Perguntas[postfix](server)

Estou usando o Postfix para canalizar e-mails de três domínios diferentes para um único domínio, assim:

/etc/postfix/virtual:

@domain1.de     [email protected]
@domain2.de     [email protected]
@domain3.de     [email protected]

Enviar um e-mail para [email protected]resulta no seguinte cabeçalho:

Delivered-To: [email protected]
Return-Path: <[email protected]>
<[email protected]>
Received: from v2.domain1.de by v2.domain1.de with LMTP id pX7HGJd6ZGcVgBIAGUxxBA (envelope-from <[email protected]>) for <[email protected]>; Thu, 19 Dec 2024 19:57:11 +0000
Received: from mba.domain1.de (home.domain1.de [1.2.3.4]) by v2.domain1.de (Postfix) with ESMTP id 5CF148A278 for <[email protected]>; Thu, 19 Dec 2024 19:57:11 +0000 (UTC)
Received: by mba.domain1.de (Postfix, from userid 501) id 29B953B98524; Thu, 19 Dec 2024 20:57:11 +0100 (CET)

O endereço catchall é exposto duas vezes. Como posso evitar isso, de preferência substituindo [email protected]pelo destinatário real [email protected]?

postconf -M :

smtp       inet  n       -       y       -       -       smtpd
submission inet  n       -       y       -       -       smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_relay_restrictions=permit_sasl_authenticated,reject -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth
pickup     unix  n       -       y       60      1       pickup
cleanup    unix  n       -       y       -       0       cleanup
qmgr       unix  n       -       n       300     1       qmgr
tlsmgr     unix  -       -       y       1000?   1       tlsmgr
rewrite    unix  -       -       y       -       -       trivial-rewrite
bounce     unix  -       -       y       -       0       bounce
defer      unix  -       -       y       -       0       bounce
trace      unix  -       -       y       -       0       bounce
verify     unix  -       -       y       -       1       verify
flush      unix  n       -       y       1000?   0       flush
proxymap   unix  -       -       n       -       -       proxymap
proxywrite unix  -       -       n       -       1       proxymap
smtp       unix  -       -       y       -       -       smtp
relay      unix  -       -       y       -       -       smtp -o syslog_name=postfix/$service_name
showq      unix  n       -       y       -       -       showq
error      unix  -       -       y       -       -       error
retry      unix  -       -       y       -       -       error
discard    unix  -       -       y       -       -       discard
local      unix  -       n       n       -       -       local
virtual    unix  -       n       n       -       -       virtual
lmtp       unix  -       -       y       -       -       lmtp
anvil      unix  -       -       y       -       1       anvil
scache     unix  -       -       y       -       1       scache
postlog    unix-dgram n  -       n       -       1       postlogd
maildrop   unix  -       n       n       -       -       pipe flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp       unix  -       n       n       -       -       pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail     unix  -       n       n       -       -       pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp      unix  -       n       n       -       -       pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n       n       -       2       pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman    unix  -       n       n       -       -       pipe flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}

postconf -n :

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 3.6
inet_interfaces = all
inet_protocols = all
mailbox_command =
mailbox_size_limit = 0
mailbox_transport = lmtp:unix:private/dovecot-lmtp
message_size_limit = 52428800
mydestination = domain1.de,domain2.de,domain3.de,localhost
myhostname = v2.domain1.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter =
relayhost =
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_loglevel = 1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_enforce_tls = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks permit_sasl_authenticated reject_invalid_helo_hostname reject_non_fqdn_helo_hostname reject_unknown_helo_hostname
smtpd_recipient_restrictions = reject_invalid_hostname reject_unauth_pipelining reject_unauth_destination permit_mynetworks, permit_sasl_authenticated, check_recipient_access hash:/etc/postfix/rcpt_blacklist
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_sender_restrictions = permit_mynetworks permit_sasl_authenticated reject_unknown_sender_domain reject_unknown_reverse_client_hostname reject_unknown_client_hostname
smtpd_tls_cert_file = /etc/letsencrypt/live/v2.domain1.de-0001/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/v2.domain1.de-0001/privkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
smtputf8_enable = no
virtual_maps = hash:/etc/postfix/virtual

Eu hospedo meu próprio servidor de e-mail usando postfix/dovecot. Recentemente, recebi alguns e-mails de "e-mail rejeitado" agindo como se meu servidor tivesse enviado spam de uma conta que não existe no meu servidor. Procurei por /var/log/mail.logquaisquer ocorrências desse nome de conta, ou o nome do servidor receptor, etc., mas não consegui encontrar nada. Então as possibilidades que posso pensar são:

1. esses são e-mails de rejeição falsos que estão sendo enviados para mim por algum motivo
2. Não estou procurando as coisas certas nos logs, ou não estou procurando os logs certos, etc.
3. De alguma forma meu servidor está enviando e-mail sem registrá-lo

Existe alguma maneira de realmente confirmar qual desses é o caso? Não quero que meu host fique bravo comigo por retransmitir spam sem saber

Para referência, tentei comandos como:

cat mail.log |grep -v "relay=local" |grep "relay=" |grep "status=sent"
cat mail.log | grep submission
grep -o 'to=<[^@]@.[^>]' /var/log/mail.log
cat mail.log | grep <HOST URL>
cat mail.log | grep <SENDER USER NAME>

Também adicionei default_transport = error: This server sends mail only locally.ao meu postfix/main.cfarquivo, o que supostamente desabilita todos os e-mails de saída, mas ainda recebi outro e-mail do tipo 'e-mail rejeitado' retornado no dia seguinte

Ubuntu 24.04.1 LTS, "postfix start" e "postfix stop" funcionam perfeitamente.

systemctl start postfix (sem resposta)

/var/log/syslog

2024-12-13T21:49:14.744589+01:00 aaa systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
2024-12-13T21:49:15.002726+01:00 aaa systemd[1]: [email protected]: Control process exited, code=exited, status=1/FAILURE
2024-12-13T21:49:15.003169+01:00 aaa systemd[1]: [email protected]: Failed with result 'exit-code'.
2024-12-13T21:49:15.004922+01:00 aaa systemd[1]: Failed to start [email protected] - Postfix Mail Transport Agent (instance -).

journalctl -xeu [email protected]

This looks like spam.

systemctl status postfix.service

systemctl status postfix.service
postfix.service - Postfix Mail Transport Agent
     Loaded: loaded (/usr/lib/systemd/system/postfix.service; enabled; preset: enabled)
     Active: active (exited) since Fri 2024-12-13 20:51:32 CET; 1h 1min ago
       Docs: man:postfix(1)
    Process: 960 ExecStart=/bin/true (code=exited, status=0/SUCCESS)
   Main PID: 960 (code=exited, status=0/SUCCESS)
        CPU: 7ms

Dec 13 20:51:31 aaa systemd[1]: Starting postfix.service - Postfix Mail Transport Agent...
Dec 13 20:51:32 aaa systemd[1]: Finished postfix.service - Postfix Mail Transport Agent.

systemctl status [email protected]

[email protected] - Postfix Mail Transport Agent (instance -)
     Loaded: loaded (/usr/lib/systemd/system/[email protected]; enabled-runtime; preset: enabled)
     Active: failed (Result: exit-code) since Fri 2024-12-13 21:49:15 CET; 4min 48s ago
       Docs: man:postfix(1)
    Process: 2191 ExecStartPre=/usr/lib/postfix/configure-instance.sh - (code=exited, status=1/FAILURE)
        CPU: 246ms

Dec 13 21:49:14 aaa systemd[1]: Starting [email protected] - Postfix Mail Transport Agent (instance -)...
Dec 13 21:49:15 aaa systemd[1]: [email protected]: Control process exited, code=exited, status=1/FAILURE
Dec 13 21:49:15 aaa systemd[1]: [email protected]: Failed with result 'exit-code'.
Dec 13 21:49:15 aaa systemd[1]: Failed to start [email protected] - Postfix Mail Transport Agent (instance -).

postfix check (sem resposta) = configuração ok

Tentei tudo sem os arquivos

/var/lib/postfix/master.lock
/var/spool/postfix/pid/master.pid

Eu tentei também inet_interfaces = ipv4 e #inet_interfaces = ipv4 nada muda.

Ajuda, obrigado

Então, do nada, meu servidor começou a rejeitar todos os e-mails recebidos e eu descobri que ele estava zen.spamhaus.orgbloqueando tudo por causa de uma resposta de "volume excessivo" de spamhaus.org:

2024-11-28T11:57:46.954637-07:00 mail postfix/smtpd[338]: NOQUEUE: reject: RCPT from mail-vk1-f177.google.com[209.85.221.177]: 554 5.7.1 Service unavailable; Client host [XX.XX.XX.XX] blocked using zen.spamhaus.org; Error: excess volume; https://check.spamhaus.org/returnc/vol/XX.XX.XX.XX/; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<mail-vk1-f177.google.com>

Eu zen.spamhaus.orgconfigurei como parte de alguns RBLs em smtpd_recipient_restrictions: reject_rbl_client zen.spamhaus.orge comentar isso "resolve" o problema, pois pelo menos os e-mails são entregues.

Então eu estava pensando se poderia haver uma maneira de olhar para o excess volumeerro, e se eu vir esse erro, então apenas passar/ignorar esse erro em vez de bloquear a entrega. Eu estava olhando os documentos do postfix, mas não consegui encontrar nada óbvio.

Parece que ele rbl_reply_mapstem acesso aos códigos de erro de retorno, mas não tenho certeza se ele tem a capacidade de substituir ou pular essa verificação rbl.

A default_rbl_replyopção de configuração serve principalmente para formatar uma mensagem de erro após o rbl rejeitá-la. Similarmente, maps_rbl_reject_codetambém parece apenas um mecanismo para traduzir para códigos de erro smtp específicos.

Estou esquecendo de algo? Parece que tem que haver uma maneira de personalizar o tratamento da resposta RBL e transformar rejeições específicas em uma "passagem" de algum tipo?

Configurei com sucesso Postfix + Dovecot + IMAP. E também instalei spamassassin, spamc, spamass-milter, e configurei imap_sieveo plugin para combater spam.

Saída de doveconf -n:

# 2.3.13 (89f716dc2): /etc/dovecot/dovecot.conf
# Pigeonhole version 0.5.13 (cdd19fe3)
# OS: Linux 5.10.0-33-amd64 x86_64 Debian 11.11 
# Hostname: mail.example.com
mail_debug = yes
mail_location = maildir:~/Maildir
mail_privileged_group = mail
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext imapsieve vnd.dovecot.imapsieve
namespace inbox {
  inbox = yes
  location = 
  mailbox Drafts {
    auto = no
    special_use = \Drafts
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox Spam {
    auto = subscribe
    special_use = \Junk
  }
  mailbox Trash {
    auto = subscribe
    special_use = \Trash
  }
  prefix = 
}
passdb {
  args = %s
  driver = pam
}
plugin {
  imapsieve_mailbox1_before = file:/var/lib/dovecot/sieve.d/default.sieve
  imapsieve_mailbox1_name = INBOX
  sieve_plugins = sieve_imapsieve
}
protocols = imap sieve
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0660
    user = postfix
  }
}
service imap-login {
  inet_listener imap {
    port = 143
  }
  inet_listener imaps {
    port = 993
    ssl = yes
  }
}
ssl = required
ssl_cert = </etc/ssl/mail/domain.crt
ssl_key = # hidden, use -P to show it
userdb {
  driver = passwd
}
protocol imap {
  mail_max_userip_connections = 20
  mail_plugins = " imap_sieve"
}

Conteúdo de /var/lib/dovecot/sieve.d/default.sieve:

require "fileinto";

if header :contains "X-Spam-Flag" "YES" {
    fileinto "Spam";
    stop;
}

E testei minha configuração com:

# Executed from outside my network
wget https://spamassassin.apache.org/gtube/gtube.txt
swaks --to [email protected] --body gtube.txt

E funciona. O e-mail é marcado com sucesso como spam (evidente X-Spam-Flag: YESnos cabeçalhos). Mas o filtro Sieve não funciona como esperado. Ele deveria mover a mensagem para minha pasta "Spam", mas em vez disso ele copia a mensagem para a pasta "Spam", mas somente depois que eu abro a mensagem. A mensagem permanece dentro da CAIXA DE ENTRADA.

Como posso fazer para que a mensagem seja movida para a pasta "Spam" (não copiada)? E por que o filtro Sieve só funciona depois que eu abro a mensagem no meu cliente de e-mail?

No processo de migração do meu servidor de e-mail para um novo host. Uma das minhas dificuldades é que o OpenDKIM não está assinando e-mails de saída (não internos). Atualmente, meu TrustedHostsarquivo é o seguinte:

127.0.0.1
::1
localhost
*.example.com

(Onde example.com é meu domínio de e-mail.)

Estou enviando e-mail do meu cliente IMAP do meu telefone. Se eu adicionar o IP do meu telefone, a mensagem assina corretamente.

Vários tutoriais que vi executam esse layout, e é o que eu configurei até a migração. Eu realmente devo usar curinga em todos os hosts? Qual é a configuração recomendada?

Quero ter contas virtuais no Maildir, então descobri o seguintemain.cf

home_mailbox = Maildir/
virtual_mailbox_domains = mydomain.com
virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = hash:/etc/postfix/vmaps
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

mas o e-mail é entregue no formato Mailbox e não no Maildir. O que estou fazendo de errado?

/etc/postfix/vmapsé:

[email protected] mydomain.com/test

Eu tenho um servidor de email (Debian 12, Postfix) com dois IPs IPv4 públicos para duas aplicações.

Devo enviar todos os e-mails de application AIP 1.2.3.4e application Bde IP 5.6.7.8.

Ambos os servidores de aplicativos possuem postfix local com retransmissão para meu servidor de email.

Como posso fazer isso facilmente?

Eu tenho os dois IPs definidos em master.cf:

127.0.0.1:25 inet n       -       n       -       -       smtpd
    -o smtp_bind_address=1.2.3.4
    -o smtp_helo_name=mail1.test.net
    -o content_filter=smtp-amavis:[127.0.0.1]:10024

127.0.0.1:2525 inet n     -       n       -       -       smtpd
    -o smtp_bind_address=5.6.7.8
    -o smtp_helo_name=mail2.test.net
    -o content_filter=smtp-amavis:[127.0.0.1]:10024

mas não tenho ideia de como resolver o mapeamento do app-IP.

Tentei usar portas diferentes (25 e 2525) - sem sucesso.

A segunda tentativa foi com usuários Linux - sem sucesso também.

Tentei mapear cabeçalhos:

# main.cf:
header_checks = regexp:/etc/postfix/header_checks

# /etc/postfix/header_checks:
/^X-Postfix-Transport: my_transport1/ FILTER smtp:[127.0.0.1]:25
/^X-Postfix-Transport: my_transport2/ FILTER smtp:[127.0.0.1]:2525

mas não tive sucesso.

Não preciso de nenhum login, usuários virtuais, ... Tenho os dois endereços dos servidores de aplicação mynetworkscomo segurança/limite.

O que realmente preciso é de uma solução direta para mapear o IP de envio de aplicativos.

Não consigo satisfazer as verificações HELO nos registros SPF em todos os casos. Eu tenho um registro SPF para meu domínio assim:

"v=spf1 mx -all"

Os registros MX na zona são:

mx0.mydomain.org.uk.          3600 IN A         1xx.xx.xx.59
mx0.mydomain.org.uk.          3600 IN AAAA      2001:xxx:x:xxx::3b
mx1.mydomain.org.uk.          3600 IN A         2xx.xx.xxx.201
mx1.mydomain.org.uk.          3600 IN AAAA      2a03:xxx:xx:xxx::2 

O nome do host (e PTR) do servidor de envio é mail.mydomain.org.uk. Seu IP é igual ao mx0.mydomain.org.uk. O nome HELO é mydomain.org.uk.

Posso fazer com que o HELO passe com o registro SPF acima:

SPF helo    header      Received-SPF: 

pass (mydomain.org.uk: 1xx.xx.xx.59 is authorized to use 'mydomain.org.uk' in 'helo' identity (mechanism 'mx' matched)) 

receiver=ts11-do.checktls.com; identity=helo; helo=mydomain.org.uk; client-ip=1xx.xx.xx.59

No entanto, alguns verificadores não gostam disso e dizem que não conseguem encontrar um registro A para o remetente mydomain.org.uk. Mas se eu alterar o HELO para mx0.mydomain.org.ukI, ocorrerá uma falha devido a "nenhuma política de remetente aplicável disponível":

SPF helo    header      Received-SPF: 

none (mx0.mydomain.org.uk: No applicable sender policy available) receiver=ts11-do.checktls.com; identity=helo; helo=mx0.mydomain.org.uk; client-ip=1xx.xx.xx.59

SPF helo    local       mx0.mydomain.org.uk: No applicable sender policy available

Como posso satisfazer ambas as verificações?

Estou tentando implementar uma lista de bloqueio para remetentes e domínios na minha configuração do postfix (Debian 12). Isto é o que tenho até agora:

smtpd_sender_restrictions = 
    permit_sasl_authenticated,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unknown_client_hostname,
    reject_unknown_reverse_client_hostname,
    check_sender_access hash:/etc/postfix/access

E:

smtpd_recipient_restrictions = 
    permit_sasl_authenticated,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    reject_invalid_hostname,
    reject_non_fqdn_hostname,
    reject_unauth_destination,
    reject_unauth_pipelining,
    check_sender_access hash:/etc/postfix/access,
    check_policy_service unix:private/policy, # SPF Checks
    check_policy_service inet:127.0.0.1:10023 # Postgrey

Até onde consegui os documentos do Postfix, o primeiro se aplica ao dalog "MAIL FROM:", enquanto o segundo afeta a caixa de diálogo "RCPT TO:" na comunicação.

Portanto, meu arquivo de acesso tem o seguinte (postmap concluído):

.toobena.or.mg DISCARD Spam domain

Mas ainda posso enviar e-mails para minhas contas locais usando um endereço de envelope com o domínio a ser bloqueado para acesso. Veja a caixa de diálogo via telnet:

root@host:~# telnet mail.dom.com 25
Trying 18.16.42.16...
Connected to mail.dom.com.
Escape character is '^]'.
220 mail.dom.com ESMTP Postfix
ehlo mail.toobena.or.mg
250-mail.dom.com
[...]
mail from: [email protected]
250 2.1.0 Ok

Li em algum lugar que as restrições se aplicam posteriormente, em vez de imediatamente. No entanto, esperava que a tentativa de entrega de correspondência já estivesse bloqueada aqui. Mas se não, posso facilmente inserir mensagens para uma conta local que será entregue. Este é o log de uma entrega bem-sucedida (que deveria ter sido bloqueada):

Jun 12 20:51:41 nc postfix/smtpd[100170]: connect from mail.toobena.or.mg[5.104.111.28]
Jun 12 20:51:43 nc postfix/policy-spf[100175]: Policy action=PREPEND Received-SPF: pass (toobena.or.mg: 5.104.111.28 is authorized to use '[email protected]' in 'mfrom' identity (mechanism 'mx' matched)) receiver=mail.dom.com; identity=mailfrom; envelope-from="[email protected]"; helo=mail.toobena.or.mg; client-ip=5.104.111.28
Jun 12 20:51:43 nc postfix/smtpd[100170]: 07D1EDF910: client=mail.toobena.or.mg[5.104.111.28]
Jun 12 20:51:43 nc postfix/qmgr[99783]: 07D1EDF910: from=<[email protected]>, size=28861, nrcpt=1 (queue active)
Jun 12 20:51:43 nc postfix/smtpd[100170]: disconnect from mail.toobena.or.mg[5.104.111.28] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5

Assim, a correspondência é aceita e colocada na fila para entrega local.

Eu simplesmente não entendo por que isso está sendo aceito. Sim, o remetente possui um registro SPF válido. Mas isso substitui os outros cheques? Achei que eles foram verificados em ordem - e a política SPF é a mais recente...

Alguém tem ideia do que estou fazendo de errado aqui?