问题[email](server)

我正在尝试了解通过 Postfix/Dovecot 支持网络认证用户和各种网络服务（如 Gitlab）发送电子邮件的正确方法。

我的网络身份验证服务器是 Ubuntu 22.04，使用 OpenLDAP 和 Kerberos。我的网络身份验证用户都从posixAccount和PostfixBookMailAccount对象类继承，而我的服务帐户仅从后者继承。这是一种尝试，只允许我的用户登录各种机器，但不允许服务帐户登录，但支持两者的电子邮件。

我尝试配置 Dovecot 以使用pam适用于用户电子邮件的驱动程序，但 Gitlab 不起作用。我修改了 PAM 配置（所有配置都使用 Kerberos 但不使用 LDAP），在 Kerberos 之前添加了 LDAP。这包括将 PAM LDAP 配置为基于用户查找mailEnabled而不是posixAccount用户查找进行搜索，但可能有些问题，因为它仍然适用于用户但不适用于服务。

我也尝试配置 Dovecot 以使用ldap驱动程序并进行类似的搜索mailEnabled，但也出现问题，因为它不适用于任何帐户。

看来我可能会屈服并为 Gitlab 之类的服务创建用户帐户，但这会激起我的安全恐惧。

在继续研究或走错方向之前，我首先想了解区分这两个电子邮件来源是否有意义，或者我是否只是在过度思考。如果我需要区分，有人可以给我指出概述这种方法的参考资料，或者在配置 Postfix/Dovecot 时是否有/需要考虑哪些方面提供一些提示吗？到目前为止，我还没有找到适合这两种帐户类型的组合。我的网络搜索没有找到任何关于采取什么方法的信息，因此也没有找到任何相关材料。

我的10-auth.conf包含：

auth_krb5_keytab = /etc/dovecot/dovecot.keytab
auth_mechanisms = plain login gssapi

其中 keytab 填充了imap、nslcd和smtp主体。

当配置为 PAM 时，我的auth-network.conf.ext外观如下：

passdb {
  driver = pam
}
userdb {
  driver = passwd
  args = uid=vmail gid=vmail home=/srv/vmail/%u mail=maildir:/srv/vmail/%u/Maildir
}

当配置为 LDAP 时，它是：

passdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}
userdb {
  driver = prefetch
}
userdb {
  args = /etc/dovecot/dovecot-ldap.conf.ext
  driver = ldap
}

我有一台 ubuntu 20.04 服务器和一个域，example.com 我通过 apt 安装了 postfix 和 opendkim。

我/etc/opendkim.conf有

Socket local:/run/opendkim/opendkim.sock

该文件存在。

$ ls -l /run/opendkim/opendkim.sock
ls: cannot access '/run/opendkim/opendkim.sock': Permission denied
$ sudo ls -l /run/opendkim/opendkim.sock
srwxrwx--- 1 opendkim opendkim 0 Oct  4 21:19 /run/opendkim/opendkim.sock

我将 postfix 添加到 opendkim 组。

$ groups postfix
postfix : postfix opendkim

我也尝试过通过 重启sudo reboot。

当我这样做的时候

echo "This is the body of the email." | mail -s "Subject of the Email" [email protected]

但我收到了这个错误。

Oct 04 23:58:24 ubuntu postfix/cleanup[52998]: 
warning: connect to Milter service local:/run/opendkim/opendkim.sock: No such file or directory

我仔细看了看

$ ps -p 52998 -o pid,comm,user,%cpu,%mem,stime,tty
    PID COMMAND         USER     %CPU %MEM STIME TT
  52998 cleanup         postfix   0.0  0.2 00:00 ?

用户是 postfix，它应该有权访问套接字文件，但系统日志却说不行。

我公司的一个用户遇到了一个错误，有些邮件卡在发件箱中，无法自行删除。我意识到，当我将共享邮箱作为帐户连接并直接从该帐户发送邮件时，邮件也会卡在发件箱中，不会离开发件箱 - 或者让其自行删除、移动或存档。但是，当我删除共享邮箱作为帐户并使用“发送自”按钮发送邮件时，新发送的邮件不会卡在发件箱中。无论如何，共享邮箱发件箱中的邮件仍然在那里，我无法将它们取出，我的想法已经用尽了。我尝试过：

删除了配置文件并清除了所有缓存，多次。尝试使用 MFCMAPI Connected 删除邮件，从我的帐户中删除邮件，使用单独的 PC - 在发件箱中没有看到任何邮件。删除了共享邮箱的权限，然后再次启用它 - 不起作用。有什么想法，我还可以尝试什么？

谢谢！

我一直在尝试改进已经运行的电子邮件传递 DNS 配置，但发现由于某种我不明白的原因，我需要有一个 mail.domainxxx.com A 条目才能使我的 MX 配置正常工作，即使我没有在任何地方引用 mail.domainxxx.com。

我试图删除 mail.domainxxx.com 并仅保留 domainxxx.com 的条目，但由于某种原因，需要特定的 mail.domainxxx.com 条目（当然是相应的 MX 条目）。

任何 RFC 或类似的规范文档中是否记录了我不知道的内容。

更新：错误的另一个线索是，当我使用 AWS SES SMTP 服务器时，我收到以下传送错误

报告-MTA：dns；axx-xx.smtp-out.amazonses.com

操作：失败 最终收件人：rfc822；[email protected] 诊断代码：smtp；550 4.4.7 消息已过期：无法在 840 分钟内送达。<421 4.4.1 无法建立连接> 状态：4.4.7

在调查 DMARC 报告时，我意识到我并不真正了解电子邮件的某些方面。我试图确保我正确掌握了与 SPF 和 DMARC 相关的概念。

如果一封电子邮件经过几个中间节点……

1. 服务器之间的每个连接都会传递一个信封“MAIL FROM:”值，该值是在发件人的 MUA 进行初始 SMTP 握手时建立的。邮件在网络中传输时，“MAIL FROM:”的值不会改变。最终的 MTA 可能会根据“MAIL FROM:”添加“Return-Path:”标头。
2. DMARC 报告中的“<header_from>”元素基于邮件的“发件人：”标头，由发件人的客户端设置。
3. 链中的最终 MTA 执行 SPF 和 DMARC 检查。SPF 检查与其连接的节点的源 IP 地址。而不是原始源 IP 地址。
4. 中间节点不执行 SPF 检查。它们主要中继电子邮件而不更改信封信息。
5. 鉴于第三点，我的 DNS 的 SPF TXT 记录必须包含可以直接连接到收件人的 MTA 的每个可能的中间节点的 IP 地址。

因此，由于中间节点在 SPF 中不起作用。如果我能确保在节点连接到最终 MTA 之前在链中注入虚假电子邮件。那么 SPF 会通过吗？还应该可以伪造“MAIL FROM:”和“From:”；这样 DMARC 也会通过吗？

以上内容是否正确或者我还遗漏了其他要点？

几个星期以来，我一直在寻找当前问题的答案，因此我在这里询问，希望有人能够为我提供一些启发或指明正确的方向。

我正在尝试配置 Postfix，以便：

1. 的入站邮件[email protected]已递送至/some/custom/MailDir/。
2. 的入站邮件[email protected]已递送至/different/custom/MailDir/。
3. 出站邮件可以从用户/域发送。
4. [email protected]并且[email protected]应该有单独的自定义 Maildirs，即/custom/user3/domain1/mail/和 /different/user3/domain2/mail/`

我无法在网上找到关于如何实现这一点的清晰解释。

到目前为止，由于每个域都需要自定义目录路径名，我认为我需要使用多个 postfix 实例。我一直在研究postmulti。我使用 postmulti 运行了 2 个 postfix 实例，但我不清楚如何使用 postmulti 实现上述目标。

我想我可能需要一个实例来监听外部邮件。根据传入邮件的收件人地址，此实例随后将邮件转发到单独的内部实例。此实例有自己的mail_spool_directory，我可以将其配置为发送到我想要的地方。

我在 Ubuntu 上运行 bash。我的 postfix 是 3.9.0 版本。我已成功配置一个实例，用于在自定义目录中发送/接收邮件。

您发送邮件的邮件服务器的主机名是否应该始终具有相同名称的 rDNS（PTR 类型）？

我之所以问这个问题，是因为我注意到我的邮件服务器的名称与其 IP 地址的 PTR 记录的名称不同，而是 MX 记录主机名的名称。

在这种情况下，是最好更改我的邮件服务器的名称，还是要求我的 ISP 更改其地址的 PTR 以使它们相同？

我有一个用于后缀的body_checks文件。

不幸的是，我很少，但有时不会收到重要的邮件，因为它们被 body_checks 拒绝，尽管应该没有匹配。这是我的 body_checks 文件：

body_checks = pcre:/etc/postfix/body_checks

/xxlady/                               REJECT
/Aktfotos/                             REJECT
/betrogen/                             REJECT
/Anlageempfehlung/                     REJECT
/Porno/                                REJECT
/Pornovideo/                           REJECT
/Pfund/                                REJECT
/Wohltatigkeitsorganisation/           REJECT
/TronTee/                              REJECT
/90offbags/                            REJECT
/90offsunglasses/                      REJECT
/porn/                                 REJECT
/masturbieren/                         REJECT
/CPF\s057\s200\s664\s645/              REJECT
/CPF\s057\sxxx\sxxx\s645/              REJECT
/CPF\sO57\s2OO\s664\s645\./            REJECT
/Pu\$\$y/                              REJECT
/S#x/                                  REJECT
/Bitcoin-Wallet/                       REJECT
/track-paket-149/                      REJECT
/dhl-paket-track/                      REJECT
/asfona\.net/                          REJECT
/Ihr\sDHL-Team/                        REJECT
/Stockwell-London/                     REJECT
/Ray\sBan\sSunglasses\s2023\sStyle/    REJECT
/Bored\sApe/                           REJECT
/www\.85off-lv\.com/                   REJECT
/https:\/\/www\.85off-lv\.com/         REJECT
/Temps\sde\slecture/                   REJECT
/Spendencode/                          REJECT
/Viagra\sPrice/                        REJECT
/McAfeefor/                            REJECT
/McAfee/                               REJECT
/breercecet/                           REJECT
/WANCZYK/                              REJECT
/tinyurl/                              REJECT
/pessinastefano986/                    REJECT

我收到的错误消息是：

2024-04-08T10:33:45.983819+02:00 admin postfix/cleanup[1414013]: 37595320177: reject: body ImTpT+mI0EwcUpHvMLuJSvUWb7mYBmN1zQpOrN0o7X6ipZgpUna92TxyHzObekdTa8IwZkqmS9fO from o4.transactional.digitecgalaxus.ch[168.245.116.150]; from=<bounces+12270525-14cf-kontakt=rafaelbetz.de@em1070.notifications.galaxus.de> to=<[email protected]> proto=ESMTP helo=<o4.transactional.digitecgalaxus.ch>: 5.7.1 message content rejected

我不明白这个加密体ImTpT+mI0EwcUpHvMLuJSvUWb7mYBmN1zQpOrN0o7X6ipZgpUna92TxyHzObekdTa8IwZkqmS9fO是什么以及为什么它被拒绝。但邮件绝对是合法的。

我的电子邮件托管在服务器上，IP xxxx

我正在使用域 example.com 来显示网站。我的域名是 IP yyyy

当前的设置：

A     mail.example.com    x.x.x.x
A     webmail.example.com    x.x.x.x
A     example.com         y.y.y.y
MX    example.com         mx4.blabla.com
MX    example.com         mx3.blabla.com
MX    example.com         mx2.blabla.com
MX    example.com         mx1.blabla.com
TXT   example.com         v=spf1 include:spf.blabla.com -all 

电子邮件的当前状态是：无法使用。

我需要将 example.com 保留在 yyyy 并将电子邮件托管在 xxxx

我该如何解决这个问题？

我正在使用 Procmail 将邮件转发到另一台服务器。我经常从收件人服务器收到错误消息：

host smtp-in.orange.fr[80.12.26.32] said: 501 5.2.0
    y8XgrepnBNXb2 Mail rejete. Mail rejected. DMARC check failed. OFR_515 [515]
    (in reply to end of DATA command)

这是我的 Procmail 配置中的相关片段：

:0 c
* (^TO_|X-Original-To:.*)[email protected]
* <46000000
{
    :0 hfw
    * ^Subject:\/.+
    | formail -I "Subject: FORWARDED:$MATCH"
    :0 a
    ! [email protected]
}

发件人的 DMARC 记录为：

dmarc is: v=DMARC1; p=reject; sp=reject; rua=mailto:[email protected];

以下是 DMARC 详细信息（编者注：显然是针对我自己的域）：

_dmarc.myserver.com

v=DMARC1; p=none; sp=none; fo=1; ri=86400; rua=mailto:[email protected],mailto:[email protected]; ruf=mailto:[email protected],mailto:[email protected]