
<div dir="ltr">Ok, got that!<div><br></div><div>After I remover ssl=no it seems to start working as expected. Will know that 'by design' feature for Dovecot, THANK YOU!</div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Sep 17, 2018 at 5:34 PM Aki Tuomi <<a href="mailto:aki.tuomi@dovecot.fi">aki.tuomi@dovecot.fi</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">auth process receives the protocol requested when performing authentication as variable %s (see <a href="https://wiki2.dovecot.org/Variables" rel="noreferrer" target="_blank">https://wiki2.dovecot.org/Variables</a>)<br>

<br>

You can use this to choose the value you return for port.<br>

<br>

Aki<br>

<br>

> On 17 September 2018 at 16:56 Alexander Chekalin <<a href="mailto:alexander.chekalin@gmail.com" target="_blank">alexander.chekalin@gmail.com</a>> wrote:<br>

> <br>

> <br>

> Seen that URL but port= is strange due to there is no protocol connection.<br>

> So if I set port=12345 then what proto will I see there? Misleading setting<br>

> this is why I mentioned (non-existing) per-proto port setting above.<br>

> <br>

> May I please ask for any example on how to pass port per proto? It is a bit<br>

> fuzzy for me to figure it out but I do believe you used to use it somehow.<br>

> <br>

> On Mon, Sep 17, 2018 at 4:42 PM Aki Tuomi <<a href="mailto:aki.tuomi@dovecot.fi" target="_blank">aki.tuomi@dovecot.fi</a>> wrote:<br>

> <br>

> > The port is determined with port=nnn setting. You can't return<br>

> > per-protocol port like that, you need to look at the protocol requested by<br>

> > user and return port based on that, or you can omit port to default into<br>

> > "standard port".<br>

> ><br>

> > not using ssl/starttls is default.<br>

> ><br>

> > > On 17 September 2018 at 16:35 Alexander Chekalin <<br>

> > <a href="mailto:alexander.chekalin@gmail.com" target="_blank">alexander.chekalin@gmail.com</a>> wrote:<br>

> > ><br>

> > ><br>

> > > Thank you!<br>

> > ><br>

> > > Ok, so I can omit ssl=no and startssl=no, and this results in default<br>

> > > settings for ssl which is 'off'? Or the defaults are 'on' anyway?<br>

> > ><br>

> > > Can I somehow specify ports on remote hosts that proxy will use to<br>

> > connect<br>

> > > to? Like (just image): 'proxy host_imap=<a href="http://10.1.1.1:143" rel="noreferrer" target="_blank">10.1.1.1:143</a> host_pop=<br>

> > <a href="http://10.1.1.1:110" rel="noreferrer" target="_blank">10.1.1.1:110</a>'<br>

> > > or somehow?<br>

> > ><br>

> > ><br>

> > ><br>

> > ><br>

> > > On Mon, Sep 17, 2018 at 4:33 PM Aki Tuomi <<a href="mailto:aki.tuomi@dovecot.fi" target="_blank">aki.tuomi@dovecot.fi</a>> wrote:<br>

> > ><br>

> > > > Due to certain design issues, the ssl=no is actually same as ssl=yes,<br>

> > same<br>

> > > > goes for starttls=no. So there is no support actually for "ssl=no" at<br>

> > this<br>

> > > > moment.<br>

> > > ><br>

> > > > Aki<br>

> > > ><br>

> > > > > On 17 September 2018 at 15:32 Alexander Chekalin <<br>

> > > > <a href="mailto:alexander.chekalin@gmail.com" target="_blank">alexander.chekalin@gmail.com</a>> wrote:<br>

> > > > ><br>

> > > > ><br>

> > > > > Surely.<br>

> > > > ><br>

> > > > > Here it is:<br>

> > > > ><br>

> > > > > # doveadm auth <a href="mailto:user@domain.com" target="_blank">user@domain.com</a><br>

> > > > > Password:<br>

> > > > > passdb: <a href="mailto:chekalin_krg@ascon.ru" target="_blank">chekalin_krg@ascon.ru</a> auth succeeded<br>

> > > > > extra fields:<br>

> > > > >   user=<a href="mailto:user@domain.com" target="_blank">user@domain.com</a><br>

> > > > >   proxy<br>

> > > > >   host=10.10.14.131<br>

> > > > >   ssl=no<br>

> > > > >   startssl=no<br>

> > > > >   source_ip=10.10.14.2<br>

> > > > >   proxy<br>

> > > > >   proxy<br>

> > > > >   pass=password<br>

> > > > ><br>

> > > > > Two "proxy" are from two "proxy" and "proxy=yes" settings passed from<br>

> > > > > passdb.<br>

> > > > ><br>

> > > > > On Mon, Sep 17, 2018 at 3:03 PM Aki Tuomi <<a href="mailto:aki.tuomi@dovecot.fi" target="_blank">aki.tuomi@dovecot.fi</a>><br>

> > wrote:<br>

> > > > ><br>

> > > > > > Can you provide output of<br>

> > > > > ><br>

> > > > > > doveadm auth test some-user<br>

> > > > > > Aki<br>

> > > > > ><br>

> > > > > > On 17.09.2018 14:58, Alexander Chekalin wrote:<br>

> > > > > ><br>

> > > > > > Dear Aki,<br>

> > > > > ><br>

> > > > > > we keep our users in LDAP so I when I even return 'proxy<br>

> > > > host=backend_ip<br>

> > > > > > tls=no' it won't use non-TLS connection. The same is when I remove<br>

> > > > 'tls=no'<br>

> > > > > > part. May there be any extra things I need to pass when I use LDAP?<br>

> > > > > ><br>

> > > > > > On Mon, Sep 17, 2018 at 2:07 PM Aki Tuomi <<a href="mailto:aki.tuomi@dovecot.fi" target="_blank">aki.tuomi@dovecot.fi</a>><br>

> > > > wrote:<br>

> > > > > ><br>

> > > > > >><br>

> > > > > >><br>

> > > > > >> On 17.09.2018 13:59, Alexander Chekalin wrote:<br>

> > > > > >> > Hi,<br>

> > > > > >> ><br>

> > > > > >> > I try to set up dovecot as a proxy server, to proxy requests to<br>

> > > > > >> > several dovecot-based backend servers. I wand external clients<br>

> > who<br>

> > > > > >> > connects to this proxy Dovecot to use TLS (this is easy to set<br>

> > up)<br>

> > > > > >> > while want to have unsecured (plain IMAP/POP) connections to<br>

> > > > backends.<br>

> > > > > >> ><br>

> > > > > >> > You see, links to backends are over LAN so no TLS needed, and<br>

> > these<br>

> > > > > >> > backends are poor old machines (with old Docecots like 2.0.6)<br>

> > this<br>

> > > > is<br>

> > > > > >> > why I don't want to use TLS to acces backends.<br>

> > > > > >> ><br>

> > > > > >> > But as I did the test setup I can see proxy Dovecot uses TLS to<br>

> > > > > >> > connect to backends. Is there any way I can specify this aspect<br>

> > of<br>

> > > > > >> > Dovecot proxy?<br>

> > > > > >> ><br>

> > > > > >> > Please advice!<br>

> > > > > >> ><br>

> > > > > >> > Yours,<br>

> > > > > >> >   Alexander<br>

> > > > > >><br>

> > > > > >> Dovecot does not use TLS/SSL when connecting to a backend server<br>

> > by<br>

> > > > > >> default, you are probably specifying this in your proxy config or<br>

> > > > > >> password database.<br>

> > > > > >><br>

> > > > > >> Aki<br>

> > > > > >><br>

> > > > > ><br>

> > > > > ><br>

> > > ><br>

> ><br>

</blockquote></div>