Postfix: mail for domain.tld loops back to myself

[ddm3ve]

Hi, ich habe mit postfix noch ein kleines Problem / Phanomen.

Kurz zum Setup, der Server steht, wie das alte System auch, im DMZ mit privaten IPS.
Sollte aber für das Problem eher keine Rolle spielen.

Generell kann ich sowohl per Relay (Netzintern) als auch von extern Email an mein Postfach zustellen. Funktioniert also soweit, bis auf folgendes Problem:

Möchte ich lokal eine Email versenden z.B. aus dem cronjob, werden Emails generell mit obiger Meldung, gebounced. Betrifft alle Domains, für die der Mailserver zuständig ist.

Unterschied zu ehemaligem Systemsetup sehe ich derweil nicht.
Hatte zunächst den Verdacht in diesem Bereich:

mynetworks_style = host
mynetworks = 127.0.0.0/8 10.10.10.0/24 10.120.10.0/24
smtpd_banner = $myhostname ESMTP $mail_name
mydomain = example.com
myhostname = mail.$mydomain
smtp_helo_name = $myhostname
mynetworks_style = host
myorigin = mail.example.com
mydestination = $myhostname, mx.$mydomain, $mydomain, localhost
virtual_maps = hash:/etc/postfix/virtual

Aber egal, wie ich das Wende ... es will nicht

[Joe User]

Klingt fast nach http://www.postfix.org/VIRTUAL_README.h ... al_mailbox

Notes:
Line 2: The virtual_mailbox_domains setting tells Postfix that example.com is a so-called virtual mailbox domain. If you omit this setting then Postfix will reject mail (relay access denied) or will not be able to deliver it (mail for example.com loops back to myself).
NEVER list a virtual MAILBOX domain name as a mydestination domain!
NEVER list a virtual MAILBOX domain name as a virtual ALIAS domain!

[ddm3ve]

Hi,
Du hast mit der Ausführung recht, aber:

mydomain = mail.example.com
myhostname = mail
smtp_helo_name = $myhostname
mynetworks_style = host
myorigin = example.com
mydestination = $myhostname, localhost

löst es nicht.
Wo ist da mein denkfehler? mail.example.com ist kein virtual domain etc.

Passiert weiterhin folgendes:

Jun 21 15:39:08 mailhost postfix/smtp[2377]: 1D469ABC6: to=<ich@example.com>, relay=example.com[external.ip]:25, delay=0.02, delays=0.01/0/0.01/0, dsn=5.4.6, status=bounced (mail for example.com loops back to myself

[Joe User]

Hier mal meine anonymisierten Configs, wobei ich meine Virtual-Domains nicht mittels PFA verwalte, sondern in klassischen Flatfiles, daher musst Du die Flatfiles auf die DB-Struktur von PFA umdenken:

Code: Select all

[root@devgate:~] # cat /usr/local/etc/postfix/main.cf
allow_percent_hack = no
always_add_missing_headers = yes
biff = no
compatibility_level = 2
data_directory = /var/db/postfix
disable_vrfy_command = yes
dovecot_destination_recipient_limit = 1
enable_long_queue_ids = yes
fast_flush_domains =
home_mailbox = .maildir/
inet_interfaces = all
inet_protocols = all
lmtp_tls_fingerprint_digest = sha1
local_header_rewrite_clients = permit_mynetworks permit_sasl_authenticated
mail_spool_directory = /data/vmail
mailbox_size_limit = 0
masquerade_domains = $mydomain
masquerade_exceptions = root mailer-daemon
message_size_limit = 0
milter_default_action = accept
mydestination = $myhostname localhost.$mydomain localhost
mydomain = example.org
myhostname = mail.$mydomain
mynetworks_style = host
myorigin = $mydomain
non_smtpd_milters = $smtpd_milters
notify_classes = data protocol resource software
openssl_path = /usr/local/bin/openssl
policyd-spf_time_limit = 3600
postscreen_access_list =
  permit_mynetworks
  cidr:${config_directory}/postscreen_whitelist.cidr
postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = yes
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites =
  list.dnswl.org=127.0.[0..255].0*-2
  list.dnswl.org=127.0.[0..255].1*-4
  list.dnswl.org=127.0.[0..255].2*-6
  list.dnswl.org=127.0.[0..255].3*-8
  zen.spamhaus.org=127.0.0.9*25
  zen.spamhaus.org=127.0.0.3*10
  zen.spamhaus.org=127.0.0.2*5
  zen.spamhaus.org=127.0.0.[4..7]*3
  zen.spamhaus.org=127.0.0.[10..11]*3
  swl.spamhaus.org*-10
  bl.mailspike.net=127.0.0.2*10
  bl.mailspike.net=127.0.0.10*5
  bl.mailspike.net=127.0.0.11*4
  bl.mailspike.net=127.0.0.12*3
  bl.mailspike.net=127.0.0.13*2
  bl.mailspike.net=127.0.0.14*1
  wl.mailspike.net=127.0.0.16*-2
  wl.mailspike.net=127.0.0.17*-4
  wl.mailspike.net=127.0.0.18*-6
  wl.mailspike.net=127.0.0.19*-8
  wl.mailspike.net=127.0.0.20*-10
  backscatter.spameatingmonkey.net*2
  bl.ipv6.spameatingmonkey.net*2
  bl.spameatingmonkey.net*2
  ix.dnsbl.manitu.net*2
  bl.spamcop.net*2
  db.wpbl.info*2
  psbl.surriel.com*2
  torexit.dan.me.uk*2
  tor.dan.me.uk*1
  safe.dnsbl.sorbs.net*1
postscreen_dnsbl_threshold = 5
postscreen_dnsbl_whitelist_threshold = 0
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
queue_directory = /var/spool/postfix
recipient_delimiter = +
remote_header_rewrite_domain = domain.invalid
show_user_unknown_table_name = no
smtp_dns_support_level = enabled
smtp_tls_CAfile = /usr/local/share/certs/ca-root-nss.crt
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers =
  CAMELLIA SEED IDEA RC2 RC4 3DES DES
  kRSA kSRP kPSK kGOST kECDHr kECDHe kDHr kDHd
  aDSS aNULL eNULL MEDIUM LOW EXPORT
smtp_tls_fingerprint_digest = sha1
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
  CAMELLIA SEED IDEA RC2 RC4 3DES DES
  kRSA kSRP kPSK kGOST kECDHr kECDHe kDHr kDHd
  aDSS aNULL eNULL MEDIUM LOW EXPORT
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_port_logging = yes
smtpd_client_restrictions =
  sleep 1
  permit
smtpd_data_restrictions =
  reject_unauth_pipelining
  reject_multi_recipient_bounce
  permit
smtpd_end_of_data_restrictions =
  permit
smtpd_etrn_restrictions =
  reject
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  reject_invalid_helo_hostname
  reject_non_fqdn_helo_hostname
  permit
smtpd_milters = inet:127.0.0.1:8891 inet:127.0.0.1:8893
smtpd_recipient_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  reject_non_fqdn_recipient
  reject_unknown_recipient_domain
  check_recipient_access pcre:${config_directory}/recipient_checks.pcre
  check_policy_service unix:private/policyd-spf
  permit
smtpd_relay_restrictions =
  permit_mynetworks
  permit_sasl_authenticated
  reject_unauth_destination
  permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions =
  reject_non_fqdn_sender
  reject_unknown_sender_domain
  permit
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /data/ssl/example.org/mail/fullchain.00.rsa.crt
smtpd_tls_ciphers = medium
smtpd_tls_eccert_file = /data/ssl/example.org/mail/fullchain.00.ecc.crt
smtpd_tls_eckey_file = /data/ssl/example.org/_privkey.00.ecc.key
smtpd_tls_exclude_ciphers =
  CAMELLIA SEED IDEA RC2 RC4 3DES DES
  kRSA kSRP kPSK kGOST kECDHr kECDHe kDHr kDHd
  aDSS aNULL eNULL MEDIUM LOW EXPORT
smtpd_tls_fingerprint_digest = sha1
smtpd_tls_key_file = /data/ssl/example.org/_privkey.00.rsa.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_exclude_ciphers =
  CAMELLIA SEED IDEA RC2 RC4 3DES DES
  kRSA kSRP kPSK kGOST kECDHr kECDHe kDHr kDHd
  aDSS aNULL eNULL MEDIUM LOW EXPORT
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
strict_rfc821_envelopes = yes
swap_bangpath = no
tls_daemon_random_bytes = 64
tls_high_cipherlist =
  EECDH+ECDSA+CHACHA20 EECDH+CHACHA20
  EECDH+ECDSA+AESGCM+AES256 EECDH+AESGCM+AES256
  EECDH+ECDSA+AESGCM+AES128 EECDH+AESGCM+AES128
  EECDH+ECDSA+AES256+SHA384 EECDH+AES256+SHA384
  EECDH+ECDSA+AES128+SHA256 EECDH+AES128+SHA256
  EECDH+ECDSA+AES256+SHA1 EECDH+AES256+SHA1
  EECDH+ECDSA+AES128+SHA1 EECDH+AES128+SHA1
  EDH+CHACHA20
  EDH+AESGCM+AES256 EDH+AESGCM+AES128
  EDH+AES256+SHA256 EDH+AES128+SHA256
  EDH+AES256+SHA1 EDH+AES128+SHA1
tls_medium_cipherlist =
  EECDH+ECDSA+CHACHA20 EECDH+CHACHA20
  EECDH+ECDSA+AESGCM+AES256 EECDH+AESGCM+AES256
  EECDH+ECDSA+AESGCM+AES128 EECDH+AESGCM+AES128
  EECDH+ECDSA+AES256+SHA384 EECDH+AES256+SHA384
  EECDH+ECDSA+AES128+SHA256 EECDH+AES128+SHA256
  EECDH+ECDSA+AES256+SHA1 EECDH+AES256+SHA1
  EECDH+ECDSA+AES128+SHA1 EECDH+AES128+SHA1
  EDH+CHACHA20
  EDH+AESGCM+AES256 EDH+AESGCM+AES128
  EDH+AES256+SHA256 EDH+AES128+SHA256
  EDH+AES256+SHA1 EDH+AES128+SHA1
  AESGCM+AES256 AESGCM+AES128
  AES256+SHA256 AES128+SHA256
  AES256+SHA1 AES128+SHA1
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = NO_TICKET NO_COMPRESSION LEGACY_SERVER_CONNECT
virtual_alias_domains = hash:${config_directory}/virtual_alias_domains
virtual_alias_maps = hash:${config_directory}/virtual_alias_maps
virtual_gid_maps = static:5000
virtual_mailbox_base = /data/vmail
virtual_mailbox_domains = hash:${config_directory}/virtual_mailbox_domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = hash:${config_directory}/virtual_mailbox_maps
virtual_minimum_uid = 5000
virtual_transport = dovecot
virtual_uid_maps = static:5000
[root@devgate:~] # cat /usr/local/etc/postfix/virtual_alias_domains
example.net               OK
[root@devgate:~] # cat /usr/local/etc/postfix/virtual_alias_maps
root@example.org          admin@example.org
postmaster@example.org    admin@example.org
hostmaster@example.org    admin@example.org
abuse@example.org         admin@example.org
security@example.org      admin@example.org
webmaster@example.org     admin@example.org
@example.net              @example.com
root@example.com          admin@example.com
postmaster@example.com    admin@example.com
hostmaster@example.com    admin@example.com
abuse@example.com         admin@example.com
security@example.com      admin@example.com
webmaster@example.com     admin@example.com
[root@devgate:~] # cat /usr/local/etc/postfix/virtual_mailbox_domains
example.org               OK
example.com               OK
[root@devgate:~] # cat /usr/local/etc/postfix/virtual_mailbox_maps
admin@example.org         example.org/admin/
noreply@example.org       example.org/noreply/
admin@example.com         example.com/admin/
noreply@example.com       example.com/noreply/
[root@devgate:~] #

Ich vermute mal, dass Dein Problem in den SQL-Queries (Postfix virtual_*) stecken könnte (nicht präzise genug), aber das kann ich mangels Kenntnis der DB-Struktur, Queries und DB-Inhalt nicht endgültig beurteilen, das ist eher Dein Fachgebiet ;)

Ansonsten könnte es auch noch ein DNS-Problem sein beziehungsweise ein Bug im Aufbau des internen Netzwerkes:
Das Mailserver-Gateway ins Internet und der interne Mailserver dürfen nicht die gleichen hostname haben. Wenn das Gateway also mail.example.com heisst, dann darf der interne Mailserver nicht auch mail.example.com heissen, sondern zum Beispiel intern.example.com

[ddm3ve]

Also die Virtual_ definitionen etc. stammen alle von postfixadmin und wurden so auch übernommen. Sprich war bei einer früheren Installation schon aktiv und funktioniert ja allgemein.

mx.example.com lautet die externe IP RDNS und mx.example.com zeigt auf diese zurück.
Es gibt 2 externe IPs für den Maildienst. die 2. zeigt aber auf das gleiche Ziel, es gibt aktuell keinen Fallback.
mail.example.com zeigt letztlich ebenfalls auf die gleiche ip wie mx.example.com und war mal eine alias domain.

Interessant ist ja folgendes. Alle Hosts, die releayen dürfen, aber auch externe Einlieferung klappt. Nur auf dem Mailserver kann ich nicht zustellen und es folgt ein Bounce, der wiederum an webmaster@example.com eingeliefert wird. Das ergibt sich aus der aliases.

Was ebenfalls verwunderlich ist, aber nicht zwingend im Zusammenhang stehen muss:

Die externe.ip:
Jun 21 15:39:08 mailhost postfix/smtp[2377]: 1D469ABC6: to=<ich@example.com>, relay=example.com[external.ip]:25, delay=0.02, delays=0.01/0/0.01/0, dsn=5.4.6, status=bounced (mail for example.com loops back to myself

Ist nicht die, des zuständigen mx.example.com sondern der Domain example.com.
mx Eintrag ist aber vorhanden und richtig und wird auch nicht in der /etc/hosts überschrieben.

Ziemlich verwirrend das ganze, denn am eigentlichen Setting, alter Mailserver auf basis opensuse leap 42.3 vs. leap 15.1 hat sich konfigurativ nicht viel geändert. Zumindest nicht der Teil, der dafür verantwortlich scheint.

ich schick dir mal die Konfiguration per PN.

[ddm3ve]

Also Datenabank:

Virtual_domains_map
SELECT domain FROM domain WHERE domain='%s' and backupmx='0' and active='1'

Ergebnis passt.

virtual_alias_maps
SELECT goto FROM alias WHERE address='%s' AND active='1'

Auch hier liefet er ein passendes ergebnis

virtual_mailbox_maps:
query = SELECT maildir FROM mailbox WHERE username='%s' AND active='1'

Dito die Limits.

[Joe User]

Uff, Deine main.cf und master.cf müssen mal vollständig überarbeitet werden, da stecken mitlerweile einige unnötige und doppelte Altlasten drin. Da solltest Du bei Gelegenheit mal etwas Zeit investieren. Im Prinzip kannst Du meine obige main.cf als Basis nutzen und an Dein Setup anpassen, für die master.cf nimmst Du die aktuelle Standard-master.cf und aktivierst dort submission und fügst am Ende lediglich die von Dir zwingend benötigten zusätzlichen transports hinzu.

Basierend auf meiner obigen main.cf wären folgende Optionen diejenigen, welche normalerweise Dein Problem lösen sollten:
Dein Gateway sollte in etwa so konfiguriert sein:

Code: Select all

masquerade_domains = $mydomain
masquerade_exceptions = root mailer-daemon
mydestination = $myhostname localhost.$mydomain localhost
mydomain = example.org
myhostname = mail.$mydomain
mynetworks_style = host
myorigin = $mydomain

Dein interner Mailserver sollte in etwa so konfiguriert sein:

Code: Select all

masquerade_domains = $mydomain
masquerade_exceptions = root mailer-daemon
mydestination = $myhostname localhost.$mydomain localhost
mydomain = example.org
myhostname = intern.$mydomain
mynetworks_style = host
myorigin = $mydomain
relayhost = [mail.example.org]:submission

Dein Logauszug zeigt, dass bei Dir intern der relayhost auf example.com statt auf mail.example.com gesetzt wird, wenn Du das änderst, könnte das Problem hoffentlich zumindest temporär erstmal gelöst sein.
Wenn das auch nicht hilft, dann funkt da entweder PFA dazwischen (fummelt am relayhost rum), oder irgendetwas passt in den internen main.cf/master.cf nicht ganz zusammen.

Persönlich würde ich erstmal mit einer jungfreulichen Kombination aus einem Gateway und einem internen Mailserver mit meiner main.cf und Flatfile-virtuals (mit ein/zwei Testdomains) als Basis beginnen und erstmal die grundsätzlichen Funktionen testen und dann nach und nach an die eigenen Bedürfnisse anpassen. Erst wenn das zufriedenstellend läuft, würde ich die Fltfile-virtuals mit PFA ersetzen.
Ist etwas Arbeit, sollte aber in ein/zwei Nachmittagen erledigt sein und damit schneller gehen als die aktuelle Fehlersuche.



Ich hoffe dass der relayhost bereits hilft, aber ums Überarbeiten/Ersetzen der Configs kommst Du langfristig wirklich nicht umhin.

[ddm3ve]

Was meinst Du mit externem oder internem Mailserver?
Es gibt da nur einen Mailserver.

-> Der wird ggf. nur ggf. per NAT die externe IP angesprochen.

Sprich, der sollte eigentlich gar nicht für die zuständige Empfänger relayen.
Das ist, was mich irritiert.
Geändeter / Neu ist dovecot mit sieve und amavisd zur spam und Viren Bekämpfung.


Vielleicht gehe ich dann doch mal den "Fallback" Mailserver an, mit komplett neuer Konfig.

Zu dem Block hätte ich noch die eine oder andere Frage:
postscreen_dnsbl_sites =
list.dnswl.org=127.0.[0..255].0*-2
list.dnswl.org=127.0.[0..255].1*-4
list.dnswl.org=127.0.[0..255].2*-6
list.dnswl.org=127.0.[0..255].3*-8
zen.spamhaus.org=127.0.0.9*25
zen.spamhaus.org=127.0.0.3*10
zen.spamhaus.org=127.0.0.2*5
zen.spamhaus.org=127.0.0.[4..7]*3
zen.spamhaus.org=127.0.0.[10..11]*3
swl.spamhaus.org*-10
bl.mailspike.net=127.0.0.2*10
bl.mailspike.net=127.0.0.10*5
bl.mailspike.net=127.0.0.11*4
bl.mailspike.net=127.0.0.12*3
bl.mailspike.net=127.0.0.13*2
bl.mailspike.net=127.0.0.14*1
wl.mailspike.net=127.0.0.16*-2
wl.mailspike.net=127.0.0.17*-4
wl.mailspike.net=127.0.0.18*-6
wl.mailspike.net=127.0.0.19*-8
wl.mailspike.net=127.0.0.20*-10

hast Du das Lokal aufgesetzt? Sprich läuft mailspike lokal, oder was haben die lokalen ips für eine Bedeutung?

[ddm3ve]

Mmmmh, trotz der anpassung für intern, mag er nicht. Gleiches Problem bei der lokalen zustellung.

[Joe User]

Die lokalen IPs sind die DNS-Rückgabewerte (Spamkategorie) der jeweiligen Blacklists und Whitelists und der Wert hinter dem * ist dann der jeweilige Spamscore für die Spamkategorie.
Wenn nach dem Abgleich der Blacklists und Whitelists ein Spamscrore von postscreen_dnsbl_threshold erreicht oder überschritten ist, dann wird die Mail direkt abgelehnt.

postscreen ersetzt also alle Deine rbl_* und kann gleichzeitig auch noch Whitelists wie dnswl.org, swl.spamhaus.org oder wl.mailspike.net abfragen und so false-positives deutlich reduzieren.
Das Ganze passiert transparent direkt im SMTP-Dialog, also noch bevor der Mailbody übertragen wird und ist damit rechtssicher, RFC-konform und ressourcenschonend erledigt.
Für Spamassassin und Co bleibt dann kaum noch Arbeit übrig.

[Joe User]

Ich bin davon ausgegangen dass Dein Netzwerk-Setup so aussieht:

Mailclient<-->Mailserver(DMZ/intern)<-->Mailserver(Gateway/extern)<-->Internet

[ddm3ve]

Nein,

Ich zeichne es etwas anders auf:

Code: Select all

<Mailclient>
          |
<Firewall NAT>
             | xx.xx.xx.(144)ext            | xx.xx.xx.(145)ext
 <Mailserver 1>                       <Mailserver 2. fallback>
             | 10.xx.xx.xx/24
<Webserver 1-N>

Sprich der Mailclient greift auf den Mailserver per NAT über die Firewall zu.

Die intern Server reifen per privatem Netz auf den Mailserver zu, als Relay Host.
Muss mir für den Fall gekaperter Webseiten natürlich noch Gedanken zur Spamfilterung machen.

Mailserver 1 ist der aktive und nur auf dem Host kommen die emails per cronjob etc. nicht an.
Von allen anderen Systemen aus, klappt alles wie es soll.

[Joe User]

OK, das macht das Ganze dann wirklich merkwürdig :(
Wie sehen denn die /etc/hosts und die /etc/aliases auf dem Mailserver aus?

[ddm3ve]

die hosts im Grunde wie folgt:

Code: Select all

127.0.0.1       localhost

# special IPv6 addresses
::1             localhost ipv6-localhost ipv6-loopback

fe00::0         ipv6-localnet

ff00::0         ipv6-mcastprefix
ff02::1         ipv6-allnodes
ff02::2         ipv6-allrouters
ff02::3         ipv6-allhosts

Auf dem alten System hatte ich z.B. die Domain / Host des Mailserver also

example.com mx.example.com mail.example.com auf die intern IP des Mailsever verwiesen.
Das hat er auf dem neuen System bemängelt, weil es ein privates Netz war.

die /etc/aliases wie folgt:

Code: Select all

root@mx.example.com         support@example.com
root@example.com            support@example.com
icinga@example.net         support@example.com
icinga@                         support@example.com
root                            support@example.com
wwwrun                          support@example.com
lighttpd                        support@example.com
wwwrun@example.com          support@example.com

Aber selbst, als ich diese mal leer hatte wollte es nicht.

[ddm3ve]

Über dig löst der Server auch richtig auf und es wird auch nicht von der Firewall falsch gesetzt.
Soweit als Nachtrag.

[Joe User]

Sieht auch sauber aus, damit gehen mir langsam echt die Ideen aus :(

[Joe User]

Da mir die Ideen ausgehen, werfe ich einfach mal ein paar Google-Treffer ins Spiel, vielleicht ist ja ein Jackpot dabei.

Könnte eventuell ein ähnlicher "Bug" bei Dir zutreffen: https://forums.zimbra.org/viewtopic.php ... 9&start=10
Oder noch simpler: https://bbs.archlinux.org/viewtopic.php?id=196326

[ddm3ve]

Hi,

danke erstmal.
Ich habe mir mit postconf auf dem Backup MX eine frische Installation die main.conf erstellt und werde auf der Basis meine bisherigen Einstellungen prüfen und übernehmen.

Ich bin mir ziemlich sicher, dass ich beim Aufbau des aktuellen Mailserver ähnlich vorgegangen bin. Denn das einfache kopieren, der Konfiguration von Postfix auf opensuse 42.3 auf Opensuse 15.1 bzw. vorher 15.0 hat so nicht funktioniert.
Daher kann sich natürlich auch ein wenig Altkram eingemogelt haben.

Btw. Postfix 3.20 vs. 3.3.1

[Joe User]

Hast Du auch nochmal die IPTables-Regeln gecheckt, wie es in dem Zimbra-Forum (siehe vorigen Post) steht?

[ddm3ve]

Hi, sieht zwar auf der Firewall etwas anders aus, aber die Verbindung kommt zustande.

Als ich das Anfangs in der hosts auf die IP des Hosts gesetzt habe, war er unzufrieden mit der internen IP. Hat also bemängelt, dass es von einem privaten _Netz kommt.

Stand jetzt baut er die Verbindung über die externe IP auf und verbindet sich quasi darüber wieder mit sich selbst.

[Joe User]

Wichtig in dem Zimbra-Forum war die Angabe des Interfaces in den DNAT-Regeln, wodurch dann das "loops back to myself" verschwand. Die Regeln selbst, funktionieren wohl auch ohne die Angabe, aber innerhalb von IPTables scheint es einen Unterschied zu machen.
Deshalb frage ich nochmal extra nach.

[ddm3ve]

Also die Systeme stehen ja alle im gleichen Netz.

Sprich der Alte und auch der Neue Mailserver.

Route sieht wie folgt aus:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.10.10.1 0.0.0.0 UG 0 0 0 em1
10.10.10.0 0.0.0.0 255.255.255.0 U 0 0 0 em1

Auf dem neuen sieht es genau gleich aus. (Ausgabe sieht anders aus)

target gateway source proto scope dev tbl
default 10.10.10.1 em1
10.10.10.0/ 24 10.10.10.10 kernel link em1

Firewall hat sich bisher nicht geändert, was aber stimmt, es kommt auf dem gleichen interface wieder rein....

[ddm3ve]

Hi,

also ich denke wir suchen falsch und es ist hier zu lösen:

/usr/sbin/postconf: warning: mysql:/etc/postfix/mysql_virtual_alias_maps.cf: unused parameter: hosts=

Er mag die mysql Geschichte nicht. Die Frage ist warum, der postfix_mysql teil ist installiert.


Achja, Konfiguration etc. passt. Habe es mit

postmap -q domain.tld mysql:/etc/postfix/mysql_virtual_alias_maps.cf

geprüft, das Ergebnis stimmt.

[Joe User]

Scheint, als ob auch Deine Postfixadmin Configuration auf den aktuellen Stand gebracht werden sollte:
https://github.com/postfixadmin/postfix ... X_CONF.txt

[ddm3ve]

Wegen dem Proxy?

Das hatte ich vorher, aus der bestehenden Konfiguration.
Leider bestand da schon das Problem, daher habe ich den Proxy raus genommen und mich an der Beispielkonfiguration aus der Distribution orientiert.

Also postconfig generiert es ohne proxy:mysql ...