Actualización del receptor de correo autohospedado tras el cambio en el certificado raíz de Let's Encrypt

david · 1 Octubre, 2021 00:10

Este anuncio solo afecta a los que se autoalojan y ejecutan Configure direct-delivery incoming email for self-hosted sites with Mail-Receiver. Los clientes de alojamiento gestionado y los que se autoalojan utilizando POP3 para el correo entrante no se ven afectados.

Como es posible que ya sepan, Let’s Encrypt recientemente cambió su certificado raíz. El antiguo certificado raíz venció hoy y ha causado varios problemas en clientes desactualizados en toda la web. Todos nuestros sistemas en CDCK están actualizados y no se vieron afectados por el vencimiento de hoy. Lamentablemente, nos olvidamos de la imagen pública del contenedor Docker para el receptor de correo, la cual no se ha actualizado desde hace unos meses.

Esto significa que las instalaciones existentes de mail-receiver autoalojadas no podrán entregar correo a sitios protegidos por Let’s Encrypt.

Acabamos de subir una versión actualizada a DockerHub, que incluye el nuevo certificado raíz. Si siguieron las instrucciones oficiales de instalación, pueden actualizar su instalación ejecutando:

docker pull discourse/mail-receiver:release
cd /var/discourse
./launcher rebuild mail-receiver

Los correos recibidos por instalaciones rotas habrán quedado temporalmente en cola en el servidor de envío. Esos servidores deberían intentar reenviar el correo periódicamente, por lo que cualquier correo perdido debería llegar poco después de actualizar la imagen.

Si aún siguen viendo problemas después de seguir estos pasos, asegúrense de que están ejecutando la versión release de mail-receiver. Pueden encontrar información al respecto en este tema.

¡Lo sentimos por las molestias ocasionadas! Muchas gracias a @wlandgraf por informar inicialmente del problema y ayudarnos a probar la solución

bartv · 1 Octubre, 2021 11:31

¡Gracias por la corrección! Mi actualización se quedó atascada con el siguiente mensaje de error. No he realizado ningún cambio en esta plantilla, así que no sé qué hacer.

root@ba /var/discourse # ./launcher rebuild mail-receiver
Asegurando que el lanzador esté actualizado
Obteniendo origin
Actualizando el lanzador...
Actualizando 46d899f..990519e
error: Tus cambios locales en los siguientes archivos serían sobrescritos por la fusión:
	templates/web.letsencrypt.ssl.template.yml
Por favor, confirma tus cambios o guárdalos temporalmente antes de fusionar.
Abortando
actualización fallida

david · 1 Octubre, 2021 11:55

¿Qué sucede si ejecutas

cd /var/discourse
git diff

¿Muestra alguna diferencia en el archivo web.letsencrypt.ssl.template.yml?

De ser así, puedes restablecerlas usando git reset --hard.

bartv · 1 Octubre, 2021 12:04

¡Ah, sí que hice un cambio ! Logré que se actualizara ahora, ¡gracias!

pfaffman · 1 Octubre, 2021 12:43

Puedes verificar si estás ejecutando la versión antigua de mail-receiver de la siguiente manera.

docker exec mail-receiver bash -c "cat /etc/issue|grep Alpine"

Si es Alpine, es la versión antigua.

docker exec mail-receiver bash -c "cat /etc/issue|grep 'Debian GNU/Linux 11'"

Si es Debian, es la versión nueva.

md-misko · 11 Octubre, 2021 13:51

@david, ¿podrías echar un vistazo a los problemas que se detallan a continuación? La última actualización del mail-receiver eliminó la posibilidad de implementar medidas adicionales contra el spam, las cuales funcionaban a la perfección en la versión anterior, y mi foro vuelve a estar bajo una presión de spam cada vez mayor debido a este último cambio.

Intenté averiguar cuál es el problema raíz, pero no tengo conocimientos suficientes de Postfix para resolverlo. Encontré informes similares (client=unknown incluso cuando existe un registro PTR en DNS) relacionados con Postfix en una cárcel chroot, por lo que esto podría tener algo que ver. Además, parece que las herramientas dnsutils faltan en la nueva imagen Debian del mail-receiver, pero instalarlas aún no soluciona el problema.

Este debería ser fácil de solucionar:

Nacho_Caballero · 30 Noviembre, 2021 07:59

@david ¡Gracias por esta corrección! Acabo de ejecutarla y veo que está funcionando.

¿Hay alguna forma de ver qué correos electrónicos no pudieron ser entregados desde el 1 de octubre?

He intentado esto, pero solo veo 5 solicitudes (la más antigua se recibió el 26 de noviembre):

/var/discourse/launcher enter mail-receiver
mailq

También intenté mirar los registros, pero solo obtuve la advertencia informada aquí:

david · 30 Noviembre, 2021 13:06

Creo que cualquier cosa que todavía no esté en la cola debería haber sido devuelta al remitente. Me temo que no estoy seguro de si el contenedor tiene algún registro que vaya más allá de lo que has encontrado.

Simon_Manning · 13 Enero, 2022 00:02

github.com/discourse/discourse_docker

launcher

7c9b93a9c


      
          run_bootstrap() {
            # Is the image available?
            # If not, pull it here so the user is aware what's happening.
            $docker_path history $image >/dev/null 2>&1 || pull_image
          
            set_template_info
          
            base_image=`cat $config_file | $docker_path run $user_args --rm -i -a stdin -a stdout $image ruby -e \
              "require 'yaml'; puts YAML.load(STDIN.readlines.join)['base_image']"`
          
            update_pups=`cat $config_file | $docker_path run $user_args --rm -i -a stdin -a stdout $image ruby -e \
              "require 'yaml'; puts YAML.load(STDIN.readlines.join)['update_pups']"`
          
            if [[ ! X"" = X"$base_image" ]]; then
              image=$base_image
            fi

¿Simplemente agregar pull_image después de la línea 657 resolvería la necesidad de extraer explícitamente la imagen antes de reconstruirla? Es decir:

  # Si la imagen que se está iniciando no es la imagen base de Discourse
  if [[ ! X"" = X"$base_image" ]]; then
    image=$base_image
    # Intenta actualizar la imagen
    pull_image
  fi

Esto provocará que siempre ocurra un docker pull $image durante el inicio/reconstrucción de un contenedor con base_image establecido en su archivo yml. No creo que eso perjudique a mail-receiver si resulta que ya está actualizado, pero no estoy seguro si hay otras situaciones en las que eso podría ser un problema.

david · 13 Enero, 2022 00:49

Sí, un pull incondicional probablemente tenga sentido aquí. Es un poco extraño que solo se aplique a nuestra imagen base principal en este momento. ¿Qué opinas @Falco?

Jonathan5 · 8 Febrero, 2022 18:33

Me interesaría escuchar una respuesta definitiva a esta pregunta

Nacho_Caballero · 8 Febrero, 2022 19:32

Creo que puedes verlo consultando la tabla incoming_emails de postgres.

Jonathan5 · 10 Febrero, 2022 15:09

Lamentablemente, eso no muestra nada en el período de tiempo relevante (octubre de 2021 a febrero de 2022).

¿Habría algún registro en el propio contenedor del receptor de correo?

Tema		Respuestas	Vistas
Let's Encrypt X3 nightmare Support	13	1519	2 Octubre 2021
Mail-receiver log errors after letsencrypt update Support	13	1513	8 Diciembre 2021
Mail-receiver loses IP to hostname resolution after recent upgrade and prevents anti-spam measures from working Support	3	954	7 Diciembre 2021
Direct-delivery email certificate error Support	7	994	10 Marzo 2022
Update mail-receiver to the release version Sysadmins how-to	8	3026	1 Enero 2020

Actualización del receptor de correo autohospedado tras el cambio en el certificado raíz de Let's Encrypt

Temas relacionados