Ich migriere unsere Server von Debian 8 auf Debian 10. Im Moment versuche ich, unseren Mailserver (Postfix-Dovecot-MySQL) einzurichten. Während ich MySQL (MariaDB 10.3) als solches und Dovecot ohne nennenswerte Probleme einrichten konnte, stoße ich bei Postfix (3.4.14) immer wieder auf dasselbe Problem:
Alle E-Mails, die von externen Mailservern über SMTP eingehen, werden abgelehnt:554 Relay-Zugriff verweigert
master.cf (für SMTP-Dienst):
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (no) (never) (100)
# ==========================================================================
smtp inet n - y - - smtpd -v
-o smtpd_sasl_auth_enable=no
Meine Zulassungs-/Ablehnungsregeln in main.cf lauten:
#1 client
smtpd_client_restrictions = permit_mynetworks
permit_sasl_authenticated
reject_unknown_client_hostname
#2 helo
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
#3 sender
smtpd_sender_restrictions = permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_sender
reject_sender_login_mismatch
#4 relay
smtpd_relay_restrictions = reject_non_fqdn_recipient
permit_mynetworks
permit_sasl_authenticated
permit_auth_destination
reject_unauth_destination
#5 recipient
smtpd_recipient_restrictions = check_recipient_access proxy:mysql:/etc/postfix/mysql/recipient_access.cf
#6 data
smtpd_data_restrictions = reject_unauth_pipelining
Außerdem setze ichmein Reisezielzum Entleeren, um einen virtuellen Transport zu gewährleisten
mydestination =
Ich habe bestätigt, dass diereject_unauth_destinationlöst die Ablehnung durch das Setzen unterschiedlicher Statuscodes aus:
relay_domains_reject_code = 564
access_map_reject_code = 574
maps_rbl_reject_code = 584
Der Statuscode lautet nun immer564und laut Postfix-Handbuch dieRelay_Domains_Ablehnungscodewird ausgelöst, wenn diereject_unauth_destinationRegel trat in Kraft.
Was ich nicht verstehe (selbst nach vielen Stunden des Ausprobierens und Internetrecherchens) ist, dass Postfix meine mysql-basierten virtuellen Maps zu ignorieren scheint, da die mysql-Protokollierung zeigt, dass keine Abfragen ausgeführt werden. Die einzige Abfrage, die ich sehen kann, ist die vonSMTPD-Empfängerbeschränkungendas gibt OK zurück.
DerE-Mail-Protokollzeigt folgendes: (ich habe lediglich die E-Mail-Adressen anonymisiert und die IP-Adressen maskiert):
postfix/smtpd[6963]: >>> START Recipient address RESTRICTIONS <<<
postfix/smtpd[6963]: generic_checks: name=reject_non_fqdn_recipient
postfix/smtpd[6963]: reject_non_fqdn_address: [email protected]
postfix/smtpd[6963]: generic_checks: name=reject_non_fqdn_recipient status=0
postfix/smtpd[6963]: generic_checks: name=permit_mynetworks
postfix/smtpd[6963]: generic_checks: name=permit_mynetworks status=0
postfix/smtpd[6963]: generic_checks: name=permit_sasl_authenticated
postfix/smtpd[6963]: generic_checks: name=permit_sasl_authenticated status=0
postfix/smtpd[6963]: generic_checks: name=permit_auth_destination
postfix/smtpd[6963]: permit_auth_destination: [email protected]
postfix/smtpd[6963]: ctable_locate: leave existing entry key [email protected][email protected]
postfix/smtpd[6963]: generic_checks: name=permit_auth_destination status=0
postfix/smtpd[6963]: generic_checks: name=reject_unauth_destination
postfix/smtpd[6963]: reject_unauth_destination: [email protected]
postfix/smtpd[6963]: permit_auth_destination: [email protected]
postfix/smtpd[6963]: ctable_locate: leave existing entry key [email protected][email protected]
postfix/smtpd[6963]: NOQUEUE: reject: RCPT from x.x.x.x[y.y.y.y]: 564 5.7.1 <[email protected]>: Relay access denied; from=<[email protected]> to=<[email protected]> proto=SMTP helo=<z.z.z.z>
postfix/smtpd[6963]: generic_checks: name=reject_unauth_destination status=2
postfix/smtpd[6963]: >>> END Recipient address RESTRICTIONS <<<
DerPermit_Auth_DestinationDie Prüfung greift nicht - obwohl sie es sollte, da sie (gemäß dem Postfix-Handbuch) greift, wenn die Empfängeradresse in einem der folgenden Verzeichnisse aufgeführt ist:virtuelle_alias_domänenodervirtuelle_Postfachdomänen. Ich habe bestätigt, dass in meinem Fall beides zutrifft, indem ich Folgendes ausgeführt habe:
[19:00:39][me@server:~]# postmap -q [email protected] proxy:mysql:/etc/postfix/mysql/virtual_alias_domains.cf
recipient.com
[19:00:39][me@server:~]# postmap -q [email protected] proxy:mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
recipient.com
Gleich nach demPermit_Auth_Destinationnicht eintreten, diereject_unauth_destinationgreift, obwohl dies aus demselben Grund nicht der Fall sein sollte.
Wie bereits erwähnt, kann ich aus den MySQL-Protokollen ersehen, dass derzeit keine Abfragen von Postfix ausgeführt werden. Ich habe keine Ahnung, wie Postfix die Entscheidung trifft, nicht auszulösenPermit_Auth_Destinationaber auszulösenreject_unauth_destination.
Was könnte die Ursache für dieses Verhalten sein?
Dies ist die vollständige main.cf:
###########
# Network #
###########
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
#mydomain =
myhostname = mail.server.com
mydestination =
inet_interfaces = all
inet_protocols = ipv4, ipv6
smtp_address_preference = ipv4
smtpd_banner = $myhostname ESMTP $mail_name
#########
# Local #
#########
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
###########
# Virtual #
###########
proxy_read_maps = proxy:mysql:/etc/postfix/mysql/virtual_alias_maps.cf
proxy:mysql:/etc/postfix/mysql/virtual_alias_domains.cf
proxy:mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf
proxy:mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
proxy:mysql:/etc/postfix/mysql/recipient_access.cf
virtual_mailbox_base = /home/vmail/mailboxes
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql/virtual_alias_maps.cf
virtual_alias_domains = proxy:mysql:/etc/postfix/mysql/virtual_alias_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_minimum_uid = 5000
local_recipient_maps = $virtual_mailbox_maps
################
# TLS settings #
################
tls_ssl_options = NO_COMPRESSION
################
# TLS outbound #
################
smtp_dns_support_level = dnssec
smtp_tls_security_level = may
proxy:mysql:/etc/postfix/msql/smtp_tls_policy_maps.cf
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_protocols = !SSLv3, TLSv1.3
smtp_tls_ciphers = high
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
###############
# TLS inbound #
###############
smtpd_use_tls = yes
smtpd_tls_security_level = may
smtpd_tls_protocols = !SSLv3, TLSv1.3
smtpd_tls_ciphers = high
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_cert_file = /etc/letsencrypt/getssl-certs/mail.server.com/chain.pem
smtpd_tls_key_file = /etc/letsencrypt/getssl-certs/mail.server.com/key.pem
###################################
# Local mail delivery via Dovecot #
###################################
virtual_transport = lmtp:unix:private/dovecot-lmtp
#############
# SASL auth #
#############
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
#########
# Relay #
#########
#1 client
smtpd_client_restrictions = permit_mynetworks
permit_sasl_authenticated
reject_unknown_client_hostname
#2 helo
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
#3 sender
smtpd_sender_restrictions = permit_mynetworks
permit_sasl_authenticated
reject_non_fqdn_sender
reject_sender_login_mismatch
#4 relay
smtpd_relay_restrictions = reject_non_fqdn_recipient
permit_mynetworks
permit_sasl_authenticated
permit_auth_destination
reject_unauth_destination
#5 recipient
smtpd_recipient_restrictions = check_recipient_access proxy:mysql:/etc/postfix/mysql/recipient_access.cf
#6 data
smtpd_data_restrictions = reject_unauth_pipelining
#7 end-of-data
relay_domains_reject_code = 564
access_map_reject_code = 574
maps_rbl_reject_code = 584
#################
# Miscellaneous #
#################
mail_owner = postfix
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 2
AKTUALISIEREN
Wenn ich meinevirtuelle_PostfachdomänenDurch Setzen des Proxy:MySQL-Lookups auf einen statischen Wert (die Domäne des Empfängers) funktioniert alles wie erwartet:
virtual_mailbox_domains = static:recipient.com
Es sieht so aus, als ob die spezifische Suche über MySQL das Problem ist. Das ist besonders merkwürdig, da das Problem anscheinend für diesmtpd_relay_restrictionsnur (keine MySQL-Abfrage ausgeführt). Es funktioniert gut (MySQL-Abfrage wird ausgeführt) für dieSMTPD-Empfängerbeschränkungen
Antwort1
Ich konnte das Problem schließlich klären, indem ich mir die ausführlichen Protokolle der Proxymap ansah.
Der Schlüssel, der bei der MySQL-Abfrage übergeben wird, ist tatsächlich nur die Domäne des Empfängers und nicht die gesamte E-Mail-Adresse:
postfix/proxymap[23555]: master_notify: status 0
postfix/proxymap[23555]: proxymap socket: wanted attribute: request
postfix/proxymap[23555]: input attribute name: request
postfix/proxymap[23555]: input attribute value: lookup
postfix/proxymap[23555]: proxymap socket: wanted attribute: table
postfix/proxymap[23555]: input attribute name: table
postfix/proxymap[23555]: input attribute value: mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
postfix/proxymap[23555]: proxymap socket: wanted attribute: flags
postfix/proxymap[23555]: input attribute name: flags
postfix/proxymap[23555]: input attribute value: 524352
postfix/proxymap[23555]: proxymap socket: wanted attribute: key
postfix/proxymap[23555]: input attribute name: key
postfix/proxymap[23555]: input attribute value: recipient.com
postfix/proxymap[23555]: proxymap socket: wanted attribute: (list terminator)
postfix/proxymap[23555]: input attribute name: (end)
postfix/proxymap[23555]: proxy_map_find: mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf:
postfix/proxymap[23555]: send attr status = 1
postfix/proxymap[23555]: send attr value =
postfix/proxymap[23555]: master_notify: status 1
In diesem Fall scheint es, als ob die%DParameter (der eigentlich den Domänennamen enthalten sollte) kann nicht für die MySQL-Abfrage verwendet werden.%S(das den ursprünglichen Eingabeschlüssel trägt) hat endlich funktioniert.
Mir ist tatsächlich klar geworden, dass%Dist leer durch Ausführenpostkartenur mit der Domäne und kein Ergebnis:
[me@server:~]# postmap -q [email protected] proxy:mysql:/etc/postfix/mysql/virtual_alias_domains.cf
recipient.com
[me@server:~]# postmap -q recipient.com proxy:mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
[me@server:~]#