Postfix: Dirección del destinatario rechazada: HELO/EHLO no válido

tag-icon tag-icon postfix outlook outlook-2007 email-server
Postfix: Dirección del destinatario rechazada: HELO/EHLO no válido

El problema parece ser que MS Outlook 2007 no envía SMTP AUTH por alguna extraña razón para un solo dominio específico.

Ejecuto el servidor iRedMail (está usando stock Debian 7/wheezy, postfix 2.9.6-2) para mi dominio y algunas docenas de dominios de clientes. El problema es que tengo un cliente que no puede enviarme un correo electrónico a mí mismo (no solo mi correo electrónico sino todo el dominio); se rechaza, reject_non_fqdn_helo_hostnamepero el cliente está usando SMTP AUTH y lo tiene configurado correctamente, por lo que debería omitir la verificación de FQDN. Simplemente parece que MUA no está usando SMTP AUTH solo para mis direcciones de correo electrónico y las de mis colegas.

¿Alguien ha visto esto antes? ¿Cómo puedo solucionar este problema? ¡Cualquier aportación es muy apreciada!

¿Podría ser que esté conectado a MUA? ¿Está usando Outlook (no Express)?

Eche un vistazo a los siguientes fragmentos de registros que muestran diferentes situaciones. Todo fue capturado en la misma configuración/mismo MUA/IP,...:

1) esto está bien: mi cliente envía correo electrónico a un servidor de terceros; usando autenticación SMTP

28 de mayo 13:02:13 email2 postfix/smtpd[1191]: conectarse desde <censurado>
28 de mayo 13:02:13 email2 postfix/smtpd[1191]: 28A5D35E61DC: cliente=<censurado>, sasl_method=INICIAR SESIÓN, sasl_username=<[correo electrónico protegido]>
28 de mayo 13:02:26 email2 postfix/cleanup[1435]: 28A5D35E61DC: message-id=<006c01ce5b92$d33805e0$79a811a0$@cz>
28 de mayo 13:02:44 email2 postfix/qmgr[376]: 28A5D35E61DC: from=<[correo electrónico protegido]>, tamaño=4392922, nrcpt=7 (cola activa)
28 de mayo 13:02:44 correo electrónico2 postfix/smtp[1580]: 28A5D35E61DC: a=<[correo electrónico protegido]>, relé=127.0.0.1[127.0.0.1]:10024, retraso=32, retrasos=31/0/0/0.88, dsn=2.0.0, estado=enviado (250 2.0.0 desde MTA(smtp:[127.0 .0.1]:10025): 250 2.0.0 Ok: en cola como B061435E61DE)
28 de mayo 13:02:47 email2 postfix/qmgr[376]: 28A5D35E61DC: eliminado

2) esto está bien: mi cliente envía un correo electrónico a una cuenta local (su coleque); ella está usando SMTP AUTH

28 de mayo 13:06:18 email2 postfix/smtpd[2519]: conectarse desde <censurado>
28 de mayo 13:06:18 email2 postfix/smtpd[2519]: 49CE735E61D4: cliente=<censurado>, sasl_method=INICIAR SESIÓN, sasl_username=<[correo electrónico protegido]>
28 de mayo 13:06:18 correo electrónico2 postfix/limpieza[429]: 49CE735E61D4: id-mensaje=<007201ce5b93$5df069c0$19d13d40$@cz>
28 de mayo 13:06:19 email2 postfix/qmgr[376]: 49CE735E61D4: from=<[correo electrónico protegido]>, tamaño=10875, nrcpt=1 (cola activa)
28 de mayo 13:06:19 correo electrónico2 postfix/smtp[2295]: 49CE735E61D4: a=<[correo electrónico protegido]>, relé=127.0.0.1[127.0.0.1]:10024, retraso=1.6, retrasos=1.2/0/0/0.43, dsn=2.0.0, estado=enviado (250 2.0.0 desde MTA(smtp:[127.0 .0.1]:10025): 250 2.0.0 Ok: en cola como CC61F35E61D7)
28 de mayo 13:06:19 email2 postfix/qmgr[376]: 49CE735E61D4: eliminado

3) problema, correo electrónico enviado a mi cuenta (mismo servidor, pero dominio diferente), ¿NO estoy usando SMTP AUTH???:

28 de mayo 13:04:38 email2 postfix/smtpd[1433]: conectarse desde <censurado>
28 de mayo 13:04:38 email2 postfix/smtpd[1433]: NOQUEUE: rechazar: RCPT de <censurado>: 554 5.7.1 <mi_correo electrónico>>: Dirección del destinatario rechazada: HELO/EHLO no válido; Debe ser un FQDN o una dirección literal, no 'xxx'; desde=<[correo electrónico protegido]> a=<mi_dirección> proto=ESMTP helo=
28 de mayo 13:04:41 email2 postfix/smtpd[1433]: desconectarse de <censurado>

Parte de la configuración de postfix:

smtpd_sender_restrictions = permiso_misredes,
                            rechazar_autenticado_remitente_login_mismatch,
                            permiso_sasl_autenticado
smtpd_recipient_restrictions = rechazar_dominio_remitente_desconocido,
                               rechazar_dominio_destinatario_desconocido,
                               rechazar_non_fqdn_sender,
                               rechazar_non_fqdn_recipient,
                               rechazar_destinatario_no incluido en la lista,
                               check_policy_service inet:127.0.0.1:7777,
                               check_policy_service inet:127.0.0.1:10031,
                               permiso_misredes,
                               permit_sasl_authenticado,
                               rechazar_unauth_destination
smtpd_helo_restrictions = permiso_misredes,
                          permit_sasl_authenticado,
                          rechazar_non_fqdn_helo_hostname,
                          rechazar_invalid_helo_hostname,
                          check_helo_access pcre:/etc/postfix/helo_access.pcre

Ver salida deposconferenciaygato principal.cfg

Respuesta1

HELO/EHLO sucedeantesla autenticación SMTP. Si su servidor está configurado con reject_non_fqdn_helo_hostname = yes, rechazará cualquier conexión con un nombre de host no válidoantesllegar a la parte SMTP AUTH.

Si bien mantener este rechazo reducirá parte del spam, también bloqueará varios correos legítimos. Deberías echar un vistazo más de cerca a la documentación de Postfix pararechazar_invalid_helo_hostnameysmtp_helo_restriccionespara descubrir cómo quiere que funcione esto.

Respuesta2

Está smtpd_recipient_restrictionsbien suponiendo que todos sus clientes se porten bien. Como no lo hacen (no envían HELO correcto), al menos deberías tener algo como

smtpd_recipient_restrictions = reject_unknown_sender_domain, 
                               reject_unknown_recipient_domain, 
                               permit_sasl_authenticated, 
                               reject_non_fqdn_sender, 
                               reject_non_fqdn_recipient, 
                               reject_unlisted_recipient, 
                               check_policy_service inet:127.0.0.1:7777, 
                               check_policy_service inet:127.0.0.1:10031, 
                               permit_mynetworks, 
                               reject_unauth_destination

Aun mejor:

smtpd_recipient_restrictions =
    check_recipient_access hash:/etc/postfix/access-recipient-rfc,
    check_client_access cidr:/etc/postfix/access-client,
    check_helo_access hash:/etc/postfix/access-helo,
    check_sender_access hash:/etc/postfix/access-sender,
    check_recipient_access hash:/etc/postfix/access-recipient,
    permit_mynetworks,
    permit_sasl_authenticated, 
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_unknown_recipient_domain,
    reject_non_fqdn_recipient,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client ix.dnsbl.manitu.net,
    # greylisting
    check_policy_service inet:127.0.0.1:10023,
    # policyd-weight
    check_policy_service inet:127.0.0.1:12525,
    reject_unauth_destination,
    reject_unverified_recipient,
    permit

Además, debes integrar todas las restricciones en el archivo smtpd_recipient_restrictions. DesdeHELO viene antes que la autenticación SASL, no sirve de nada permitir la autenticación SASL en el archivo smtpd_helo_restrictions.

En general, es una buena práctica usar solo smtpd_recipient_restrictions, ya que puedes hacer todo allí, te ahorra repetir cosas y la sobrecarga de red de las conexiones que se habrían terminado después de helo no es sustancial.

Respuesta3

El problema estaba en la política (pista)... no se vio en el registro a primera vista, ese rechazo no fue por restricción de postfix sino en la política.

Fondo

Tenía en el grupo de Cluebringers internal_domains solo mi dominio principal (después de la instalación) y todos los dominios nuevos no estaban allí... Para resolver el problema decidí vaciar internal_domains y todo funciona como se esperaba ahora.

¡Gracias por toda tu ayuda!

información relacionada