e-46c4-81bc-6d0eac7afa04@discourse.opensourceecology.org (11.3ms)
Job exception: wrong authentication type none

…But my authentication type is ‘none’. What should the correct setting be for no authentication?

EDIT: also, can someone link me to the doc that defines all of the possible “DISCOURSE_SMTP_*” variables and all of their valid values?

EDIT2: this is proving to be far more difficult than it should be. I think ‘localhost’ is resolving inside the docker container to the Discourse docker container itself (app) – not the docker host that is running my postfix smtp server. That’s further complicated by postfix’s mynetworks and iptables (which were configured by the discourse-setup script or its children scripts). What’s the correct config here to just have Discourse use the smtp server on which I want to run Discourse, with no smtp auth?

「いいね!」 1
2

I think that hasn’t been very true for about 20 years.

You can’t use discourse-setup for situations like yours because few people have non password protected smtp servers, even behind a firewall.

What I would do is configure smtp passwords for my mail server. There really isn’t much downside.

If you don’t want to do that I think that instead of “none” for authentication you might want “” (and similarly for the password and username).

I think so too. You might try using the container name. I think that you need to see that they are both on the same docker network.

「いいね!」 2
3

In 2019, it’s the default config for postfix on RHEL/CentOS. Postfix binds only to the loopback interface and drops all smtp requests that don’t originate from 127.0.0.0/8. No auth required. I’m not sure about debian, but I’d imagine exim has a similar default config.

A couple relevant topics on these forums from other users who hit this issue:

There doesn’t appear to be a topic for how to set this up on RHEL/Cent OS with the necessary changes to both Discourse and postfix, so I’m documenting this here.

This does not appear to be possible with the discourse-setup script, but I did get this to work.

First, I had to figure out the IP address of the docker host as the docker container sees it. Using 127.0.0.1 won’t work because the docker container will see 127.0.0.1 as itself. Rather, we need to specify the IP address or hostname of the docker host that is running the postfix SMTP server, and one that is addressible by the docker container (so not your docker host’s Internet-facing IP address if you want your SMTP server to not be Internet-accessible, for example).

I extracted the relevant IP address of the docker host (172.17.0.1) from the docker0 interface by executing this on the docker host:

[maltfield@osestaging1 ~]$ ip address show docker0
3: docker0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP 
    link/ether 02:42:80:35:65:a1 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:80ff:fe35:65a1/64 scope link 
       valid_lft forever preferred_lft forever
[maltfield@osestaging1 ~]$

Then I edited my Discourse app’s yaml file, setting the “DISCOURSE_SMTP_ADDRESS” to 172.17.0.1 from above.

[maltfield@osestaging1 ~]$ cd /var/discourse/
[maltfield@osestaging1 discourse]$ grep SMTP containers/app.yml
  DISCOURSE_SMTP_ADDRESS: 172.17.0.1
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_AUTHENTICATION: none
  DISCOURSE_SMTP_OPENSSL_VERIFY_MODE: none
  DISCOURSE_SMTP_ENABLE_START_TLS: false
[maltfield@osestaging1 discourse]$

Note that I first tried to use the internal docker hostname host.docker.internal for this, but apparently this hostname isn’t available to linux docker users

Because the default postfix configuration in RHEL/Cent OS binds only to 127.0.0.1 (which is good), you’ll need to change /etc/postfix/main.cf so it also binds to the docker0 interface and add that subnet to the mynetworks group so that SMTP traffic coming from docker containers will be accepted by postfix.

[maltfield@osestaging1 postfix]$ grep -ir '172.17' /etc/postfix/*
/etc/postfix/main.cf:inet_interfaces = 127.0.0.1, 172.17.0.1
/etc/postfix/main.cf:mynetworks = 127.0.0.0/8, 172.17.0.0/16
[maltfield@osestaging1 postfix]$

After those changes, rebuild Discourse and it should now be able to send emails out through your docker host’s postfix.

/var/discourse/launcher rebuild app

While this works, I have a few questions:

  1. Is there some other environment variable or hostname that already points to the docker host (172.17.0.1 in this case)?

I noticed that there is a DISCOURSE_HOST_IP environment variable “injected” by launcher. Is it possible to set this DISCOURSE_SMTP_ADDRESS yaml key to the same value as the other’s yaml key with something like this?

DISCOURSE_SMTP_ADDRESS: $DISCOURSE_HOST_IP
  1. In general, how durable is the 172.17.0.1 IP of the docker host? Is it always this IP on RHEL/Cent OS systems? Will it ever change on me?
「いいね!」 3
4

@maltfield Just wanted to say thank you for the instructions.

I ran into same issue on Debian… Could create a separate mail user for Discourse I suppose and have it connect and log in to site:465 but connecting to port 25 from the inside is more logical, in my opinion.

And by the way, on Debian 10 with docker.io from the repositories - docker0 is still 172.17.0.1/16.

5

Maybe you are misunderstanding what @maltfield is saying?

For as long as I can remember (which goes further back than 20 years), Linux ( / Unix / BSD / Solaris) systems have an SMTP server running which is configured by default to be happy to relay anything received from localhost without any questions. This relieves any other application running on that machine from having to worry about and configure SMTP settings themselves.

「いいね!」 2
6

Yes, most linux servers don’t require auth to send mail (either by default or after installl & configuring). Nor is it necessary if they don’t relay from anywhere but the local network. The default Discourse install scripts won’t work for most servers. It’s designed for a narrow set of docker-based cloud solutions.

You can read my full comprehensive instructions for installing Discourse on a dedicated, baremetal server running RHEL/CentOS 7 on the Open Source Ecology wiki. Note the section on SMTP here:

「いいね!」 2
7

Well, I almost always defer to you on such matters! I guess it’s been a good number of years since I’ve run an SMTP server on localhost, so it’s a good bet that I don’t know what I’m talking about.

More evidence that I’m wrong! :man_shrugging:

Nice!

But discourse-setup is only ever going to be for people who know virtually nothing about system administration. If you know how to install an SMTP server, you can edit a yml file.

「いいね!」 3
8

If the host where the container is running has a name you can get via DNS, it works just to specify that:

DISCOURSE_SMTP_ADDRESS: real.machine.example.com

Postfix will still see that the source of the mail is local and handle it that way.

「いいね!」 1
9

DISCOURSE_HOSTNAMEDISCOURSE_SMTP_ADDRESS が同じ場合、問題が発生しますか?

Docker ホストで Postfix と Dovecot をセットアップし、TLS 経由で認証済みリクエストを受け入れられるようにしました。サーバー用の有効な証明書がありますが、どのような設定を試しても、Discourse が Docker ホストで実行されている Postfix にメールを正しく送信できません。

ホスト名 (discourse.[myhost].com) を使用すると機能しません(接続すらできません)。Docker ホストの IP アドレス (172.17.0.1) を使用すると、次のエラーが発生します。

hostname "172.17.0.1" does not match the server certificate

明らかに、証明書の作成に使用された FQDN を使用する必要があります。DISCOURSE_SMTP_ENABLE_START_TLSfalse に設定しようとすると、STARTTLS コマンドを発行する必要があると言われます。TLS なしで Postfix を開きたくないので、これは実際には実行可能なオプションとは考えていません。

外部 SMTP リレーの使用も、メールが迷惑メール/ジャンク フォルダーに入らないようにするために追加料金を支払いたくないため、オプションではありません。

Docker ネットワーキングについては基本的な理解しかなく、Postfix SMTP サーバーと Dovecot を認証用にセットアップすることについてはさらに理解が浅いですが、完全な初心者ではありません。しかし、これを安全/セキュアな方法でセットアップすることは非常に困難であることが証明されています。

@maltfield Open Source Ecology に関するあなたの記事を読みましたが、ポート 25 で認証なしを使用するつもりはありません。私が働く大学は、ローカルネットワークの設定であっても、暗号化されていない認証されていない通信の使用に関して非常に厳格なプロトコルを持っています。彼らは、不満を持った学生によって悪用される可能性があることを非常に心配しています。

「いいね!」 1
10

そのため、DiscourseサーバーとSMTPサーバーの両方に同じホスト名を使用することに何かおかしいと思っていました。

さらに調査したところ、dockerコンテナがhostsファイルに次のエントリを追加することがわかりました。

172.17.0.2	discourse.[mydomain].com discourse

したがって、実行中のコンテナとdockerホストに同じホスト名を使用しようとすると、コンテナから発行されたすべてのリクエストがdockerホストではなくコンテナ自体に送信されることになります。

なんてこった!なぜDiscourseはコンテナにデフォルトのSMTPサーバーを設定しないのでしょうか!?
または、DockerなしでDiscourseを簡単に使用できるようにしてほしいです!

この問題のために2日間を無駄にしました。

11

最終的に、Dockerホストで実行されているSMTPとTLSを使用して通信できないという事実を受け入れました(別のホステスト名を使用して証明書を取得しない限り)。これを最終的に機能させるために、Postfixのmain.cfファイルのmynetworks変数に172.17.0.0/16が追加されていることを確認する必要がありました。

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 172.17.0.0/16

これにより、Postfixはこのサーバーで実行されている任意のDockerコンテナをネットワークの一部と見なすことができます。

もう1つの変更点は、PostfixをSMTPリレーとして「見知らぬ人」が使用するのを防ぐために、smtpd_sasl_security_optionsnoanonymousに設定されていることを確認することでした。noplaintextオプションがここに設定されていないことを確認してください。そうしないと、PostfixはTLSを使用した認証のみを許可します。

smtpd_sasl_security_options = noanonymous

これらの設定により、app.ymlで次の設定を指定できました。

  DISCOURSE_SMTP_ADDRESS: 172.17.0.1                            # DockerホストのIPアドレス(このコンテナ内から見た場合)
  DISCOURSE_SMTP_PORT: 25
  DISCOURSE_SMTP_USER_NAME: discourse
  DISCOURSE_SMTP_PASSWORD: pa$$word
  DISCOURSE_SMTP_ENABLE_START_TLS: false                        # (オプション、デフォルトはtrue)
  DISCOURSE_SMTP_DOMAIN: discourse.[mydomian].com                # (一部のプロバイダーで必要)
  DISCOURSE_NOTIFICATION_EMAIL: noreply@discourse.[mydomain].com # (通知を送信するアドレス)

SASL認証専用のDockerホストにローカルユーザーアカウントも作成しました。
これらの変更により、コンテナからメールを送信できるようになりましたが、これは最適ではない構成だと感じずにはいられません。理想的には、Dockerホストの目的のホステスト名を使用し、discourse.[mydomain].comへのリクエストが正しい場所にルーティングされるようにする必要があります。

これで、メールが受信トレイ(スパムフォルダではなく)に着陸するように、SPFとDKIMを設定する必要があります。この面倒なプロセスがいつか自動化されることを 本当に 願っています。たとえば、Dockerを使用せずに(cPanelなどで使用できるように)Discourseを設定する方法に関する指示を提供するか、Dockerコンテナに直接デフォルトのSMTP設定を提供するような形でメール設定をより簡単にするかもしれません!

「いいね!」 2
12

1990年代初頭に戻れば、あなたの望み通りでした。あなたが話していることはすべて機能していました。しかし、スパマーがそれをはるかに複雑にしました。プロセスはさらに困難になるだけなので、多くの複雑な問題を処理してくれるサービスを使用することが推奨されます。

「いいね!」 2
13

メールの設定が動作してよかったです!

昨日からメールのトラブルシューティングガイドにいくつか更新がありました。もしメールの設定にまだ満足していない場合は、もう一度試してみてはいかがでしょうか!

これは次のようにすることで解決できます。

…単にドメイン名をIPに解決するデフォルトのDNSです。

14

誤解しないでください。SPFとDKIMの重要性は理解しています。ただ、面倒なだけです。これらの設定がすでに構成されている現在のcPanelサーバーに、これをインストールできればと願うばかりです。

「いいね!」 1
15

これが足りなかったものです。TLSで動作するようになりました。

DKIMも動作したので、メールがスパムとして扱われなくなるはずです。

「いいね!」 2