Postfix - Problem mit nichtexistenten Domains

[flo]

Hallo zusammen,

mir ist neulich aufgefallen, daß Mails an nicht existente Domains nicht etwa abgewiesen werden, sondern komischerweise die IP meines Webservers als MX bekommen.

Code: Select all

4F9FC113820      784 Thu Apr 19 14:34:05  root@mail.domain.de
        (connect to kjhslfkgjsdhflgkdjhg.de[85.214.97.x]: Connection refused)
                                         info@kjhslfkgjsdhflgkdjhg.de

Ein Lookup auf dem Server ergibt korrekterweise nichts, weder als MX noch als A.

Postconf

Code: Select all

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
body_checks = regexp:/etc/postfix/maps/body_checks
bounce_size_limit = 10000
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/maps/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/lib/postfix
disable_vrfy_command = yes
header_checks = regexp:/etc/postfix/maps/header_checks
mailbox_size_limit = 0
mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp
maps_rbl_domains = relays.ordb.org, list.dsbl.org
message_size_limit = 20048000
mydestination = mail.domain.de, localdomain, localhost
mydomain = domain.de
myhostname = mail.domain.de
mynetworks = 127.0.0.0/8, 85.214.24.x
queue_minfree = 80480000
recipient_delimiter = +
relocated_maps = hash:/etc/postfix/maps/relocated
setgid_group = postdrop
smtp_enforce_tls = no
smtp_sasl_security_options =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = no
smtpd_banner = Mailserver ESMTP $mail_name on Debian
smtpd_enforce_tls = no
smtpd_etrn_restrictions = reject
smtpd_helo_required = yes
smtpd_recipient_limit = 70
smtpd_recipient_restrictions = permit_sasl_authenticated,
        permit_mynetworks,
        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        check_helo_access hash:/etc/postfix/maps/helo_checks,
        check_sender_access hash:/etc/postfix/maps/sender_checks,
        check_client_access hash:/etc/postfix/maps/client_checks,
        check_policy_service inet:127.0.0.1:60000,
        reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = no
tls_random_source = dev:/dev/urandom

Die IP taucht im kompletten /etc-Verzeichnis nicht auf. Ein requeue der entsprechenden Mail bringt genau den gleichen Fehler wieder.

Hilfe :-)

flo.

[Roger Wilco]

mir ist neulich aufgefallen, daß Mails an nicht existente Domains nicht etwa abgewiesen werden, sondern komischerweise die IP meines Webservers als MX bekommen.

Vermutlich wurde die E-Mail mit dem ungültigen Empfänger von deinem System aus verschickt, etwa über ein Formular. Daher greift die in smtpd_recipient_restrictions aufgeführte permit_mynetworks vor allen anderen Restriktionen (wie etwa reject_unknown_recipient_domain).
Außerdem müsste reject_unknown_sender_domain z. B. in der Liste smtpd_sender_restrictions stehen.

Nach ein paar Versuchen, sollte die Mail aber verschwinden und eine DSN an root@mail.domain.de generiert werden.

Code: Select all

maps_rbl_domains = relays.ordb.org, list.dsbl.org

Das funktioniert noch? ORDB gibt es doch schon eine Weile nicht mehr.

[adjustman]

Das funktioniert noch? ORDB gibt es doch schon eine Weile nicht mehr.

nee,;) das strengt bloss Postfix an. Timeouts ohne Ende.

[flo]

uptime 400 Tage, so alt ist das Setup - ich bin eh gerade über dem neuen System - aber das Verhalten ist komisch ... ich teste das mal weiter - danke!

flo.

[adjustman]

uptime 400 Tage, so alt ist das Setup

welche Postfix Version?
Es empfiehlt sich übrigens, den Amavis Content Filter in die master.cf zu setzen. So in etwa

Code: Select all

smtp      inet  n       -       n       -       -       smtpd 
	-o receive_override_options=no_address_mappings
	-o content_filter=lmtp-amavis:[127.0.0.1]:10024

ob smtp oder lmtp is Ansichtssache, wobei ich bei allen
neueren Versionen von SA/Amavis und Postfix zu lmtp tendiere, bzw. nutze

[flo]

Postfix 2.1 mit Cyrus 2.1.

Auf dem PowerPC-Etch hab ich die lmtp-Einlieferung auch so laufen, da läuft der Submission dann ohne Scanner, internes Netz sowieso und so weiter. Was ich da auch mal realisiert habe - einige schütteln sich jetzt - automatische Signaturen. :-) Der Rechner, um den es geht, ist ein reiner "Webhosting"-Mailserver ohne besonderen Schnickschnack.

Ich investiere nur in den Rechner nicht mehr als die Arbeit, demnächst 290 Mailboxen zu migrieren - das ist mein letzter Rechner ohne Raid, ist auch ne relativ schwache Möhre (Strato Powerserver mit Sempron 2200).

flo.

[flo]

... Daher greift die in smtpd_recipient_restrictions aufgeführte permit_mynetworks vor allen anderen Restriktionen (wie etwa reject_unknown_recipient_domain).

*Klatsch*

Danke - der Wald und die Bäume. Wenn ich natürlich davon ausgehe, daß SMTP-Auth oder MyNetworks alle restrictions entfernen soll, ist mir das jetzt klar, warum man so einen Mist hier einliefern kann.

Ich wollte das gerade testen ... per date | mail ... Ich brauch Urlaub!

flo.