Postfix verwendet falsche IP Adressen beim Versenden

ramsys · 14. Mai 2013

Hallo Brainfood,

vielen Dank für Dein Feedback

Brainfood · 18. Mai 2013

simples Beispiel:

Code:

      .......................................
      :                Postfix              :
   ----->smtpd \                            :
      :         -pre-cleanup-\       /local---->
   ---->pickup /              -queue-       :
      :             -cleanup-/   |   \smtp----->
      :     bounces/    ^        v          :
      : and locally     |        v          :
      :   forwarded   smtpd  amavisfeed     :
      :    messages   10025      |          :
      ...........................|...........
                        ^        |
                        |        v
            ............|...............................
            :           |   $inet_socket_port=10024    :
            :           |                              :
            : $forward_method='smtp:[127.0.0.1]:10025' :
            : $notify_method ='smtp:[127.0.0.1]:10025' :
            :                                          :
            :    amavisd-new                           :
            ............................................

Brainfood · 20. Mai 2013

@miglosch

ich kann jetzt diesen "fuck up" nachvollziehen:

Code:

May 20 21:23:30 mx1 amavis[27336]: (27336-05) (!)DENIED ACCESS from IP XXX.XXX.XXX.XXX, policy bank ''
May 20 21:23:30 mx1 postfix/smtp[30412]: 80AE7AE0059: to=<localuser@domain.tld>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=1.1/0.02/0.01/0, dsn=4.4.2, status=deferred (lost connection with 127.0.0.1[127.0.0.1] while receiving the initial server greeting)

Einfach "smtp_bind_address" aus der /etc/postfix/main.cf entfernen/auskommentieren!

smtp_bind_address6 macht bei mir keinerlei Probleme und ist auch bei mehreren IPv6 Adressen ohne RDNS Eintrag nötig.

- Das smtp_bind_address Problem -> Betrifft jetzt aber alle Kisten mit mehreren IPv4 Adressen -

Till · 22. Mai 2013

Die ISPConfig3 Installation überschreibt sowieso die /etc/postfix/main.cf

Das stimmt so nicht ganz. Die Datei wird weder durch ispconfig überschrieben noch erstezt. Was ispconfig macht ist dass es mittels des dafür von postfix vorgesehenen Befehls "postconf" Einstellungen vornimmt, und zawr nur die die ispconfig selbst benötgt. Wenn Du einen dieser parameter manuell geändert hast dann wird er natürlich überschrieben, andere parameter in der main.cf betrifft das aber nicht.

Brainfood · 22. Mai 2013

Ok Till, mit was die Postfix Config abgeändert wird, spielt nicht so die Rolle für mich, mit den Standardeinstellungen bin ich jedenfalls nicht ganz so glücklich.

So schaut es bei mir aus, zumindest funktionieren die Kisten sauber:

Code:

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

### ### ### PLITC ### ### ###
delay_warning_time = 6h
bounce_queue_lifetime = 12h
maximal_queue_lifetime = 12h
### ### ### PLITC ### ### ###

readme_directory = /usr/share/doc/postfix

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = servername.domain.tld
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
myorigin = /etc/mailname
mydestination = servername.domain.tld, localhost, localhost.localdomain
relayhost = 
### ### ### PLITC ### ### ### servername.domain.tld 212.XXX.XXX.XXX #
### ### ### PLITC ### ### ### servername.domain.tld 80.XXX.XXX.XXX #
mynetworks = 127.0.0.0/8 [::1]/128 [fe80::]/10 212.XXX.XXX.XXX 80.XXX.XXXX.XXX
### ### ### PLITC ### ### ### 127.0.0.0/8 [::1]/128 212.XXX.XXX.XXX 80.XXX.XXX.XXX 192.168.250.0/24 [fe80::]/10 [2001:XXXX:XXXX::]/48 #
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
### amavis[27336]: (!)DENIED ACCESS
# smtp_bind_address = 85.XXX.XXX.XXX
smtp_bind_address6 = 2a01:XXXX.XXXX.XXXX::10
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains = 
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf, hash:/var/lib/mailman/data/virtual-mailman
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
### ### ### PLITC ### ### ###
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
        reject_unauth_destination,
        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
	reject_unverified_recipient,
        reject_rbl_client dnsbl.ahbl.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client zen.spamhaus.org
###
### http://www.heinlein-support.de/upload/mk4/3-06_Best-Practice-fuer-stressfreie-Mailserver.pdf
###
### Microsoft Fail: ohne reject_unknown_hostname
### reject_unknown_reverse_client_hostname - ist weniger restriktiv als - reject_unknown_client
###
### smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, reject_rbl_client zen.spamhaus.org
###
### INFO: reject_rbl_client zen.spamhaus.org #
###
### ### ### PLITC ### ### ###
smtpd_tls_security_level = may
#
### das selbe wie - RFC 2487 ###
# smtpd_use_tls = yes
# smtpd_enforce_tls = no
# smtpd_tls_auth_only = yes
### das selbe wie ###
#
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $virtual_mailbox_limit_maps
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf
smtpd_client_message_rate_limit = 100
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = dovecot
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings
message_size_limit = 0
#
### ### ### PLITC ### ### ###
# smtpd_tls_mandatory_protocols = SSLv3, TLSv1
# smtpd_tls_mandatory_ciphers = high
# smtpd_tls_cipherlist = TLSv1+HIGH:!SSLv2:!aNULL:!eNULL:!3DES:@STRENGTH
# smtp_tls_cipherlist = TLSv1+HIGH:!SSLv2:!aNULL:!eNULL:!3DES:@STRENGTH
# smtpd_tls_protocols = TLSv1
# smtpd_tls_cipherlist = TLSv1+HIGH:!SSLv2:!aNULL:!eNULL:!3DES:@STRENGTH
# smtpd_tls_mandatory_protocols = TLSv1
# smtp_tls_mandatory_ciphers = TLSv1+HIGH:!SSLv2:!aNULL:!eNULL:!3DES:@STRENGTH
#
smtpd_tls_exclude_ciphers = SSLv2, aNULL, ADH, eNULL
#
smtpd_tls_ciphers = high
#
strict_rfc821_envelopes = yes
resolve_numeric_domain = no
#
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_invalid_hostname
#
# smtp_use_tls = yes
# smtp_enforce_tls = yes
# smtp_tls_enforce_peername = no
#
smtp_helo_name = $myhostname
#
inet_protocols = all
#
# Outlook - fix stupid broken clients
smtpd_command_filter=pcre:/etc/postfix/smtpd_command_filter_fix_broken_clients.pcre
#
### ### ### PLITC ### ### ###
#
# EOF

ramsys · 11. Juni 2013

In einem Multiserver-Setup ist auf dem Webserver (kein Mailserver) wegen mail() zusätzlich postfix installiert (nur apt-get install postfix). Sollte bei der ISPConfig3-Installation dann trotzdem "Configure Mail" aktiviert werden oder ist das nur auf einem kompletten Mailserver notwendig?

Brainfood · 11. Juni 2013

Ja, sofern du Postfix über ISPConfig verwalten möchtest ...

Doch wozu ein kompletten MTA einrichten, wenn du von der WebBüchse einfach über PHP SMTP [mail function] oder dem schlanken mailsend (https://code.google.com/p/mailsend/) als sendmail alias dein Zeug über den externen Mailserver schicken könntest?

In letzter Zeit bin ich von dem Tripp runtergekommen überall ISPConfig einsetzen zu wollen ... der Wechsel von Debian 6 auf Debian 7 hat mir wieder klar gemacht, warum ich mich nie so richtig mit diesem "Wir sind die geilen Hipster Linux Boys, die alles nach belieben ändern was ihnen in den Sinn kommt" anfreunden konnte ...

Bei mir laufen jetzt nur noch eine handvoll ISPConfig Kisten, lediglich zur reinen Konfig-Verwaltung, als Slaves wurden Dummy ISPConfigs einrichtet, nach dem ISPConfig Join Master/Slave Mode (Multiserversetup) wieder gelöscht und durch etwas gefrickel mit soliden FreeBSD Servern ersetzt ...
Damit kenn ich mich aus, ich liebe einfach ZFS und den OpenBSD PF ...
und da sich der ganze Web/Mail/MySQL Quatsch jetzt schick über ISPConfig verwalten lässt, laufen bei mir so viele Dienste "dediziert" wie nur möglich ...

Till · 11. Juni 2013

Zitat von ramsys:
In einem Multiserver-Setup ist auf dem Webserver (kein Mailserver) wegen mail() zusätzlich postfix installiert (nur apt-get install postfix). Sollte bei der ISPConfig3-Installation dann trotzdem "Configure Mail" aktiviert werden oder ist das nur auf einem kompletten Mailserver notwendig?

Ich würde dann mail in ispconfig nicht für den webserver konfigurieren. apt fragt ja nach wie der Postfix Server konfiguriert werden soll, wähle dort smarthost aus und gib die IP bzw. den Hostnamen des mailservers an. Auf dem mailserver fügst Du in der main.cf die IP Adresse des webservers unter mynetworks hinzu und startest postfix neu.

P.s. Sorry ramsys, ich hatte meine Antwort vorhin aus Versehen in Deinen Post geschrieben anstatt ihn zu quoten. Hab es gerade erst gesehen als Brainfood geantwortet hatte

Postfix verwendet falsche IP Adressen beim Versenden

ramsys

Member

Brainfood

Member

Brainfood

Member

Till

Administrator

Brainfood

Member

ramsys

Member

Brainfood

Member

Till

Administrator

Werbung

Wir schützen deine Privatsphäre