nginx як проксі для серверів pop3, imap. Додаткова авторизація через ssl client, та блокування у fail2ban.

Задача

Є задача підключити nginx як ssl proxy для служб електронної пошти, з перевіркою авторизації у nginx. Використання nginx дозволить використати сучасні ssl сертифікати, у випадку коли поштові сервіси не можуть це зробити за певних умов. Наприклад коли необхідна додаткова перевірка авторизації через сертифікати ssl клієнта. 

Додаткова авторизація через SSL client certificate.

Для підтримки авторизації через SSL client certificate сторона сервера посилає додатковий запит клієнту на те що очікує від нього особистого сертифікату. Запит описує чи має бути відновіть від клієнта з особистим сертифікатом клієнту обов'язковим чи за бажанням. Надалі клієнт надсилає, а сервер перевіряє отриманий особистий сертифікат клієнту чи був він виданий певним центром сертифікації (CA) та чи він не був відкликаний, або не слив термін придатності. На цьому перевірка закінчена, будь який дійсний сертифікат виданий центром сертифікації (CA) буде прийнятним для сервера.

Mozilla Thunderbird з версії 78 : Як дозволити застарілий та не рекомендований до використання протокол TLS 1.0 та 1.1

З нової 78 версії поштової програми "Mozilla Thunderbird" введено обмеження на використання застарілих і небезпечних протоколів безпеки.
Якщо у Вас застарілий поштовий сервер то головна проблема використання є те що програма про це ніяк не повідомляє - просто пошта не приходить, але з'єднання є.
За логами поштового сервера можна з'ясувати це:

Nov  8 22:01:00 dovecot: imap-login: Disconnected (no auth attempts): rip=XX.XX.XX.XX, lip=YY.YY.YY.YY, TLS handshaking: SSL_accept() failed: error:1409442E:SSL routines:SSL3_READ_BYTES:tlsv1 alert protocol version 

Щоб ТИМЧАСОВО дозволити роботу поштового клієнта є рішення як дозволити підключення з TLS 1.0.

Thunderbird addressbook LDIF export (Python)

http://code.activestate.com/recipes/476224-fixing-thunderbird-addressbook-ldif-export/

The CVS repository of FreeBSD contains the package py-ldap2.

mail server Cyrus - imap index

Для прискорення пошуку у IMAP теці, треба зробити індексацію поштової скриньки користувача

/usr/local/cyrus/bin/squatter -v -s -r user

Amavis переклад повідомлень системи що повертаються адресату

У випадку коли система "amavis-new" блокує повідомлення, вона може відсилати причину блокування адресату. По замовчуванню, текст шаблонів англійською мовою. Їх можна налаштовувати, описано це тут, але більш детально з особливостями і принципами відправлення DSN, можете знайомитися тут.
Тому для уникнення постійних роз'яснень що це за зміст, я зробив перескладений шаблон українською зі збереженням англійської. Приклади файлів англійською.

amavisd.conf:

Amavis та SpamAssassin і помилки при використанні

http://skeletor.org.ua/?p=288

Ось деякі ціні рішення з описаних проблем автором skeletor.

Рішення:
#perl -MCPAN -e shell
>install Bundle::CPAN
>reload cpan
>exit

Рішення:
#sa-compile
#sa-update -D

Рішення:
Добавити користувача vscan до групи clamav та користувача clamav до групи vscan


Рішення:
Запускати spamassasin від користувача spamd:spamd та встановити права рекурсивно на теку /var/spool/mqueue/.spamassassin/ spamd:spamd, 0770