niikn: Finland VPS 78.17.4.225 лёг 2026-06-29 — весь обход (Claude/TG/WA) down, VM остановлена на Spaceweb; обновлён статус в памяти

projects/dttb/mailcow-dttb.md

@@ -119,6 +119,14 @@ tags: [dttb, mail]
 - Ручной прогон: `/root/sync-mailcow-cert.sh`.
 - Cert: ECDSA P-384, LE E-series; пару проверять по pubkey (`openssl rsa` на нём врёт — даёт пустой modulus).
 
+### Dual-cert RSA+ECDSA для старых клиентов (2026-06-28)
+Effector Saver 4.8 на MMFB (TLS 1.0 + только RSA-шифры) не мог отправить почту: mailcow на 587 отдавал только **ECDSA-серт + TLS≥1.2** → `SSL negotiation failed`. Добавлена RSA-совместимость, всё в `data/conf/postfix/extra.cf` (бэкап `.bak-rsa-*`):
+- Self-signed RSA `data/assets/ssl/rsa-cert.pem`+`rsa-key.pem` (CN=mail.dttb.ru, 10 лет) в `smtpd_tls_cert_file/key_file`; ECDSA `cert.pem/key.pem` переведён в `smtpd_tls_eccert_file/eckey_file` → postfix отдаёт оба семейства шифров.
+- `submission_smtpd_tls_mandatory_protocols = >=TLSv1` и `smtps_..._protocols = >=TLSv1` — TLS 1.0/1.1 разрешён **только** на 587/465 (порт 25 и общий — нетронуты).
+- ⚠️ Cert-sync cron (04:30) трогает только ECDSA `cert.pem` — наш RSA-серт отдельный, не конфликтует; reload postfix сохраняет extra.cf.
+- ⚠️ Компромисс безопасности: TLS 1.0 на портах отправки. Снять, когда Effector обновят. Revert: убрать строки из extra.cf + `docker compose restart postfix-mailcow`.
+- Детали инцидента: [[../../decisions/2026-06-28-mmfb-1c-cluster-ports-exposed-bruteforce]].
+
 ## ⚠️ КОРНЕВОЙ ФИКС входящего спама (2026-06-27)
 Жалоба: письма на `support@dttb.ru` (новый ящик) падают в спам, на старые ящики — нет.
 **Корень:** на домашнем OpenWrt (`10.0.0.1`) у LAN-зоны было `masq=1`. Входящее `WAN:25 → DNAT → 10.0.0.107` уходило в LAN-зону и **SNAT'илось в `10.0.0.1`** → postfix/rspamd видели source = `10.0.0.1` для **ВСЕХ** внешних писем.