Estou configurando um novo servidor Postifx no Debian 12. Instalei o pacote Debian e confirmei que o Postfix está rodando e escutando nas portas 25, 465e 587.
O Postfix está em execução e não há erros no log. Desativei as jails master.cfe este servidor não possui um firewall de software em execução.
Postifx está vinculado a todas as interfaces, por netstat:
netstat -plnt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 8417/master
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 8417/master
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 8417/master
tcp6 0 0 :::587 :::* LISTEN 8417/master
tcp6 0 0 :::465 :::* LISTEN 8417/master
tcp6 0 0 :::25 :::* LISTEN 8417/master
Posso fazer telnet no próprio servidor e conectar-me ao Postfix através de seu IP público:
telnet xx.xx.xx.xx 587
Trying xx.xx.xx.xx...
Connected to xx.xx.xx.xx.
Escape character is '^]'.
220 mydomain.com ESMTP Postfix
Mas se eu tentar isso de fora do servidor, ele não conectará:
telnet mydomain.com 587
Trying xx.xx.xx.xx...
Trying xxxx:xxxx::xxxx:xxxx:xxxx:xxxx...
telnet: Unable to connect to remote host: Network is unreachable
Confirmei que o DNS é resolvido corretamente para o servidor da perspectiva do cliente.
O ISP do meu trabalho/casa não bloqueia portas de saída, pois posso fazer telnet para o servidor SMTP do Gmail de casa e acessar o EHLO.
A empresa de hospedagem do servidor afirma que nenhuma porta está sendo bloqueada.
Posso acessar o servidor do meu cliente doméstico com, traceroute -Imas não sem, a -Iopção.
Sinceramente, não sei mais o que tentar. Eu deveria receber algo do Postfix ao tentar fazer telnet. A maioria das opções para bloquear e-mails ocorre após o EHLO, e ainda não chegamos tão longe.
Quais possíveis configurações no servidor impediriam o Postifx de escutar ou responder na interface externa, quando netstatmostra que está vinculado, não há erros no log e o Postfix responde ao telnet no IP externo do servidor ao fazer telnet a partir do próprio servidor?
inet_interfaces = allestá definido.
inet_protocols = allestá definido.
Há alguma configuração que faria com que o Postfix descartasse silenciosamente uma solicitação de conexão sem qualquer saída?
O que mais posso verificar ou tentar? Quais configurações no Postfix seriam descartadas ou não aceitariam uma solicitação de conexão inicial?
Responder1
Espero que isso ajude alguém: aparentemente existem muitos firewalls diferentes além iptablesdo ucf.
Encontrei esta postagem útil:https://surgemail.com/knowledge-base/disable-your-firewall/, que lista todas as possibilidades a serem procuradas. No meu caso, foi nft.
Aqui está a lista completa de firewalls para desativar ou verificar:
nft flush ruleset
systemctl mask nftables.service
systemctl stop firewalld
systemctl disable firewalld
service iptables stop
service iptables disable
service ipchains disable
service ipchains stop
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -F
iptables -t mangle -F
iptables -F
iptables -X
cfx -x