Eu tenho um servidor de correio Postfix/Courier (autenticado com SASL/MySQL), tudo de acordo comeste tutorial. Atualmente estou executando meu servidor no Debian 6, é um VPS. Até onde posso ver, funciona bem, mas não consigo exigir autenticação para envio de e-mail de entrada. Se eu enviar um e-mail do Outlook com a autenticação SMTP desativada para mim mesmo, tudo acontece e não sou rejeitado, o log no servidor me diz o seguinte:
Dec 19 09:39:33 new postfix/smtpd[20439]: connect from unknown[****]
Dec 19 09:39:33 new postfix/smtpd[20439]: 7FF1E469840: client=unknown[****]
Dec 19 09:39:33 new postfix/cleanup[20444]: 7FF1E469840: message-id=<000c01cefc31$41319a90$c394cfb0$@email@mydomain>
Dec 19 09:39:33 new postfix/qmgr[20429]: 7FF1E469840: from=<email@mydomain>, size=2730, nrcpt=1 (queue active)
Dec 19 09:39:33 new postfix/virtual[20445]: 7FF1E469840: to=<email@mydomain>, relay=virtual, delay=0.49, delays=0.4/0.08/0/0.01, dsn=2.0.0, status=sent (delivered to maildir)
Dec 19 09:39:33 new postfix/qmgr[20429]: 7FF1E469840: removed
Dec 19 09:39:36 new postfix/smtpd[20439]: disconnect from unknown[****]
****indica o endereço IP do cliente de e-mail
Mas se eu tentar enviar um e-mail para um domínio externo, por exemplo, um endereço do Gmail, o e-mail, como esperado, será rejeitado e devolvido:
Your message did not reach some or all of the intended recipients.
Subject:
Sent: 19/12/2013 9:49 a.m.
The following recipient(s) cannot be reached:
'[email protected]' on 19/12/2013 9:49 a.m.
Server error: '554 5.7.1 <[email protected]>: Relay access denied'
O log também mostra algumas coisas sobre autenticação rejeitada (o que é esperado)
Dec 19 09:48:34 new postfix/smtpd[20449]: connect from unknown[****]
Dec 19 09:48:34 new postfix/smtpd[20449]: NOQUEUE: reject: RCPT from unknown[****]: 554 5.7.1 <[email protected]>: Relay access denied; from=<email@mydomain> to=<[email protected]> proto=ESMTP helo=<MyPC>
Dec 19 09:48:36 new postfix/smtpd[20449]: disconnect from unknown[****]
Se eu habilitar a autenticação SMTP no meu cliente de e-mail (Outlook), tudo funcionará conforme o esperado. Existe realmente alguma autenticação que não estou vendo ou isso está agindo como uma retransmissão aberta para e-mails internos? Como forçar a autenticação para todos os emails, se for esse o caso?
Meu principal.cf é:
relayhost =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_protocols = all
broken_sasl_auth_clients = yes
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
virtual_create_maildirsize = yes
virtual_maildir_extended = yes
virtual_mailbox_limit_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "The user you are trying to reach is over quota."
virtual_overquota_bounce = yes
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
Responder1
Seu servidor não é um retransmissor aberto. Está configurado para permitir três tipos diferentes de correio:
- Correio de qualquer pessoa na Internetparaendereços dentro do seu próprio domínio
- Correio originado em seu próprio servidor de correio (por exemplo, avisos de cron jobs e similares), para qualquer pessoa na Internet
- Correio proveniente de uma conexão autenticada para qualquer pessoa na Internet
Se o e-mail não corresponder a um dos itens acima, o servidor de e-mail irá rejeitá-lo, mesmo que o spammer coloque algum endereço falso em seu domínio como endereço do remetente.
Responder2
Existe realmente alguma autenticação acontecendo que não estou vendo
Sim
ou isso funciona como uma retransmissão aberta para e-mails internos?
não, já que você está vendo o acesso negado
Como forçar a autenticação para todos os emails, se for esse o caso?
Você está forçando isso agora
telnet seu servidor de e-mail
telnet ipaddress 25