问题[postfix](computer)

我的目标和问题

我想让我的 Lorex DVR 使用我的 Synology NAS MailPlus Server 发送电子邮件通知，但出现 TLS 连接失败，似乎是由于密码 (tls_post_process_client_hello：没有共享密码) 导致的。

什么有效

• MailPlus Server 可以通过 Outlook 客户端正常发送和接收我的常规电子邮件。
• 如果我将 DVR 配置为通过mail.com的 smtp 服务器发送邮件，则 DVR 能够通过 TLSv1.2 发送邮件通知。
• 如果我不使用 SSL/TLS，DVR 就能够通过端口 25 向我的 MailPlus 服务器发送通知（只要我在 MailPlus 中将其 IP 列入白名单）。
• 如果服务器使用自签名证书（带有 RSA 加密的 PKCS #1 SHA-256）而不是 Let's Encrypt（ECDSA）证书，则 DVR 能够使用 TLS 通过端口 587 向我的 MailPlus 服务器发送通知。

我的调查（自找到解决方案以来一直保留以供参考）

/volume1/@maillog/maillog

重要的部分是：“tls_post_process_client_hello：没有共享密码”

    postfix/smtpd[PID]: connect from DVR.mydomain.tld
    opendmarc[PID]: ignoring connection from DVR.mydomain.tld
    postfix/smtpd[PID]: connect from DVR.mydomain.tld[192.168.xxx.aaa]
    postfix/smtpd[PID]: SSL_accept error from DVR.mydomain.tld[192.168.xxx.aaa]: -1
    postfix/smtpd[PID]: warning: TLS library problem: error:1417A0C1:SSL routines:tls_post_process_client_hello:no shared cipher:ssl/statem/statem_srvr.c:2285:
    postfix/smtpd[PID]: lost connection after STARTTLS from DVR.mydomain.tld[192.168.xxx.aaa]
    postfix/smtpd[PID]: disconnect from DVR.mydomain.tld[192.168.xxx.aaa] ehlo=1 starttls=0/1 commands=1/2

我之前从未研究过 SSL 连接，但读了一些资料后，我了解到了密码的存在。

使用 Wireshark 分析 tcpdump .pcap 数据包捕获

DVR      SERVER TCP     74  38018 → 587 [SYN] Seq=0 Win=27200 Len=0 MSS=1360 SACK_PERM TSval=3847845792 TSecr=0 WS=128
SERVER   DVR    TCP     74  587 → 38120 [SYN, ACK] Seq=0 Ack=1 Win=14480 Len=0 MSS=1460 SACK_PERM TSval=685449855 TSecr=3859275362 WS=128
DVR      SERVER TCP     74  38120 → 587 [SYN] Seq=0 Win=27200 Len=0 MSS=1360 SACK_PERM TSval=3859275362 TSecr=0 WS=128
DVR      SERVER TCP     66  38120 → 587 [ACK] Seq=1 Ack=1 Win=27264 Len=0 TSval=3859275364 TSecr=685449855
SERVER   DVR    SMTP    94  S: 220 mydomain.tld ESMTP Postfix
DVR      SERVER TCP     66  38120 → 587 [ACK] Seq=1 Ack=29 Win=27264 Len=0 TSval=3859275732 TSecr=685450222
DVR      SERVER SMTP    82  C: EHLO localhost
SERVER   DVR    TCP     66  587 → 38120 [ACK] Seq=29 Ack=17 Win=14592 Len=0 TSval=685450225 TSecr=3859275732
SERVER   DVR    SMTP    215 S: 250-mydomain.tld | PIPELINING | SIZE 10485760 | ETRN | STARTTLS | ENHANCEDSTATUSCODES | 8BITMIME | DSN | SMTPUTF8 | CHUNKING
DVR      SERVER SMTP    76  C: STARTTLS
SERVER   DVR    SMTP    96  S: 220 2.0.0 Ready to start TLS
DVR      SERVER TLSv1.2 209 Client Hello
SERVER   DVR    TLSv1.2 73  Alert (Level: Fatal, Description: Handshake Failure)
DVR      SERVER TCP     66  38120 → 587 [FIN, ACK] Seq=170 Ack=215 Win=28288 Len=0 TSval=3859275742 TSecr=685450231
SERVER   DVR    TCP     66  587 → 38120 [FIN, ACK] Seq=215 Ack=171 Win=15616 Len=0 TSval=685450274 TSecr=3859275742
DVR      SERVER TCP     66  38120 → 587 [ACK] Seq=171 Ack=216 Win=28288 Len=0 TSval=3859275784 TSecr=685450274

DVR 在客户端 Hello 数据包中提出的密码套件

Cipher Suites (31 suites)
    Cipher Suite: TLS_DH_DSS_WITH_AES_256_GCM_SHA384 (0x00a5)
    Cipher Suite: TLS_DHE_DSS_WITH_AES_256_GCM_SHA384 (0x00a3)
    Cipher Suite: TLS_DH_RSA_WITH_AES_256_GCM_SHA384 (0x00a1)
    Cipher Suite: TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (0x009f)
    Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x006b)
    Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA256 (0x006a)
    Cipher Suite: TLS_DH_RSA_WITH_AES_256_CBC_SHA256 (0x0069)
    Cipher Suite: TLS_DH_DSS_WITH_AES_256_CBC_SHA256 (0x0068)
    Cipher Suite: TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x0039)
    Cipher Suite: TLS_DHE_DSS_WITH_AES_256_CBC_SHA (0x0038)
    Cipher Suite: TLS_DH_RSA_WITH_AES_256_CBC_SHA (0x0037)
    Cipher Suite: TLS_DH_DSS_WITH_AES_256_CBC_SHA (0x0036)
    Cipher Suite: TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
    Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
    Cipher Suite: TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
    Cipher Suite: TLS_DH_DSS_WITH_AES_128_GCM_SHA256 (0x00a4)
    Cipher Suite: TLS_DHE_DSS_WITH_AES_128_GCM_SHA256 (0x00a2)
    Cipher Suite: TLS_DH_RSA_WITH_AES_128_GCM_SHA256 (0x00a0)
    Cipher Suite: TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (0x009e)
    Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x0067)
    Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA256 (0x0040)
    Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA256 (0x003f)
    Cipher Suite: TLS_DH_DSS_WITH_AES_128_CBC_SHA256 (0x003e)
    Cipher Suite: TLS_DHE_RSA_WITH_AES_128_CBC_SHA (0x0033)
    Cipher Suite: TLS_DHE_DSS_WITH_AES_128_CBC_SHA (0x0032)
    Cipher Suite: TLS_DH_RSA_WITH_AES_128_CBC_SHA (0x0031)
    Cipher Suite: TLS_DH_DSS_WITH_AES_128_CBC_SHA (0x0030)
    Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
    Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA256 (0x003c)
    Cipher Suite: TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
    Cipher Suite: TLS_EMPTY_RENEGOTIATION_INFO_SCSV (0x00ff)

Synology OpenSSL 密码

我认为 Synology 上可能没有这些 TLSv1.2 密码，因此我尝试使用 openssl 进行检查：

me@my_server:~$ openssl ciphers -V | grep TLSv1.2 | sort
0x00,0x3C - AES128-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA256
0x00,0x3D - AES256-SHA256           TLSv1.2 Kx=RSA      Au=RSA  Enc=AES(256)  Mac=SHA256
0x00,0x67 - DHE-RSA-AES128-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(128)  Mac=SHA256
0x00,0x6B - DHE-RSA-AES256-SHA256   TLSv1.2 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA256
0x00,0x9C - AES128-GCM-SHA256       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(128) Mac=AEAD
0x00,0x9D - AES256-GCM-SHA384       TLSv1.2 Kx=RSA      Au=RSA  Enc=AESGCM(256) Mac=AEAD
0x00,0x9E - DHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(128) Mac=AEAD
0x00,0x9F - DHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=DH       Au=RSA  Enc=AESGCM(256) Mac=AEAD
0x00,0xA8 - PSK-AES128-GCM-SHA256   TLSv1.2 Kx=PSK      Au=PSK  Enc=AESGCM(128) Mac=AEAD
0x00,0xA9 - PSK-AES256-GCM-SHA384   TLSv1.2 Kx=PSK      Au=PSK  Enc=AESGCM(256) Mac=AEAD
0x00,0xAA - DHE-PSK-AES128-GCM-SHA256 TLSv1.2 Kx=DHEPSK   Au=PSK  Enc=AESGCM(128) Mac=AEAD
0x00,0xAB - DHE-PSK-AES256-GCM-SHA384 TLSv1.2 Kx=DHEPSK   Au=PSK  Enc=AESGCM(256) Mac=AEAD
0x00,0xAC - RSA-PSK-AES128-GCM-SHA256 TLSv1.2 Kx=RSAPSK   Au=RSA  Enc=AESGCM(128) Mac=AEAD
0x00,0xAD - RSA-PSK-AES256-GCM-SHA384 TLSv1.2 Kx=RSAPSK   Au=RSA  Enc=AESGCM(256) Mac=AEAD
0xC0,0x23 - ECDHE-ECDSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(128)  Mac=SHA256
0xC0,0x24 - ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AES(256)  Mac=SHA384
0xC0,0x27 - ECDHE-RSA-AES128-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(128)  Mac=SHA256
0xC0,0x28 - ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AES(256)  Mac=SHA384
0xC0,0x2B - ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(128) Mac=AEAD
0xC0,0x2C - ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=AESGCM(256) Mac=AEAD
0xC0,0x2F - ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(128) Mac=AEAD
0xC0,0x30 - ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH     Au=RSA  Enc=AESGCM(256) Mac=AEAD
0xCC,0xA8 - ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH     Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD
0xCC,0xA9 - ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH     Au=ECDSA Enc=CHACHA20/POLY1305(256) Mac=AEAD
0xCC,0xAA - DHE-RSA-CHACHA20-POLY1305 TLSv1.2 Kx=DH       Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD
0xCC,0xAB - PSK-CHACHA20-POLY1305   TLSv1.2 Kx=PSK      Au=PSK  Enc=CHACHA20/POLY1305(256) Mac=AEAD
0xCC,0xAC - ECDHE-PSK-CHACHA20-POLY1305 TLSv1.2 Kx=ECDHEPSK Au=PSK  Enc=CHACHA20/POLY1305(256) Mac=AEAD
0xCC,0xAD - DHE-PSK-CHACHA20-POLY1305 TLSv1.2 Kx=DHEPSK   Au=PSK  Enc=CHACHA20/POLY1305(256) Mac=AEAD
0xCC,0xAE - RSA-PSK-CHACHA20-POLY1305 TLSv1.2 Kx=RSAPSK   Au=RSA  Enc=CHACHA20/POLY1305(256) Mac=AEAD

以下密码是 Synology 和 Lorex DVR 所共有的

(0x003c) RSA_WITH_AES_128_CBC_SHA256
(0x003d) RSA_WITH_AES_256_CBC_SHA256
(0x0067) DHE_RSA_WITH_AES_128_CBC_SHA256
(0x006b) DHE_RSA_WITH_AES_256_CBC_SHA256
(0x009c) RSA_WITH_AES_128_GCM_SHA256
(0x009d) RSA_WITH_AES_256_GCM_SHA384
(0x009e) DHE_RSA_WITH_AES_128_GCM_SHA256
(0x009f) DHE_RSA_WITH_AES_256_GCM_SHA384

当 DVR 使用 mail.com SMTP 服务器成功发送通知时进行数据包捕获，显示 mail.com SSL 连接使用密码 RSA_WITH_AES_256_GCM_SHA384 (0x009d)。那么为什么不与 Synology MailPlus Server 一起使用呢？

我使用 openssl 检查了一下，可以使用以下命令为我的服务器和 mail.com 建立使用此密码的 starttls 连接

openssl s_client -tls1_2 -starttls smtp -crlf -connect smtp.mail.com:587 -ciphersuites 'TLS_RSA_WITH_AES_256_GCM_SHA384'
openssl s_client -tls1_2 -starttls smtp -crlf -connect smtp.mydomain.tld:587 -ciphersuites 'TLS_RSA_WITH_AES_256_GCM_SHA384'

我注意到，连接到 mail.com 的输出以“250 STARTTLS”结尾，而连接到我的域的输出以“250 CHUNKING”结尾。我不知道这是什么意思，不知道这是否正常。

Synology MailPlus Postfix

因此，我的注意力转向了邮件服务器。我尝试在 Synology 的 GUI 中将 TLS/SSL 配置文件级别设置为“旧向后兼容性”（控制面板->安全->高级），但行为没有任何变化。然后我了解到 postconf 会喷出 1,000 多个值...

尝试获取与密码相关的 Postfix 设置给了我以下信息：

me@my_server:/volume1/@appstore/MailPlus-Server/sbin$ ./postconf | grep -i cipher
lmtp_tls_ciphers = medium
lmtp_tls_exclude_ciphers =
lmtp_tls_mandatory_ciphers = medium
lmtp_tls_mandatory_exclude_ciphers =
milter_helo_macros = {tls_version} {cipher} {cipher_bits} {cert_subject} {cert_issuer}
smtp_tls_ciphers = medium
smtp_tls_exclude_ciphers =
smtp_tls_mandatory_ciphers = medium
smtp_tls_mandatory_exclude_ciphers =
smtpd_tls_ciphers = low
smtpd_tls_exclude_ciphers =
smtpd_tls_mandatory_ciphers = low
smtpd_tls_mandatory_exclude_ciphers =
smtpd_tls_no_renegotiate_ciphers = yes
tls_export_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:LOW:EXPORT:+RC4:@STRENGTH
tls_high_cipherlist = aNULL:-aNULL:HIGH:@STRENGTH
tls_low_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
tls_null_cipherlist = eNULL:!aNULL
tls_preempt_cipherlist = no
tls_session_ticket_cipher = aes-256-cbc
tlsproxy_tls_ciphers = $smtpd_tls_ciphers
tlsproxy_tls_exclude_ciphers = $smtpd_tls_exclude_ciphers
tlsproxy_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
tlsproxy_tls_mandatory_exclude_ciphers = $smtpd_tls_mandatory_exclude_ciphers

所以我看到密码 0x009d（AES256-GCM-SHA384）在 tls_low_cipherlist 中，并且 smtpd_tls_ciphers = low 和 smtpd_tls_mandatory_ciphers = low。

所以，我已经束手无策了，我想我应该在开始深入研究 postfix 如何工作之前问问是否有人可以帮助我，或者告诉我我走错了路。

回顾一下，为什么 TLS 连接没有建立？为什么没有共享密码？

我的环境：

• Synology DSM 7.1.1
• MailPlus 服务器 3.1.6-11332（Postfix 3.6.2）

Postfix 重新加载消息：

postfix[PID]: Postfix is running with backwards-compatible default settings
postfix[PID]: See http://www.postfix.org/COMPATIBILITY_README.html for details
postfix[PID]: To disable backwards compatibility use "postconf compatibility_level=3.6" and "postfix reload"
postfix/postfix-script[PID]: refreshing the Postfix mail system
postfix/master[PID]: reload -- version 3.6.2, configuration /var/packages/MailPlus-Server/target/etc

2025-03-16 根据 Grawity 的评论提供附加信息和测试

NAS 服务器证书是 ECDSA。

使用以下 DHE 密码测试 openssl 连接似乎有效，openssl 输出的结尾是 250 STARTTLS（DVR 没有 ECDHE 密码）

(0x0067) TLS_DHE_RSA_WITH_AES_128_CBC_SHA256  
(0x006b) TLS_DHE_RSA_WITH_AES_256_CBC_SHA256  
(0x009e) TLS_DHE_RSA_WITH_AES_128_GCM_SHA256  
(0x009f) TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

但是，这些都不在 Postfix 的 tls_low_cipherlist 中。

我们如何将其中至少一个密码添加到 Synology MailPlus 的 Postfix 配置中？

运行时postfix logrotate，我收到错误fatal: empty 'maillog_file' parameter value. logrotation failed.There is returned of logrotate the main.cf document但我不明白需要添加什么，或者这是否是解决方案所在。

我还尝试在 /etc/logrotate.d/ 中添加后缀文件，但这并没有解决问题。

在运行 Postfix 和 Dovecot 的 CentOS 7 机器上，如何在收件箱中创建名为“Bulk”的子文件夹？像'INBOX.Bulk'。

我想使用 maildirmake 命令，但这会返回“找不到 maildirmake 命令”。经过一番挖掘，似乎 maildirmake 在 RHEL 系统上不可用。那么如何为已经存在的邮箱创建子文件夹呢？

Debian 中的 Postfix 有一些设置配置的方法，例如：

myorigin = "foo"
myorigin = $myhostname
myorigin = /etc/mailname

看到它myorigin同时支持字符串和文件。

另一方面，smtpd_banner只支持一个字符串，如果你设置一个文件而不是你将文件名作为值，从字面上看。

由于我试图使用专用文件（例如易于通过管理脚本更新）使配置尽可能模块化，您在哪里可以找到所有接受Debian 文件的 Postfix 配置？

Postfix的虚拟别名表格式在某些条件下赋予前导空格特殊的含义：

multi-line text
     A  logical  line  starts  with  non-whitespace text. A line that
     starts with whitespace continues a logical line.

在此示例之后，我在这些文件中有很多条目。特别是对于多个不同的行，前缀a具有不同的长度。

# Some comment...
d@example.org           recipient
c.d@example.org         recipient
b.c.d@example.org       recipient
a.b.c.d@example.org     recipient
aa.b.c.d@example.org    recipient
aaa.b.c.d@example.org   recipient

为了使事情更具可读性，我希望使用以下相同条目的布局：

# Some comment...
        d@example.org recipient
      c.d@example.org recipient
    b.c.d@example.org recipient
  a.b.c.d@example.org recipient
 aa.b.c.d@example.org recipient
aaa.b.c.d@example.org recipient

或者有时使用不同顺序的相同方法。虽然，前一个例子在理论上会更常见。

# Some comment...
aaa.b.c.d@example.org recipient
 aa.b.c.d@example.org recipient
  a.b.c.d@example.org recipient
    b.c.d@example.org recipient
      c.d@example.org recipient
        d@example.org recipient

因此，真正的区别只是添加前导空格以使内容更具可读性。至少在第二个示例中，根据文档，前导空格将被识别为前几行的延续，这在我的情况下是错误的。

但是第一个例子是如何处理的呢？理论上从来没有起始逻辑行，但行也不是空的、空格或仅注释。

一般来说，有什么方法可以配置/...后缀，前导空格总是被忽略并且从不用于继续？

如果当前的 Postfix 实现根本不可能，我会接受。只是想确保我没有遗漏任何东西。

谢谢！

我们有一个在 Debian 10 上运行 Postfix (SMTP) 和 Dovecot (POP/IMAP) 的电子邮件服务器。用户不能直接登录它 (SSH)，但可以通过 NFS 访问他们的家。

我们想使用 Procmail 对被 SpamAssassin（X-Spam-Flag: YES标头）标记为垃圾邮件的邮件进行排序，并使用全局文件在每个用户的单独文件夹中/etc/procmailrc。这似乎很容易做到，如https://serverfault.com/questions/488044/send-spam-mail-to-a-special-folder-using-postfix所示，举个例子。

$HOME/.procmailrc问题是：出于安全原因，我们不想让我们的用户使用文件。有没有办法阻止 Procmail$HOME/.procmailrc为大多数用户激活，除了一些受信任的用户？

编辑：

考虑到三人组的回答，我可以编写一个/etc/procmailrc包含特权用户测试的文件（即允许拥有本地.procmailrc文件的用户），如下所示：

# /etc/procmailrc

# if the e-mail is flagged as spam, deliver it to $JUNK and stop
:0:
    * ^X-Spam-Flag: YES
    $JUNK

# if the user is NOT allowed to have a $HOME/.procmailrc,
# then deliver the message to the default mailbox and stop
:0W:
    # check whether the user is allowed to have a .procmailrc file
    * ! ? check_allowed_user $LOGNAME
    $DEFAULT

# else, do nothing (and $HOME/.procmailrc will be activated)

你认为这是要走的路吗？如果是这样，我只需要找到一种简单而可靠的方法来进行check_allowed_user测试。

我有邮件发送到我的 dovecot 收件箱，我可以看到有未读的电子邮件。如果我运行：

doveadm -f table mailbox status -u bob all INBOX

我得到：

mailbox messages recent uidnext uidvalidity unseen highestmodseq vsize guid                             firstsaved
INBOX   2        2      3       1581074875  2      3             37815 26782a22bb493d5e3e070000fb112bbd 1581074773

我如何阅读这些未读消息？

介绍

我最近在 Ubuntu 18.04.3 LTS 虚拟机上安装了postfix 3.3.0 。

为了测试安装，我使用了开箱即用的配置，这意味着我还没有更改任何内容。只有在安装过程中，我才选择Internet site并插入了我的 fqdn example.com。我希望能够在我的域之间发送和传递电子邮件。简单地说，一台服务器可以处理所有邮件。

假设我的域名是example.com.

发送

我可以成功发送电子邮件。我试图sendmail myemailaddress@gmail.com从我的服务器发送电子邮件。在我的 gmail 收件箱中，我可以看到发件人地址是ubuntu@example.com. 发送部分似乎一切正常。

接收

我还可以收到来自我测试过的一些地址的电子邮件。从登录日志可以看出/var/log/mail.log：

Nov 11 21:57:44 mail postfix/smtpd[24956]: connect from f175.i.mail.ru[94.100.178.161]
Nov 11 21:57:44 mail postfix/smtpd[24956]: EB5DA459A4: client=f175.i.mail.ru[94.100.178.161]
Nov 11 21:57:45 mail postfix/cleanup[24959]: EB5DA459A4: message-id=<1573509463.999760544@f175.i.mail.ru>
Nov 11 21:57:45 mail postfix/qmgr[24610]: EB5DA459A4: from=<myemailaddress@list.ru>, size=2917, nrcpt=1 (queue active)
Nov 11 21:57:45 mail postfix/local[24960]: EB5DA459A4: to=<ubuntu@example.com>, relay=local, delay=0.09, delays=0.08/0/0/0.01, dsn=2.0.0, status=sent (delivered to mailbox)
Nov 11 21:57:45 mail postfix/qmgr[24610]: EB5DA459A4: removed
Nov 11 21:57:45 mail postfix/smtpd[24956]: disconnect from f175.i.mail.ru[94.100.178.161] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7

问题是，我无法接收来自 gmail 的邮件。当我从我的 gmail 帐户向 发送电子邮件时ubuntu@example.com，几秒钟后，以下日志会出现在我的服务器中：

Nov 12 08:30:25 mail postfix/smtpd[28230]: connect from mail-wr1-f44.google.com[209.85.221.44]
Nov 12 08:30:25 mail postfix/smtpd[28230]: NOQUEUE: reject: RCPT from mail-wr1-f44.google.com[209.85.221.44]: 454 4.7.1 <ubuntu@example.com>: Relay access denied; from=<myemailaddress@gmail.com> to=<ubuntu@example.com> proto=ESMTP helo=<mail-wr1-f44.google.com>
Nov 12 08:30:25 mail postfix/smtpd[28230]: disconnect from mail-wr1-f44.google.com[209.85.221.44] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7

我想了解的是，这是我这边的配置问题，还是这个错误发生在 gmail 服务器中，然后转发到我的服务器让我知道？

我该如何尝试解决这个问题？

什么是最小、最干净的工作配置，我可以使用它来向所有其他外部邮件服务器发送和传递，就像普通邮件服务器一样可以工作？

编辑

根据要求，这里是/etc/postfix/main.cf：

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
mydomain = example.com
myhostname = mail.$mydomain
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $mydomain
mydestination = $myhostname, $mydomain, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

如您所见，到目前为止，我对默认配置所做的唯一mydomain更改是对、和变量myorigin，如上所示。问题完全一样。myhostnamemydestination

编辑 2

这是/etc/postfix/master.cf文件（我没有编辑它）：

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master" or
# on-line: http://www.postfix.org/master.5.html).
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       y       -       -       smtpd
#smtp      inet  n       -       y       -       1       postscreen
#smtpd     pass  -       -       y       -       -       smtpd
#dnsblog   unix  -       -       y       -       0       dnsblog
#tlsproxy  unix  -       -       y       -       0       tlsproxy
#submission inet n       -       y       -       -       smtpd
#  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_tls_auth_only=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#smtps     inet  n       -       y       -       -       smtpd
#  -o syslog_name=postfix/smtps
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       y       -       -       qmqpd
pickup    unix  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       y       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
        -o syslog_name=postfix/$service_name
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
retry     unix  -       -       y       -       -       error
discard   unix  -       -       y       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       y       -       1       anvil
scache    unix  -       -       y       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

我的疑问是，使用 RBL 代替反垃圾邮件程序是否太不同了？（如 SpamAssassin）

我有一个 Postfix + Dovecot 服务器，在 Postfix 中有一些 RBL，并且禁用了 SpamAssassin，因为它让我很挣扎。但是，然后我质疑仅在 RBL 中转播是否明智，或者是否有任何不同。我想这也可能取决于我使用的 RBL。

我目前有：

• zen.spamhaus.org
• bl.spamcop.net
• cbl.abuseat.org
• 组合.rbl.msrbl.net

并且曾经有 dnsbl.sorbs.net，但它阻止了一些我想要的非垃圾邮件。

我的 postfix 不会将 AUTH PLAIN 发送到传出中继服务器。它必须在几天前工作，但现在我收到“不允许中继”的退回邮件。

邮件系统使用 postfix、fetchmail 和 dovecot 在 Alpine Linux VM 中运行。Postfix 使用 Cyrus SASL 库，而不是 dovecot 库。

main.cf 的相关部分：

relayhost = [RELAY_HOST]
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/mailsrv/etc/postfix/sasl_passwd
smtp_sasl_security_options =

sasl_passwd：

[RELAY_HOST] USER:PASSWORD

我使用 tcpdump 捕获了一个传出会话，并且没有发送 AUTH PLAIN。我使用正确的 AUTH PLAIN 行测试了通过 telnet 手动发送邮件，它工作正常。

所以我的解释是，后缀在某些时候不会决定使用 SASL / AUTH PLAIN。

可能是什么问题呢？

权限应该没问题，postmap 已被调用，postfix 重新启动并重新加载，libsasl 已安装并且 postfix 报告已使用 cyrus 构建。我知道这是陈词滥调，但该系统几天前可以正常工作。某些证书到期是否可能是一个问题，我在日志中没有看到？