Client host rejected: Access denied

Lord_Icon

Lord_Icon

Member
Hi,

ein Bekannter kann mir keine Emails senden.
ER (mein Bekannter) bekommt folgende Email zurück

Code: 
Zustellungsfehlerbericht 
Ihre Nachricht:	Testmail
wurde nicht zugestellt an:	info@meine-Domain.de

weil:	Error transferring to mail.meine-Serverdomain.DE; SMTP Protocol Returned a Permanent Error 554 5.7.1 <cetmailgw1.cetteleport.net[212.110.252.24]>: Client host rejected: Access denied

In MEINEN Log hab ich nun danach gesucht und folgendes gefunden:
Code: 
Jan  8 09:39:15 mailserver postfix/smtps/smtpd[6368]: connect from cetmailgw1.cetteleport.net[212.110.252.24]
Jan  8 09:39:16 mailserver postfix/smtps/smtpd[6368]: NOQUEUE: reject: RCPT from cetmailgw1.cetteleport.net[212.110.252.24]: 554 5.7.1 <cetmailgw1.cetteleport.net[212.110.252.24]>: Client host rejected: Access denied; from=<Mike.*@onlime.com> to=$
Jan  8 09:39:16 mailserver postfix/smtps/smtpd[6368]: disconnect from cetmailgw1.cetteleport.net[212.110.252.24]

Weiß einer Rat warum mein Server die Email ablehnt ?
 
Der Inhalt deiner master.cf und der Output von
Code: 
postconf -n
wären zur Analyse sehr nützlich.

Gruss
 
Ohh.. da hat ja schon jm. geantwortet.

Ja klar.. gern.
SSL ist ein gültiges SSL Zertifikat. NICHT Selbstsigniert

Code: 
alias_database = hash:/etc/aliases, hash:/etc/postfix/ksaliases
alias_maps = hash:/etc/aliases, hash:/etc/postfix/ksaliases
append_dot_mydomain = no
biff = no
bounce_size_limit = 1000
bounce_template_file = /etc/postfix/bounce-templates/bounce.de-DE.cf
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = amavis:[127.0.0.1]:10024
default_process_limit = 200
home_mailbox = /var/mail/%u/new/
inet_interfaces = all
mail_spool_directory = /var/mail/%u
mailbox_command = /usr/lib/dovecot/deliver -a "${ORIGINAL_RECIPIENT}"
mailbox_size_limit = 0
message_size_limit = 0
mydestination = mail.meine-Serverdomain.de, localhost, localhost.localdomain
myhostname = mail.meine-Serverdomain.de
mynetworks = 123.123.123.123 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = mail.meine-Serverdomain.de
readme_directory = no
receive_override_options = no_address_mappings
recipient_delimiter = +
relayhost =
smtp_bind_address = 123.123.123.123
smtp_tls_CAfile = /etc/ssl/mail.meine-Serverdomain.ca-bundle	
smtp_tls_loglevel = 1
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access,
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_delay_reject = yes
smtpd_hard_error_limit = 4
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts, check_helo_access hash:/etc/postfix/access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unauth_pipelining
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = reject_non_fqdn_sender, permit_mynetworks, permit_sasl_authenticated, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_unauth_destination, reject_unauth_pipelining
smtpd_tls_CAfile = /etc/ssl/meine-Serverdomain.ca-bundle
smtpd_tls_cert_file = /etc/ssl/mail.meine-Serverdomain.de.crt
smtpd_tls_key_file = /etc/ssl/mail.meine-Serverdomain.de.key
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
strict_rfc821_envelopes = yes
virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps
virtual_gid_maps = hash:/etc/postfix/virtual_gid_maps
virtual_mailbox_base = /var/spool/mail
virtual_mailbox_domains = /etc/postfix/virtual_mailbox_domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = hash:/etc/postfix/virtual_mailbox_maps
virtual_overquota_bounce = yes
virtual_uid_maps = hash:/etc/postfix/virtual_uid_maps
 
Jan 8 09:39:16 mailserver postfix/smtps/smtpd[6368]: NOQUEUE: reject: RCPT from cetmailgw1.cetteleport.net[212.110.252.24]: 554 5.7.1 <cetmailgw1.cetteleport.net[212.110.252.24]>: Client host rejected: Access denied; from=<Mike.*@onlime.com> to=$
Click to expand...

Poste einmal die komplette Zeile dis ist beim '$' abgeschnitten
 
ohh.. Tatsche. Da war mein Monitor zuende. in der nano ansicht gabs nincht mehr zu kopieren.

mittels grep -R konnte ich aber den Rest rausbekommen

Code: 
Client host rejected: Access denied; from=<Mike.*@onlime.com> to=<info@meine-domain.de> proto=ESMTP helo=<cetmailgw1.cetteleport.net>

Aber da ist ja auch niht mehr entnehmbar.
 
smtpd_client_restrictions = check_client_access hash:/etc/postfix/access,
Click to expand...

Die Zeile in deiner main.cf sieht unvollständig aus (aus versehen etwas gelöscht oder so) die hört normalerweise nicht mit einem Komma auf.
 
Hi Steffen,

gelöscht ist da nix. postconf hat das so ausgegeben.
Die main.cf sieht ein wenig anders aus

Code: 
# CHECK CLIENT HOST
smtpd_client_restrictions =
 check_client_access hash:/etc/postfix/access,
 #reject_multi_recipient_bounce

Ist also so korrekt. Nur sollte das ja nicht ne eingehende Mail ablehnen.
Der Fehler ist soooo ätzend nichtsaussagend. Das kann alles mögliche sein.
Nur find ich nix. :(
 
Nimm das Komma mal raus, das gehört da nicht hin, weil der folgende Teil auskommentiert ist. Poste außerdem mal den Inhalt deiner /etc/postfix/access
 
uff... lang ist es her, wo ich das aufgesetzt hab.

Ich glaube mich erinneren zu wollen, dass
127 die kurzform für 127.0.0.1 (oder localhost) ist... und das dahin alles weitergeleitet (relay) werden soll.

Da du das ganze nun aber hinterfragst, bin ich mir dessen aber nicht mehr sicher. Prinzipell funzt ja auch alles. Gmail,gmx,web etc. die können alle senden. Nur bei diese ausländischen Firma.

Nachtrag: Ich bekomme heute eine Test-email von dieser Firma wo ich mir selbst eine Email senden kann und das in den Logs weiter verfolgen kann.

in der master.cf werd ich das Logging mal auf "smtpd -vvv" erhöhen und schaun, ob noch mehr Informationen rauszuquetschen sind.
Kann ich noch was einstellen/anheben, was euch bei der Hilfestellung unterstützen könnte ?
 
Ich glaube es gefunden zu haben.

Ich habe mal den Absender geprüft:
http://mxtoolbox.com/SuperTool.aspx?action=smtp:cetmailgw1.cetteleport.net&run=toolpage

Dieser hat offensichtlich kein SSL/TLS.
WENN dem so ist... dann macht der Fehler "SMTP Protocol Returned a Permanent Error 554" doch auch wieder Sinn. Wobei ich mir hier einen besseren (Mehraussagenden) Fehlertext gewünscht hätte.

Frage: Seht Ihr das auch so ?

Configfrage: Sollte ich postfix nun so umbauen, dass er auch ohne SSL/TLS Emails annimmt oder laufe ich da in irgendwelchen Gefahren/Problemen ???

Danke
 
Da kann es eigentlich nicht dran liegen, denn in der Ausgabe von postconf steht:
Code: 
smtpd_tls_security_level = may
Und das ist IMHO auch OK so, denn wenn ein sendender Mailserver keine Verschlüsselung kann, würdest du ihn sonst aussperren und könntest von dort keine Mails mehr empfangen. Sofern du die Einstellung in der master.cf nicht für den smtpd-Eintrag überschreibst, kann eine fehlende Verschlüsselung also nicht die Ursache für den Fehler sein.
BTW: für den Submission-Port kann es aber sehr wohl Sinn machen, die o.g. Einstellung in der master.cf von may auf encrypt zu ändern (sprich Verschlüsselung erzwingen).
Deine /etc/postfix/access ist meiner Meinung nach relativ sinnfrei - da es die einzige Regel bei den smtpd_client_restrictions ist, kommentier die mal komplett aus.
 
Die /etc/postfix/access bitte entsorgen und solange Du da auf Fehlersuche bist bitte auch amavis rauswerfen.
Insgesamt lässt sich vorab schon sagen, dass die gesamte main.cf und vermutlich auch die master.cf komplett überarbeitet werden müssen.

Wozu fummelst Du da an bounce*, default_process_limit, smtpd_hard_error_limit rum?

Die smtpd_*_restrictions könnten auch optimaler sein, in etwa so:
Code: 
smtpd_client_restrictions =
  sleep 1,
  permit
smtpd_data_restrictions =
  reject_unauth_pipelining,
  reject_multi_recipient_bounce,
  permit
smtpd_end_of_data_restrictions =
  permit
smtpd_etrn_restrictions =
  reject
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  permit
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit
smtpd_relay_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  defer_unauth_destination,
  permit
smtpd_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit

Mal so als Basis/Denkanstoss meine Standard-main.cf und Standard-master.cf, welche Du aber nicht 1:1 übernehmen kannst:
Code: 
always_add_missing_headers = yes
allow_percent_hack = no
biff = no
compatibility_level = 2
data_directory = /data/db/postfix
disable_vrfy_command = yes
dovecot_destination_recipient_limit = 1
enable_long_queue_ids = yes
home_mailbox = .maildir/
inet_interfaces = all
inet_protocols = all
local_header_rewrite_clients = permit_mynetworks, permit_sasl_authenticated
mail_spool_directory = /data/vmail
mailbox_size_limit = 0
masquerade_domains = $mydomain
masquerade_exceptions = root, mailer-daemon
message_size_limit = 0
mydestination = $myhostname, localhost.$mydomain, localhost
mydomain = example.org
myhostname = mail.$mydomain
mynetworks_style = host
notify_classes = data, protocol, resource, software
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites =
  zen.spamhaus.org*3
  bl.mailspike.net*3
  ix.dnsbl.manitu.net*2
  bl.spameatingmonkey.net*1
  cbl.abuseat.org*1
  bl.spamcop.net*1
  swl.spamhaus.org*-10
  wl.mailspike.net*-10
postscreen_dnsbl_threshold = 5
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
queue_directory = /data/spool/postfix
recipient_delimiter = +
remote_header_rewrite_domain = domain.invalid
show_user_unknown_table_name = no
smtp_dns_support_level = enabled
smtp_tls_CAfile = /usr/local/share/certs/ca-root-nss.crt
smtp_tls_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtp_tls_loglevel = 1
smtp_tls_mandatory_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_client_port_logging = yes
smtpd_client_restrictions =
  sleep 1,
  permit
smtpd_data_restrictions =
  reject_unauth_pipelining,
  reject_multi_recipient_bounce,
  permit
smtpd_end_of_data_restrictions =
  permit
smtpd_etrn_restrictions =
  reject
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  permit
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  check_recipient_mx_access cidr:${config_directory}/mx_access,
  check_recipient_access pcre:${config_directory}/recipient_checks.pcre,
  permit
smtpd_relay_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  defer_unauth_destination,
  permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit
smtpd_tls_CAfile = /data/pki/ca/component-ca-chain.pem
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /data/pki/certs/mail.example.org.crt
smtpd_tls_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtpd_tls_key_file = /data/pki/private/mail.example.org.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_exclude_ciphers = RC4, eNULL, aNULL, MEDIUM, LOW, EXP
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
strict_rfc821_envelopes = yes
tls_daemon_random_bytes = 64
tls_high_cipherlist = EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EECDH+3DES EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 EDH+3DES
tls_medium_cipherlist = EECDH+CHACHA20 EECDH+AESGCM EECDH+AES256 EECDH+AES128 EECDH+3DES EDH+CHACHA20 EDH+AESGCM EDH+AES256 EDH+AES128 EDH+3DES AESGCM AES256 AES128 3DES
tls_preempt_cipherlist = yes
tls_random_bytes = 64
tls_ssl_options = NO_COMPRESSION
unknown_local_recipient_reject_code = 450
virtual_alias_domains = hash:${config_directory}/virtual_alias_domains
virtual_alias_maps = hash:${config_directory}/virtual_alias_maps
virtual_gid_maps = static:5000
virtual_mailbox_base = /data/vmail
virtual_mailbox_domains = hash:${config_directory}/virtual_mailbox_domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = hash:${config_directory}/virtual_mailbox_maps
virtual_minimum_uid = 5000
virtual_transport = dovecot
virtual_uid_maps = static:5000
Code: 
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
#smtp      inet  n       -       n       -       -       smtpd
smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
dnsblog   unix  -       -       n       -       0       dnsblog
tlsproxy  unix  -       -       n       -       0       tlsproxy
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       n       -       -       smtpd
#  -o syslog_name=postfix/smtps
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       n       -       -       qmqpd
pickup    unix  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
retry     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
#maildrop  unix  -       n       n       -       -       pipe
#  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
#
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
#uucp      unix  -       n       n       -       -       pipe
#  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# ====================================================================
#
# Other external delivery methods.
#
#ifmail    unix  -       n       n       -       -       pipe
#  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
#
#bsmtp     unix  -       n       n       -       -       pipe
#  flags=Fq. user=bsmtp argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
#
#scalemail-backend unix -       n       n       -       2       pipe
#  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store
#  ${nexthop} ${user} ${extension}
#
#mailman   unix  -       n       n       -       -       pipe
#  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
#  ${nexthop} ${user}
#
dovecot   unix  -       n       n       -       -       pipe
   flags=DRhu user=vmail:vmail argv=/usr/local/libexec/dovecot/dovecot-lda
   -f ${sender} -a ${recipient} -d ${user}@${nexthop}
 
oki. Die access hab ich erstmal rausgenommen.

@danton submission verwende ich. Das ist korrekt. Da biege ich es auch um auf encrypt.

Meine master sieht wie folgt aus.

Code: 
cat /etc/postfix/master.cf

smtp      inet  n       -       -       -       -       smtpd -vvv
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
smtps     inet  n       -       -       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache


maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}

uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)

ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}





amavis unix - - - - 2 smtp
        -o smtp_data_done_timeout=1200
        -o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o mynetworks=127.0.0.0/8
        -o strict_rfc821_envelopes=yes
        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks

Amavis werd ich morgen mal durchtesten. Ich denke aber nicht, dass es daran liegen kann. Er baut ja nicht mal ne Verbindung auf. Amavis kommt ja fast zum schluß zum tragen. Da MUß ich zwangsweise in den Logs schon mal minimal ne HELO oder ähnlich bekommen haben.

Dein Vorschlag mit den Überarbeiteten smtpd_*_restrictions schau ich mir morgen mal an. Bzwl. vergleiche erstmal, was du rausgelöscht hast und damit für unsinnig gehalten hast. Man will ja auch lernen ;-)
 
Joe User said:
Wozu fummelst Du da an bounce*, default_process_limit, smtpd_hard_error_limit rum?
[/code]
Click to expand...

Laut meinen kommentare waren das mal alte (mitgeschleppte) Einträge aus vergangenen Jahren (meist aus 2004).

default_process_limit stand ja auf 200... default ist 100.
Ist also nicht gravierend, sofern der Server Leistungsstark genug ist. (ist jetzt aber raus)

smtpd_hard_error_limit stand auf 4 .... default ist 10
HIER könnte ich vlt. den Schuligen sehen. Wobei abder der Absender wenigsten 4 SMTP Fehler haben darf, bevor er abgelehnt wird. Da ich nur eine Zeile habe (und das bei höchsten Log-Level) dürfte es das eigendlich auch nicht sein. Dann müsten ja minde. 3 weitere Log-Fehler-Zeilen vorhanden sein. (ist jetzt aber raus)

bounce_size_limit = 1000 default ist 50.000
War wohl mal in 2004 eine Gegenmaßnahme gegen DDOS-Attacken. Nunja.... entfernt. http://www.heise.de/security/artikel/Angriff-via-Mail-271258.html

Das lass ich mir aber. Ist ja nur ein Deutscher Zusatz. Englisch wird ja weiterhin mitausgeliefert.
bounce_template_file = /etc/postfix/bounce-templates/bounce.de-DE.cf
 
@Joe User

Du hast verschiedene restriction-Regeln vorgeschlagen, die ich mir nun mal angeschaut habe.

smtpd_sender_restrictions ist mir hier besonders in Auge gefallen.

Dein Vorschlag:
Code: 
smtpd_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit

Meine Beschränkungen gehen aber weit darüber hinaus.
Code: 
smtpd_sender_restrictions =
 reject_non_fqdn_sender,
[COLOR="Red"] permit_mynetworks,
 permit_sasl_authenticated,
 reject_unknown_recipient_domain,[/COLOR]
 reject_unknown_sender_domain,
[COLOR="Red"] reject_unauth_destination,
 reject_unauth_pipelining
[/COLOR]
In rot, dass was bei dir fehlend ist. Da ich noch viele Altlasten drin hab, ist es nun fraglich, ob die eine oder andere Beschränkung dort überhaupt noch Sinn macht. Besonders permit_sasl_authenticated sehe ich als Fragwürdig an.
Wie siehst du das ?
Danke


Nachtrag:
Mach mal "postconf -d mail_version"
mail_version = 2.9.6 <= hab ich.

Übernehme ich deine restriction erhalte ich:
Code: 
[....] Stopping Postfix Mail Transport Agent: postfix/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination, permit
. ok
[....] Starting Postfix Mail Transport Agent: postfixpostconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination, permit

postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination, permit

/usr/sbin/postconf: warning: /etc/postfix/main.cf: unused parameter: smtpd_relay_restrictions=permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination, permit
Entferne ich die smtpd_relay_restrictions startet postfix sauber.


EDIT 2: Passt. Du scheinst eine Version von >= 2.10 zu haben. Ab da scheint dieser Befehl drin zu sein. Ich schau mal, ob n Update da ist...
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top