Re: [Exim-users] System filter: failed to read pipe
21.02.2017 9:16, Mikhail Golub пишет: 20.02.2017 21:59, Igor Grabin пишет: On Mon, Feb 20, 2017 at 08:55:57PM +0200, Mikhail Golub wrote: Google первую же ссылку выдает на https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html Тема "Fix transport-results pipe for multiple recipients combined with certs". Как раз похоже на существующую проблему - доставка на несколько получателей в сочетании с сертификатами. Видел, что код deliver.c меняли. Может с чем-то перестарались? ну кааак. код по ссылке больше напоминает затычку, чем фикс. судя по наличию данного треда - дырка поменяла конфигурацию й чопык выпав. вы не одиноки с данной проблемой. кто-то в буржуйской рассылке уже поднимал шум? Специально подписался, написал. Потом читаю свое сообщение и вижу, что мало информации для анализа. Больше не добавлял, так как никто ответить не пытался :( Пока пофиксил проблему с такими параметрами (добавлением двух последних опций). Не помогло :( "Message frozen" снова пошли. Одно сообщение размером 95K от <> на 38 получателей. Второе от реального отправителя размером 1.9M на 22 получателя. И как-то странно. Этого глюка небыло, пока Exim не начал использоваться для пересылки почты между on premises exchange и office365. Были через него рассылки на сотни адресов получателей и с использованием шифрованных соединений. -- Mikhail Golub ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
21.02.2017 2:26, Victor Ustugov пишет: Mikhail Golub wrote: упростить до предела - отломать tls Для начала tls_require_ciphers Убрал вообще (и клиент и сервер). Теперь класс упал с "А" на "В-" на https://www.htbridge.com/ssl/ а у кого-то получилось для exim получить на этом https://www.htbridge.com/ssl/ оценку A+? "А" достаточно ... https://community.centminmod.com/threads/getting-a-on-ssllabs-and-htbridge-ssl-test.8805/ https://community.letsencrypt.org/t/challenge-for-the-a-100-junkies/8648/18 "diff between A and A+ on ssllabs is enabling HSTS in centmin mod lemp stack's nginx HTTP/2 setup configs #HSTS long duration add_header Strict-Transport-Security "max-age=31536000; preload;";" -- Mikhail Golub ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
20.02.2017 21:59, Igor Grabin пишет: On Mon, Feb 20, 2017 at 08:55:57PM +0200, Mikhail Golub wrote: Google первую же ссылку выдает на https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html Тема "Fix transport-results pipe for multiple recipients combined with certs". Как раз похоже на существующую проблему - доставка на несколько получателей в сочетании с сертификатами. Видел, что код deliver.c меняли. Может с чем-то перестарались? ну кааак. код по ссылке больше напоминает затычку, чем фикс. судя по наличию данного треда - дырка поменяла конфигурацию й чопык выпав. вы не одиноки с данной проблемой. кто-то в буржуйской рассылке уже поднимал шум? Специально подписался, написал. Потом читаю свое сообщение и вижу, что мало информации для анализа. Больше не добавлял, так как никто ответить не пытался :( Пока пофиксил проблему с такими параметрами (добавлением двух последних опций). Секция main: tls_certificate = host.cer tls_privatekey = host.key tls_advertise_hosts = * tls_dhparam = /usr/local/etc/exim/cert/eximdh.key tls_require_ciphers = TLS_CIPHERS openssl_options = +dont_insert_empty_fragments +no_sslv2 +no_sslv3 tls_verify_hosts = : tls_try_verify_hosts = : И в smtp-транспортах. tls_try_verify_hosts = : tls_certificate = host.cer tls_privatekey = host.key tls_require_ciphers = TLS_CIPHERS tls_verify_hosts = : Согласно документации tls_certificate и tls_privatekey надо указывать как в main (exim как сервер) так и в транспорте (exim как клиент). Но опытным путем проверил, что если НЕ указывать эти опции в транспорте, то используются опции из main и письмо уходит используя esmtps (судя по логу на получателе). -- Mikhail Golub ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
On Mon, Feb 20, 2017 at 08:55:57PM +0200, Mikhail Golub wrote: > Google первую же ссылку выдает на > https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html > Тема "Fix transport-results pipe for multiple recipients combined > with certs". > Как раз похоже на существующую проблему - доставка на несколько > получателей в сочетании с сертификатами. > Видел, что код deliver.c меняли. Может с чем-то перестарались? ну кааак. код по ссылке больше напоминает затычку, чем фикс. судя по наличию данного треда - дырка поменяла конфигурацию й чопык выпав. вы не одиноки с данной проблемой. кто-то в буржуйской рассылке уже поднимал шум? mbr, -- Igor "CacoDem0n" Grabin ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
20.02.2017 20:37, l...@lena.kiev.ua пишет: Вот здесь не понятно, почему он вернулся к обработке сообщения? ... куча ругани типа: DSN read: addr->dsn_aware = 1 DSN - отдельное новое письмо-уведомление, что письмо отправлено? Типа уведомления о доставке? Google первую же ссылку выдает на https://lists.exim.org/lurker/message/20140928.141710.fc9eacc5.el.html Тема "Fix transport-results pipe for multiple recipients combined with certs". Как раз похоже на существующую проблему - доставка на несколько получателей в сочетании с сертификатами. Видел, что код deliver.c меняли. Может с чем-то перестарались? P.S. Отключил поддержку DSN в Exim, хотя и не использовал ее. И всеравно ошибка :( mail_exim_SET_FORCE=DAEMON EMBEDDED_PERL CONTENT_SCAN LSEARCH SUID SPF SRS MYSQL OPENLDAP TLS mail_exim_UNSET_FORCE=IPV6 MAILDIR MAILSTORE NIS PAM SASLAUTHD AUTH_SASL AUTH_CRAM_MD5 AUTH_RADIUS AUTH_PLAINTEXT INTERNATIONAL DSN -- Mikhail Golub ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
> Вот здесь не понятно, почему он вернулся к обработке сообщения? > ... куча ругани типа: > DSN read: addr->dsn_aware = 1 DSN - отдельное новое письмо-уведомление, что письмо отправлено? ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
20.02.2017 18:12, l...@lena.kiev.ua пишет: упростить до предела - отломать tls Для начала tls_require_ciphers Убрал вообще (и клиент и сервер). Теперь класс упал с "А" на "В-" на https://www.htbridge.com/ssl/ Но если сбоить перестанет, то затем можно поднастроить этот параметр. отломать tls - даже не рассматривается ... :) На одном из сообщений, что было заморожено, запустил доставку с дебагом (exim -d -M msg_id). К SSL у Exim вопросов нет: ... SMTP>> STARTTLS cmd buf flush 10 bytes read response data: size=29 SMTP<< 220 2.0.0 SMTP server ready openssl option, adding from 110: 800 (dont_insert_empty_fragments +no_sslv2 +no_sslv3) openssl option, adding from 1100800: 100 (no_sslv2 +no_sslv3) openssl option, adding from 1100800: 200 (no_sslv3) setting SSL CTX options: 0x3100800 Diffie-Hellman initialized from default with 2048-bit prime tls_certificate file /usr/local/etc/exim/cert/host.cer tls_privatekey file /usr/local/etc/exim/cert/host.key Initialized TLS required ciphers: ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS 10.0.1.1 in tls_verify_hosts? no (option unset) 10.0.1.1 in tls_try_verify_hosts? no (end of list) Calling SSL_connect SSL info: before/connect initialization SSL info: before/connect initialization SSL info: SSLv2/v3 write client hello A SSL info: SSLv3 read server hello A SSL info: SSLv3 read server certificate A SSL info: SSLv3 read server key exchange A SSL info: SSLv3 read server certificate request A SSL info: SSLv3 read server done A SSL info: SSLv3 write client certificate A SSL info: SSLv3 write client key exchange A SSL info: SSLv3 write certificate verify A SSL info: SSLv3 write change cipher spec A SSL info: SSLv3 write finished A SSL info: SSLv3 flush data SSL info: SSLv3 read finished A SSL info: SSL negotiation finished successfully SSL info: SSL negotiation finished successfully SSL_connect succeeded Cipher: TLSv1.2:ECDHE-RSA-AES256-SHA384:256 ... Дальше приветствие, mail from, rcpt to, data ... - все ок. ... SMTP>> QUIT cmd buf flush 6 bytes tls_do_write(0x7fffa270, 6) SSL_write(SSL, 0x7fffa270, 6) outbytes=6 error=0 tls_close(): shutting down SSL SSL info: SSL negotiation finished successfully SMTP(close)>> ... Вот здесь не понятно, почему он вернулся к обработке сообщения? ... Leaving exchange_transport transport set_process_info: 15161 delivering 1cfpCE-0003uE-Qp (just run exchange_transport for user@domain, ... in subprocess) search_tidyup called header write id:S,subid:0,size:4,final:S04 header write id:X,subid:1,size:105,final:X100105 reading pipe for subprocess 15161 (not ended) ... куча ругани типа: DSN read: addr->dsn_aware = 1 header read id:A,subid:0,size:00214,required:221,remaining:4881,unfinished:0 header read id:X,subid:1,size:00105,required:112,remaining:4660,unfinished:0 header read id:X,subid:2,size:04389,required:4396,remaining:4548,unfinished:0 header read id:X,subid:3,size:02067,required:2074,remaining:152,unfinished:0 remote delivery process 15161 ended set_process_info: 15154 delivering 1cfpCE-0003uE-Qp post-process user@domain (1) LOG: MAIN == user@domainR=exchange_router_user T=exchange_transport defer (0) H=10.0.1.1 [10.0.1.1]: failed to read pipe from transport process 15161 for transport smtp: required size=2074 > remaining size=152 and unfinished=false ... Вижу, что никто с таким не сталкивался. Но если найдется решение - может потом будет полезно кому-то. -- Mikhail Golub ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
> упростить до предела - отломать tls Для начала tls_require_ciphers ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
Здравствуйте, Mikhail. Вы писали 20 февраля 2017 г., 22:32:40: > Что еще не так в транспортах smtp? :( > exchange_transport: >driver = smtp >hosts = такой-то >port = такой-то >hosts_try_chunking = >tls_try_verify_hosts = : >tls_certificate = /usr/local/etc/exim/cert/host.cer >tls_privatekey = /usr/local/etc/exim/cert/host.key >tls_require_ciphers = > ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS упростить до предела - отломать tls -- С уважением, Alexander mailto:t...@irk.ru ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users
Re: [Exim-users] System filter: failed to read pipe
17.02.2017 14:42, Mikhail Golub пишет: 16.02.2017 14:04, Mikhail Golub пишет: 16.02.2017 13:56, l...@lena.kiev.ua пишет: Мне кажется, что этот лог имеет смысл отправить в англоязычную exim-users https://lists.exim.org/mailman/listinfo/exim-users Пока перешел к третьему варианту - "Скомпилировать 4.89_RC*" Не помогло :( Пол дня тишина - думал что решено. Нет ... :( Исходящее письмо. 40 получателей на один домен в облаке Office 365 (*onmicrosoft-com.mail.protection.outlook.com). 30 сообщений "T=remote_smtp defer (0)" и остальные - "T=remote_smtp defer (-1)". "failed to read pipe from transport process 95416 for transport smtp: required size=2816 > remaining size=2786 and unfinished=false" Значит 4.89 не спасает. Вернулся на 4.88 #2 Ошибки даже при доставке на локальный Exchange. smtp transport process returned non-zero status 0x0100: exit code 1 failed to read pipe from transport process 9515 for transport smtp: required size=2074 > remaining size=80 and unfinished=false Системный фильтр отключал - не помогло. Не в нем дело. Что еще не так в транспортах smtp? :( exchange_transport: driver = smtp hosts = такой-то port = такой-то hosts_try_chunking = tls_try_verify_hosts = : tls_certificate = /usr/local/etc/exim/cert/host.cer tls_privatekey = /usr/local/etc/exim/cert/host.key tls_require_ciphers = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS Сообщение замораживается. Если "пнуть" (Exim -M id) - письмо размораживается и доставляется (иногда снова замораживается, но с n-ой попытки все же доставляется). TLS отключать не хочется. P.S. Что изменилось? - в день, когда начались проблемы, обновлялся exim до "4.88 #2" и начался довольно интенсивный почтовый обмен через Exim между локальным и облачным Exchange. -- Mikhail Golub ___ Exim-users mailing list Exim-users@mailground.net http://mailground.net/mailman/listinfo/exim-users