Perguntas[postfix](server)

No meu Raspberry Pi eu uso Postfix 3.7.11 e Dovecot 2.3.19.1 (9b53102964). Eu tenho um domínio válido mydomain.com . Eu emiti um certificado gratuito letsencrypt para seu subdomínio mail.mydomain.com e criei registros DNS no cloudfare. No meu roteador eu abri as portas 465 e 993 para os protocolos SMTP e IMAP. Para e-mail eu uso usuários do SO não virtuais

Verifiquei a porta telnet e o domínio e tudo parece bem. Também configurei o cliente thunderbird e consigo enviar e-mails com sucesso para qualquer serviço de e-mail e o e-mail vai para a pasta de renda (sem spam) porque adicionei registros SPF, DMARK e DKIM também.

Tenho problema apenas com o recebimento de e-mails de quaisquer serviços. Então o Gmail me dá um e-mail de feedback com texto:

O servidor do destinatário não aceitou nossas solicitações de conexão. Para obter mais informações, acesse https://support.google.com/mail/answer/7720 [mail.mydomain.com. [meu ip externo]: FAILED_PRECONDITION: erro de conexão (111): Conexão recusada]

Postei minha configuração sem comentários. Verifiquei se tudo parece bom. Mas algo deu errado. Obrigado.

/etc/postfix/main.cf

myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 3.6
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.mydomain.com-0001/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/mail.mydomain.com-0001/privkey.pem
smtpd_tls_security_level = encrypt
smtpd_tls_auth_only = yes
smtpd_tls_wrappermode = yes
smtpd_tls_loglevel = 1
smtpd_use_tls = yes
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
myhostname = mail.mydomain.com
mydomain = mydomain.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mydomain.com, mail.mydomain.com, localhost.localdomain, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
home_mailbox = Maildir/
maillog_file = /var/log/mail.log
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

/etc/dovecot/dovecot.conf

!include_try /usr/share/dovecot/protocols.d/*.protocol
!include conf.d/*.conf
!include_try local.conf
log_path = /var/log/dovecot.log
auth_verbose = yes
protocols = imap lmtp

/etc/dovecot/conf.d/10-ssl.conf

ssl = required
ssl_cert = </etc/letsencrypt/live/mail.mydomain.com-0001/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.mydomain.com-0001/privkey.pem
ssl_ca = </etc/letsencrypt/live/mail.mydomain.com-0001/chain.pem
ssl_client_ca_dir = /etc/ssl/certs
ssl_dh = </usr/share/dovecot/dh.pem

/etc/dovecot/conf.d/10-auth.conf

disable_plaintext_auth = yes
auth_username_format = %n
auth_mechanisms = plain login
!include auth-system.conf.ext

/etc/dovecot/conf.d/10-master.conf

service imap-login {
inet_listener imaps {
    port = 993
    ssl = yes
}
}
service pop3-login {
inet_listener pop3s {
    port = 995
    ssl = yes
}
}
service submission-login {
inet_listener submission {
}
}
service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
}
}
service auth {
    unix_listener /var/spool/postfix/private/auth {
        mode = 0666
        user = postfix
        group = postfix
    }
}

Estou usando o Postfix para canalizar e-mails de três domínios diferentes para um único domínio, assim:

/etc/postfix/virtual:

@domain1.de     [email protected]
@domain2.de     [email protected]
@domain3.de     [email protected]

Enviar um e-mail para [email protected]resulta no seguinte cabeçalho:

Delivered-To: [email protected]
Return-Path: <[email protected]>
<[email protected]>
Received: from v2.domain1.de by v2.domain1.de with LMTP id pX7HGJd6ZGcVgBIAGUxxBA (envelope-from <[email protected]>) for <[email protected]>; Thu, 19 Dec 2024 19:57:11 +0000
Received: from mba.domain1.de (home.domain1.de [1.2.3.4]) by v2.domain1.de (Postfix) with ESMTP id 5CF148A278 for <[email protected]>; Thu, 19 Dec 2024 19:57:11 +0000 (UTC)
Received: by mba.domain1.de (Postfix, from userid 501) id 29B953B98524; Thu, 19 Dec 2024 20:57:11 +0100 (CET)

O endereço catchall é exposto duas vezes. Como posso evitar isso, de preferência substituindo [email protected]pelo destinatário real [email protected]?

postconf -M :

smtp       inet  n       -       y       -       -       smtpd
submission inet  n       -       y       -       -       smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth
pickup     unix  n       -       y       60      1       pickup
cleanup    unix  n       -       y       -       0       cleanup
qmgr       unix  n       -       n       300     1       qmgr
tlsmgr     unix  -       -       y       1000?   1       tlsmgr
rewrite    unix  -       -       y       -       -       trivial-rewrite
bounce     unix  -       -       y       -       0       bounce
defer      unix  -       -       y       -       0       bounce
trace      unix  -       -       y       -       0       bounce
verify     unix  -       -       y       -       1       verify
flush      unix  n       -       y       1000?   0       flush
proxymap   unix  -       -       n       -       -       proxymap
proxywrite unix  -       -       n       -       1       proxymap
smtp       unix  -       -       y       -       -       smtp
relay      unix  -       -       y       -       -       smtp -o syslog_name=postfix/$service_name
showq      unix  n       -       y       -       -       showq
error      unix  -       -       y       -       -       error
retry      unix  -       -       y       -       -       error
discard    unix  -       -       y       -       -       discard
local      unix  -       n       n       -       -       local
virtual    unix  -       n       n       -       -       virtual
lmtp       unix  -       -       y       -       -       lmtp
anvil      unix  -       -       y       -       1       anvil
scache     unix  -       -       y       -       1       scache
postlog    unix-dgram n  -       n       -       1       postlogd
maildrop   unix  -       n       n       -       -       pipe flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp       unix  -       n       n       -       -       pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail     unix  -       n       n       -       -       pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp      unix  -       n       n       -       -       pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n       n       -       2       pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman    unix  -       n       n       -       -       pipe flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}

postconf -n :

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 3.6
inet_interfaces = all
inet_protocols = all
mailbox_command =
mailbox_size_limit = 0
mailbox_transport = lmtp:unix:private/dovecot-lmtp
message_size_limit = 52428800
mydestination = domain1.de,domain2.de,domain3.de,localhost
myhostname = v2.domain1.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter =
relayhost =
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_enforce_tls = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks permit_sasl_authenticated reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname
smtpd_recipient_restrictions = reject_invalid_hostname reject_unauth_pipelining reject_unauth_destination permit_mynetworks, permit_sasl_authenticated, check_recipient_access hash:/etc/postfix/rcpt_blacklist
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated reject_unknown_sender_domain reject_unknown_reverse_client_hostname reject_unknown_client_hostname
smtpd_tls_cert_file = /etc/letsencrypt/live/v2.domain1.de-0001/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/v2.domain1.de-0001/privkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
smtputf8_enable = no
virtual_maps = hash:/etc/postfix/virtual

Eu hospedo meu próprio servidor de e-mail usando postfix/dovecot. Recentemente, recebi alguns e-mails de "e-mail rejeitado" agindo como se meu servidor tivesse enviado spam de uma conta que não existe no meu servidor. Procurei por /var/log/mail.logquaisquer ocorrências desse nome de conta, ou o nome do servidor receptor, etc., mas não consegui encontrar nada. Então as possibilidades que posso pensar são:

1. esses são e-mails de rejeição falsos que estão sendo enviados para mim por algum motivo
2. Não estou procurando as coisas certas nos logs, ou não estou procurando os logs certos, etc.
3. De alguma forma meu servidor está enviando e-mail sem registrá-lo

Existe alguma maneira de realmente confirmar qual desses é o caso? Não quero que meu host fique bravo comigo por retransmitir spam sem saber

Para referência, tentei comandos como:

cat mail.log |grep -v "relay=local" |grep "relay=" |grep "status=sent"
cat mail.log | grep submission
grep -o 'to=<[^@]@.[^>]' /var/log/mail.log
cat mail.log | grep <HOST URL>
cat mail.log | grep <SENDER USER NAME>

Também adicionei default_transport = error: This server sends mail only locally.ao meu postfix/main.cfarquivo, o que supostamente desabilita todos os e-mails de saída, mas ainda recebi outro e-mail do tipo 'e-mail rejeitado' retornado no dia seguinte

Ubuntu 24.04.1 LTS, "postfix start" e "postfix stop" funcionam perfeitamente.

systemctl start postfix (sem resposta)

/var/log/syslog

2024-12-13T21:49:14.744589+01:00 aaa systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
2024-12-13T21:49:15.002726+01:00 aaa systemd[1]: [email protected]: Control process exited, code=exited, status=1/FAILURE
2024-12-13T21:49:15.003169+01:00 aaa systemd[1]: [email protected]: Failed with result 'exit-code'.
2024-12-13T21:49:15.004922+01:00 aaa systemd[1]: Failed to start [email protected] - Postfix Mail Transport Agent (instance -).

journalctl -xeu [email protected]

This looks like spam.

systemctl status postfix.service

systemctl status postfix.service
postfix.service - Postfix Mail Transport Agent
     Loaded: loaded (/usr/lib/systemd/system/postfix.service; enabled; preset: enabled)
     Active: active (exited) since Fri 2024-12-13 20:51:32 CET; 1h 1min ago
       Docs: man:postfix(1)
    Process: 960 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
   Main PID: 960 (code=exited, status=0/SUCCESS)
        CPU: 7ms

Dec 13 20:51:31 aaa systemd[1]: Starting postfix.service - Postfix Mail Transport Agent...
Dec 13 20:51:32 aaa systemd[1]: Finished postfix.service - Postfix Mail Transport Agent.

systemctl status [email protected]

[email protected] - Postfix Mail Transport Agent (instance -)
     Loaded: loaded (/usr/lib/systemd/system/[email protected]; enabled-runtime; preset: enabled)
     Active: failed (Result: exit-code) since Fri 2024-12-13 21:49:15 CET; 4min 48s ago
       Docs: man:postfix(1)
    Process: 2191 ExecStartPre=/usr/lib/postfix/configure-instance.sh - (code=exited, status=1/FAILURE)
        CPU: 246ms

Dec 13 21:49:14 aaa systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
Dec 13 21:49:15 aaa systemd[1]: [email protected]: Control process exited, code=exited, status=1/FAILURE
Dec 13 21:49:15 aaa systemd[1]: [email protected]: Failed with result 'exit-code'.
Dec 13 21:49:15 aaa systemd[1]: Failed to start [email protected] - Postfix Mail Transport Agent (instance -).

postfix check (sem resposta) = configuração ok

Tentei tudo sem os arquivos

/var/lib/postfix/master.lock
/var/spool/postfix/pid/master.pid

Eu tentei também inet_interfaces = ipv4 e #inet_interfaces = ipv4 nada muda.

Ajuda, obrigado

Então, do nada, meu servidor começou a rejeitar todos os e-mails recebidos e eu descobri que ele estava zen.spamhaus.orgbloqueando tudo por causa de uma resposta de "volume excessivo" de spamhaus.org:

2024-11-28T11:57:46.954637-07:00 mail postfix/smtpd[338]: NOQUEUE: reject: RCPT from mail-vk1-f177.google.com[209.85.221.177]: 554 5.7.1 Service unavailable; Client host [XX.XX.XX.XX] blocked using zen.spamhaus.org; Error: excess volume; https://check.spamhaus.org/returnc/vol/XX.XX.XX.XX/; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<mail-vk1-f177.google.com>

Eu zen.spamhaus.orgconfigurei como parte de alguns RBLs em smtpd_recipient_restrictions: reject_rbl_client zen.spamhaus.orge comentar isso "resolve" o problema, pois pelo menos os e-mails são entregues.

Então eu estava pensando se poderia haver uma maneira de olhar para o excess volumeerro, e se eu vir esse erro, então apenas passar/ignorar esse erro em vez de bloquear a entrega. Eu estava olhando os documentos do postfix, mas não consegui encontrar nada óbvio.

Parece que ele rbl_reply_mapstem acesso aos códigos de erro de retorno, mas não tenho certeza se ele tem a capacidade de substituir ou pular essa verificação rbl.

A default_rbl_replyopção de configuração serve principalmente para formatar uma mensagem de erro após o rbl rejeitá-la. Similarmente, maps_rbl_reject_codetambém parece apenas um mecanismo para traduzir para códigos de erro smtp específicos.

Estou esquecendo de algo? Parece que tem que haver uma maneira de personalizar o tratamento da resposta RBL e transformar rejeições específicas em uma "passagem" de algum tipo?

Configurei com sucesso Postfix + Dovecot + IMAP. E também instalei spamassassin, spamc, spamass-milter, e configurei imap_sieveo plugin para combater spam.

Saída de doveconf -n:

# 2.3.13 (89f716dc2): /etc/dovecot/dovecot.conf
# Pigeonhole version 0.5.13 (cdd19fe3)
# OS: Linux 5.10.0-33-amd64 x86_64 Debian 11.11 
# Hostname: mail.example.com
mail_debug = yes
mail_location = maildir:~/Maildir
mail_privileged_group = mail
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext imapsieve vnd.dovecot.imapsieve
namespace inbox {
  inbox = yes
  location = 
  mailbox Drafts {
    auto = no
    special_use = \Drafts
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox Spam {
    auto = subscribe
    special_use = \Junk
  }
  mailbox Trash {
    auto = subscribe
    special_use = \Trash
  }
  prefix = 
}
passdb {
  args = %s
  driver = pam
}
plugin {
  imapsieve_mailbox1_before = file:/var/lib/dovecot/sieve.d/default.sieve
  imapsieve_mailbox1_name = INBOX
  sieve_plugins = sieve_imapsieve
}
protocols = imap sieve
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0660
    user = postfix
  }
}
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}
ssl = required
ssl_cert = </etc/ssl/mail/domain.crt
ssl_key = # hidden, use -P to show it
userdb {
  driver = passwd
}
protocol imap {
  mail_max_userip_connections = 20
  mail_plugins = " imap_sieve"
}

Conteúdo de /var/lib/dovecot/sieve.d/default.sieve:

require "fileinto";

if header :contains "X-Spam-Flag" "YES" {
    fileinto "Spam";
    stop;
}

E testei minha configuração com:

# Executed from outside my network
wget https://spamassassin.apache.org/gtube/gtube.txt
swaks --to [email protected] --body gtube.txt

E funciona. O e-mail é marcado com sucesso como spam (evidente X-Spam-Flag: YESnos cabeçalhos). Mas o filtro Sieve não funciona como esperado. Ele deveria mover a mensagem para minha pasta "Spam", mas em vez disso ele copia a mensagem para a pasta "Spam", mas somente depois que eu abro a mensagem. A mensagem permanece dentro da CAIXA DE ENTRADA.

Como posso fazer para que a mensagem seja movida para a pasta "Spam" (não copiada)? E por que o filtro Sieve só funciona depois que eu abro a mensagem no meu cliente de e-mail?

No processo de migração do meu servidor de e-mail para um novo host. Uma das minhas dificuldades é que o OpenDKIM não está assinando e-mails de saída (não internos). Atualmente, meu TrustedHostsarquivo é o seguinte:

127.0.0.1
::1
localhost
*.example.com

(Onde example.com é meu domínio de e-mail.)

Estou enviando e-mail do meu cliente IMAP do meu telefone. Se eu adicionar o IP do meu telefone, a mensagem assina corretamente.

Vários tutoriais que vi executam esse layout, e é o que eu configurei até a migração. Eu realmente devo usar curinga em todos os hosts? Qual é a configuração recomendada?

Quero ter contas virtuais no Maildir, então descobri o seguintemain.cf

home_mailbox = Maildir/
virtual_mailbox_domains = mydomain.com
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

mas o e-mail é entregue no formato Mailbox e não no Maildir. O que estou fazendo de errado?

/etc/postfix/vmapsé:

[email protected] mydomain.com/test

Eu tenho um servidor de email (Debian 12, Postfix) com dois IPs IPv4 públicos para duas aplicações.

Devo enviar todos os e-mails de application AIP 1.2.3.4e application Bde IP 5.6.7.8.

Ambos os servidores de aplicativos possuem postfix local com retransmissão para meu servidor de email.

Como posso fazer isso facilmente?

Eu tenho os dois IPs definidos em master.cf:

127.0.0.1:25 inet n       -       n       -       -       smtpd
    -o smtp_bind_address=1.2.3.4
    -o smtp_helo_name=mail1.test.net
    -o content_filter=smtp-amavis:[127.0.0.1]:10024

127.0.0.1:2525 inet n     -       n       -       -       smtpd
    -o smtp_bind_address=5.6.7.8
    -o smtp_helo_name=mail2.test.net
    -o content_filter=smtp-amavis:[127.0.0.1]:10024

mas não tenho ideia de como resolver o mapeamento do app-IP.

Tentei usar portas diferentes (25 e 2525) - sem sucesso.

A segunda tentativa foi com usuários Linux - sem sucesso também.

Tentei mapear cabeçalhos:

# main.cf:
header_checks = regexp:/etc/postfix/header_checks

# /etc/postfix/header_checks:
/^X-Postfix-Transport: my_transport1/ FILTER smtp:[127.0.0.1]:25
/^X-Postfix-Transport: my_transport2/ FILTER smtp:[127.0.0.1]:2525

mas não tive sucesso.

Não preciso de nenhum login, usuários virtuais, ... Tenho os dois endereços dos servidores de aplicação mynetworkscomo segurança/limite.

O que realmente preciso é de uma solução direta para mapear o IP de envio de aplicativos.

Não consigo satisfazer as verificações HELO nos registros SPF em todos os casos. Eu tenho um registro SPF para meu domínio assim:

"v=spf1 mx -all"

Os registros MX na zona são:

mx0.mydomain.org.uk.          3600 IN A         1xx.xx.xx.59
mx0.mydomain.org.uk.          3600 IN AAAA      2001:xxx:x:xxx::3b
mx1.mydomain.org.uk.          3600 IN A         2xx.xx.xxx.201
mx1.mydomain.org.uk.          3600 IN AAAA      2a03:xxx:xx:xxx::2 

O nome do host (e PTR) do servidor de envio é mail.mydomain.org.uk. Seu IP é igual ao mx0.mydomain.org.uk. O nome HELO é mydomain.org.uk.

Posso fazer com que o HELO passe com o registro SPF acima:

SPF helo    header      Received-SPF: 

pass (mydomain.org.uk: 1xx.xx.xx.59 is authorized to use 'mydomain.org.uk' in 'helo' identity (mechanism 'mx' matched)) 

receiver=ts11-do.checktls.com; identity=helo; helo=mydomain.org.uk; client-ip=1xx.xx.xx.59

No entanto, alguns verificadores não gostam disso e dizem que não conseguem encontrar um registro A para o remetente mydomain.org.uk. Mas se eu alterar o HELO para mx0.mydomain.org.ukI, ocorrerá uma falha devido a "nenhuma política de remetente aplicável disponível":

SPF helo    header      Received-SPF: 

none (mx0.mydomain.org.uk: No applicable sender policy available) receiver=ts11-do.checktls.com; identity=helo; helo=mx0.mydomain.org.uk; client-ip=1xx.xx.xx.59

SPF helo    local       mx0.mydomain.org.uk: No applicable sender policy available

Como posso satisfazer ambas as verificações?