X-Original-To Header geht verloren bei Postfix/Dovecot

[TCr]

Hallo,

ich habe unseren Mail-Server auf Ubuntu 20.04 / ISPConfig 3.2 aktualisiert und seit dem gehen die X-Original-To header verloren. Seid dem können die Empfänger bei Catchall Postfächern nicht mehr richtig ausgewertet werden.

Ich dachte es liegt einfach nur daran, dass in der master.conf bei dovecot das O-Flag fehlt - aber das ist es leider nicht.

Das wurde nämlich hier schon empfohlen:

X-original-to fehlt im header jeder Mail

Hallo, habe es Testhalber direkt in die main.cf geschrieben und die Datei /etc/postfix/header_access mit obigem Inhalt erstellt. Dann postfix neu gestartet und eine testmail gesendet. Diese hat aber keinen x-original-to header Eintrag jan

help.univention.com

Add O option to dovecot transport in postfix master.cf so that X-Original-To: header is added. (#2038) · Issues · ISPConfig / ISPConfig 3 · GitLab

Add O option to dovecot transport in postfix master.cf so that X-Original-To: header is added. From: dovecot unix - n n - - pipe...

git.ispconfig.org

Hat noch wer das Problem und kann hier helfen?

Es muss mal mit dem lmtp zu tun haben, denn das hatte ich davor nicht - ansonnsten hatte ich die gleiche Konfiguration verwendet wie zuvor. Zuletzte habe ich die Daten der Konfig soweit komplett so angepasst, wie die Standard Konfiguration die mitgekommen ist.

Dazu bin ich wie folgt vorgegangen:

grep ^[^#] main.cf.neu | sort > main.cf.sorted
grep ^[^#] main.cf.update-ispc-3.2 | sort > main.cf.update-ispc-3.2-sorted
mcdiff main.cf.update-ispc-3.2-sorted main.cf.sorted

So habe ich die new angepasst und dann als main.cf hinkopiert.

Das Resultat ist folgendes Diff

0a1
> 127.0.0.1:10040_time_limit = 3600s
11a13
> enable_long_queue_ids = yes
14a17
> html_directory = /usr/share/doc/postfix/html
16a20
> lmtp_destination_recipient_limit = 1
19a24
> message_size_limit = 0
21,23c26,28
< mydestination = $myhostname, mail1.mydomain.net, mail1, localhost.localdomain, localhost
< myhostname = mail1
< mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
---
> mydestination = mail1.mydomain.net, mail1.mydomain.com, mail1, localhost.localdomain, localhost
> myhostname = mail1.mydomain.net
> mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 XXXXX
26a32
> policy-spf_time_limit = 3600s
28c34
< readme_directory = no
---
> readme_directory = /usr/share/doc/postfix
35c41
< smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
---
> smtpd_banner = $myhostname ESMTP $mail_name
37c43
< smtpd_client_restrictions = check_client_access proxy:mysql:/etc/postfix/mysql-virtual_client.cf, permit_inet_interfaces, permit_mynetworks, reject_rbl_client bl.spamcop.net, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client sbl-xbl.spamhaus.org, permit_sasl_authenticated, reject_unauth_pipelining , permit
---
> smtpd_client_restrictions = check_client_access proxy:mysql:/etc/postfix/mysql-virtual_client.cf, permit_inet_interfaces, permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, permit
38a45
> smtpd_delay_reject = yes
40d46
< smtpd_forbidden_commands = CONNECT,GET,POST,USER,PASS
44,45c50,51
< smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, reject_unlisted_recipient, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/quota-status
< smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
---
> smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, reject_unlisted_recipient, check_policy_service inet:127.0.0.1:10040, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/quota-status
> smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination
52c58,59
< smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, check_sender_access regexp:/etc/postfix/tag_as_foreign.re, check_sender_access proxy:mysql:/etc/postfix/mysql-virtual_sender.cf
---
> smtpd_sender_restrictions = check_sender_access regexp:/etc/postfix/tag_as_originating.re , permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
> smtpd_tls_auth_only = no
53a61,63
> smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
> smtpd_tls_dh512_param_file = ${config_directory}/dh512.pem
> smtpd_tls_eecdh_grade = ultra
56c66,68
< smtpd_tls_mandatory_ciphers = medium
---
> smtpd_tls_loglevel = 1
> smtpd_tls_mandatory_ciphers = high
> smtpd_tls_mandatory_exclude_ciphers = aNULL, LOW, EXP, MEDIUM, ADH, AECDH, MD5, DSS, ECDSA, CAMELLIA128, 3DES, CAMELLIA256, RSA+AES, RC4, eNULL
58a71
> smtpd_tls_received_header = yes
59a73
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
60a75,76
> smtp_pix_workarounds = disable_esmtp, delay_dotcrlf
> smtp_sasl_auth_enable = no
61a78
> smtp_tls_cert_file = ${config_directory}/smtpd.cert
62a80,83
> smtp_tls_key_file = ${config_directory}/smtpd.key
> smtp_tls_loglevel = 1
> smtp_tls_mandatory_ciphers = high
> smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
64c85
< smtp_tls_security_level = dane
---
> smtp_tls_security_level = may
65a87,90
> strict_rfc821_envelopes = yes
> tls_eecdh_strong_curve = prime256v1
> tls_eecdh_ultra_curve = secp384r1
> tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!SHA:CAMELLIA128-SHA:AES128-SHA
67c92
< tls_preempt_cipherlist = no
---
> tls_preempt_cipherlist = yes

 

[TCr]

ok, ich denke ich hab was ich brauche.

# grep recipient_access_x-orig /etc/postfix/main.cf
smtpd_recipient_restrictions = check_recipient_access pcre:/etc/postfix/recipient_access_x-orig.pcre, permit_mynetworks, reject_unknown_recipient_domain, reject_unlisted_recipi
ent, check_policy_service inet:127.0.0.1:10040, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, check_recipient_access proxy:mysql:/etc/postfix
/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/quota-status
# cat /etc/postfix/recipient_access_x-orig.pcre
/(.+)/        prepend X-Original-To: $1
# grep dovecot /etc/postfix/master.cf
dovecot   unix  -       n       n       -       -       pipe
  flags=DROhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop}

1. in der main.cf - bei smtpd_recipient_restrictions als erstes das check_recipient_access pcre:/etc/postfix/recipient_access_x-orig.pcre rein gebaut
2. die Datei /etc/postfix/recipient_access_x-orig.pcre wie oben beschrieben erstellt
3. das D zu den flags bei dovecot in der master.cf rein gebaut

Die Werte lmtp_destination_recipient_limit und dovecot_destination_recipient_limit habe ich raus genommen.

So scheint es momentan zu funktionieren.

Grüße

 

[TCr]

Nein, das war es leider noch nicht - jetzt gibt es mehrere X-Original-To.

Hat doch wer eine Idee?

 

[TCr]

Soweit ich das bis jetzt gelesen ** habe, liegt es an der Umstellung auf lmtp.

Kann man das einfach so wieder zurück stellen?
Sollte doch funktionieren?

** Nur um mal ein paar Links zu nennen:

How to get original recipient from Postfix when using LMTP?

virtual_alias_maps and X-Original-To

X-original-to fehlt im header jeder Mail

Huhu, Postfix ist das Programm, das den Header einfügen muss. X-Original-To soll ja den Envelope-Empfänger enthalten, also die Ziel-Adresse, die im SMTP-Dialog im RCPT TO:… geschickt wird. Damit ist auch klar, dass der Tipp mit den header_checks nicht das tut, was Sie wollen, denn der würde den...

help.univention.com

 

[davidy]

Hast du was gefunden? Ich bräuchte da auch eine Lösung...

 

[TCr]

Ja, hab es halt zurück gestellt, ohne lmtp - dann ging es.

In der /etc/postfix/main.cf folgendes ändern:

-content_filter = lmtp:[127.0.0.1]:10024
+content_filter = amavis:[127.0.0.1]:10024

-virtual_transport = lmtp:unix:private/dovecot-lmtp
+virtual_transport = dovecot

Das hatte bei mir geholfen. Nicht vergessen, in der master.conf das D zu den Flags bei dovecot wieder rein zu schreiben (siehe ersten Beitrag).

 

[davidy]

Danke; klappt!

Ich fände es gut, wenn es ein (vielleicht einstellbares?) X-Original-To auch fest in ISP Config gibt.
Zb. für das

a) einsortieren/filtern/(farblich-)markieren im Mailclient, ich arbeite gerne mit Catchalls zur SPAM Abwehr, bzw. zur Projektzugehörigkeit

b) DEBUG... Mail ist nicht im richtigen Ordner (zb auch per Envelope über Sieve) angekommen, und man kann nicht so einfach im Mail-Header nachsehen warum...

 

[davidy]

Gibts was neues? Aus mir ungeklärten Gründen hat er gestern wieder

+virtual_transport = lmtp:unix:private/dovecot-lmtp
-virtual_transport = dovecot

umgeändert, ohne Update, wohl weil ich neue Mails einstelllte. Was natürlich dazu führt, dass meine Sieve Regeln nicht mehr gingen... Es muss doch möglich sein, das man DAUERHAFT einen X-Original-To in die Email bekommt?!