HippoMan's questions

我正在使用 opendkim 运行 postfix。我的 opendkim milter 在端口 10029 上运行。 更正：我的 opendkim milter 在 unix 套接字上运行，并且在端口 10029 上设置了 DKIM 内容过滤器。

就在今天，我开始在我的 postfix 日志中看到这样的消息......

2023.11.01 21:29:40 hippo postfix/smtp[29756]: EBBA428F83B: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10029, delay=0.94, delays=0.78/0.01/0.04/0.11, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as B71ED28F83C)

看来有些人已经弄清楚如何使用我的 opendkim milter 作为开放中继。或者我是否以某种方式误解了此日志消息？

我的postfix服务器本身不是开放中继，smtp只能通过身份验证发起。

如果我正确地猜测 opendkim 被用作开放中继，那么这是一个已知问题吗？或者，如果我完全误解了发生的事情，任何人都可以帮助我理解这些看似转发的消息实际上发生了什么吗？

非常感谢。

更新：是否有人发现 10029 是一个开放端口，并且有可能滥用 DKIM 的侦听端口来转发电子邮件？

如果是这样，我是否只需要执行以下操作才能仅启用从本地主机访问端口 10029？...

iptables -I INPUT -p tcp --dport 10029 -j DROP
iptables -I INPUT -s 127.0.0.1 -p tcp --dport 10029 -j ACCEPT

这个问题类似于 Mozilla 论坛中的以下问题。但是，这个问题的答案并没有解决我所看到的问题。

Mozilla 论坛中的问题：https://support.mozilla.org/lt/questions/1369698

换句话说，只有当此类邮件是通过 Thunderbird 发送时，我才能让 Google 接受发往 gmail.com 地址的邮件。使用非 Thunderbird 客户端从运行 Thunderbird 的同一台机器发送到具有相同发件人地址的相同 gmail.com 地址的消息通过相同的 SMTP 服务器发送出去总是没有问题。

我的情况有点复杂。为了描述发生了什么，我将使用以下域名：

localmachine-example.com—— 运行 Thunderbird 的我的 ubuntu-20.0.4 台式机

postfix-example.com—— 运行 postfix-3.5.18 的我的 debian-11 电子邮件服务器机器

当我使用 Thunderbird 时，我将其配置为使用此主机和端口通过 SMTP 发送外发电子邮件：

postfix-example.com/port=587

postfix-example.com SMTP 服务器处理的所有域都有正确的 SPF、DKIM 和 DMARC 记录，每当我通过各种在线域验证服务查询它们的有效性时，它们总是显示为正确的。

对于除 gmail.com 地址之外的所有电子邮件目的地，当我从运行在 localmachine-example.com 上的 Thunderbird 发送电子邮件时，无论发送地址是什么，这些邮件都会转到我的 postfix 服务器，然后成功地将它们路由到目的地。

但是，如果目标地址具体是 gmail.com 地址，Google 会返回邮件并显示以下消息。假设我将电子邮件发送到 [email protected]。这是返回的消息：

Jun 11 20:29:12 postfix-example postfix/smtp[1088941]: 81AC812C554:to=<[email protected]>, relay=gmail-smtp-in.l.google.com[2607:f8b0:4002:c1b::1b]:25, delay=0.46, delays=0.16/0.01/0.02/0.25, dsn=5.7.25, status=bounced (host gmail-smtp-in.l.google.com[2607:f8b0:4002:c1b::1b] said: 550-5.7.25 [2600:3c02::f03c:93ff:febc:dd9e] The IP address sending this message 550-5.7.25 does not have a PTR record setup, or the corresponding forward DNS 550-5.7.25 entry does not point to the sending IP. As a policy, Gmail does not 550-5.7.25 accept messages from IPs with missing PTR records. Please visit 550-5.7.25  https://support.google.com/mail/answer/81126#ip-practices for more 550 5.7.25 information. g200-20020a0dddd1000000b0056d0485d928si2677570ywe.362 - gsmtp (in reply to end of DATA command)

除了 gmail.com 地址之外，没有任何电子邮件目的地无法接受通过 Thunderbird 发送的类似邮件。

并请仔细注意以下事项：

如果我不使用 Thunderbird，而是使用 emacs“Wanderlust”电子邮件客户端将完全相同的消息从完全相同的 localmachine-example.com 机器发送到完全相同的 [email protected] 地址，并通过完全相同的路由postfix-example.com/port=587 SMTP 服务器，它毫无问题地到达 gmail.com 目的地。

换句话说 ...

(1) Thunderbird 客户端和 emacs“Wanderlust”电子邮件客户端都在同一台 localmachine-example.com 主机上运行。

(2) Thunderbird 客户端和 emacs “Wanderlust” 电子邮件客户端正在发送具有相同发件人地址的消息。

(3) Thunderbird 客户端和 emacs“Wanderlust”电子邮件客户端都在发送具有相同 [email protected] 收件人地址的邮件。

(4) Thunderbird客户端和emacs“Wanderlust”邮件客户端都配置为通过同一个SMTP服务器发送外发邮件：postfix-example.com/port=587

(5) 所有通过 emacs “Wanderlust” 电子邮件客户端发送的电子邮件总是毫无问题地到达 [email protected] 地址。

(6) 但是，所有通过 Thunderbird 客户端发送到 gmail.com 地址的电子邮件总是被退回，并显示我在上面发布的错误消息。

当我从我的 localmachine-example.com 主机发送到 gmail.com 地址时，有谁知道我可以做些什么来配置 Thunderbird 不会导致这种错误？

此外，通过 Seamonkey 而不是 Thunderbird 发送时，我得到了完全相同的行为。

非常感谢你提前。

我在 Debian linux 下opendmarc运行。postfix我做了标准的基于 Debian apt 的安装opendmarc，但后来，我意识到它显然默认配置为使用opendmarc-import以将导入数据保存在数据库中。

我不想使用数据库，但我找不到任何方法告诉我opendmarc停止将信息记录到该数据库中。

我没有看到任何东西/etc/opendmarc.conf似乎可以控制是否opendmarc-import配置为使用。

有人可以告诉我如何告诉我opendmarc停止使用的说明opendmarc-import吗？我在搜索过的任何地方都找不到任何文档。

非常感谢你提前。

PS：我想我可以手动将 an 放在perl 脚本exit(0);的顶部附近/usr/sbin/opendmarc-import（或对该脚本进行一些其他适当的更改），但我不想依赖这样的 hack。

我希望我设法拥有空记录的域之一MX：即, MX RR.

我试图弄清楚如何指定MX RRunder djbdns，但我的搜索没有提供有关如何执行此操作的任何信息。

我暂时做了以下操作，但我知道这不是清空MX记录的正确方法......

@example.com:127.0.0.1:a:0
@example.com:127.0.0.1:b:0

...而且我很确定以下内容同样不受欢迎...

@example.com:localhost:a:0
@example.com:localhost:b:0

是否有用于djbdns创建MX RR记录的基于语法？

提前感谢您的任何建议。

注意：我最初在 Unix/Linux StackExchange 上发布了这个问题，但一周后，没有任何回复。我在这里看到了更多与后缀相关的讨论，所以我投票关闭了我的问题的 StackExchange 版本，我把我的问题移到了这里。

我正在运行postfix version 2.93，Debian 8我正在尝试完成一些不寻常的事情。

多年来，我一直在使用自制的磨粉机，效果很好。它在 SMTP 对话框的每个阶段运行各种测试：ehlo、mail from、rcpt to等。

我已配置postfix为对“虚拟邮箱表中的用户未知”进行标准检查，这也可以正常工作。

然而 ...

在某些极少数情况下，我想在rcpt to阶段拦截传入的消息，然后 postfix确定“虚拟邮箱表中的用户未知”，如果这些消息来自一小群特定的选定发件人，并且发往一小群特定的未知收件人姓名，我想通过该 milter 步骤以不同于正常的方式处理它们。

在 milter 步骤中有足够的可用信息rcpt to来执行此特殊处理，但不幸的是，“虚拟邮箱表中的未知用户”postfix处理在调用 milter 步骤之前已经拒绝了发送给未知用户的消息rcpt to，因此该 milter 步骤永远不会得到执行。

postfix如果发件人姓名与某些特殊模式不匹配，是否可以配置为仅拒绝“虚拟邮箱表中的用户未知”的邮件？

如果是这样，postfix它可以继续自动拒绝发送给大多数未知用户的消息，然后它可以只将那些罕见的、特殊的消息传递给 milter，以便在该rcpt to步骤期间对其进行处理。

我知道我可以完全禁用postfix未知收件人测试，然后在我rcpt to对所有传入消息的 milter 步骤中自行管理它。但是，如果可能的话，我想避免这种情况，并以某种方式告诉postfix有条件地拒绝大多数消息给未知用户，并且只将来自特殊发件人的传入消息的一小部分传递给 milter 处理。

即使在postfix.

非常感谢您的任何想法和建议。

我在csf v14.05基于 Debian-8 的服务器上使用。

在csf.conf中，我有以下内容：

TCP_IN = "53,80,110,119,143,443,465,587,953,993,995"

我想在 中选择性地覆盖它csf.deny，仅针对某些特定的主机/端口组合，如下例所示：

tcp|in|d=143|s=aaa.bbb.ccc.ddd # actual IP address dummied out

但是，仍然允许来自aaa.bbb.ccc.ddd端口的请求。443

我知道规则会覆盖所有其他规则，因此， within的行为csf.allow似乎也是相同的。TCP_INcsf.conf

除了某些选定的IP地址之外，有什么方法csf可以允许对给定端口的开放访问，就像我在这里尝试做的那样？

非常感谢。

我有两个fail2ban监狱处理postfix：一个叫postfixsasl和一个叫postfixauth。他们每个人都在寻找不同的正则表达式匹配来触发禁令。它们都可能由来自同一 IP 地址的活动触发，并且有时会发生这种情况。

如果其中一个禁令在另一个禁令之前到期，则似乎 IP 地址正在解除禁令，即使第二个禁令仍然有效。

例如，假设我运行fail2ban-client get postfixauth banip --with-time并在其输出中得到以下行（实际 IP 地址已虚拟化）：

aaa.bbb.ccc.ddd     2020-09-28 10:58:24 + 86400 = 2020-09-29 10:58:24

...并假设我运行fail2ban-client get postfixsasl banip --with-time并得到以下输出。相同的 IP 地址以相同的方式被虚拟化：

aaa.bbb.ccc.ddd     2020-09-28 20:00:37 + 3600 = 2020-09-28 21:00:37

显然，第二个禁令将在第一个禁令之前到期。但是，似乎一旦第二个项目被取消禁止，aaa.bbb.ccc.dddIP 地址似乎就被取消禁止，甚至在第一个项目的到期时间之前。

我希望aaa.bbb.ccc.dddIP 地址一直被阻止，直到最新的禁令到期，但这不会发生在我身上。

在 2020-09-29 21:00:37 之前f2b-postfixauth，输出部分出现以下行iptables -L：

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

...并且以下行出现在输出f2b-postfixsasl部分中iptables -L：

REJECT     all  --  aaa.bbb.ccc.ddd         anywhere             reject-with icmp-port-unreachable

在 2020-09-29 的 21:00:37 之后，两条线都从iptables -L输出中消失了。

这是预期的行为吗？或者可能是我的配置可能有一些完全不相关的东西fail2ban导致这种情况发生？如果这不是预期的行为，那么我将fail2ban进一步调查我的配置。

非常感谢。

我最近更改了特定域的 IP 地址，称之为example.com. 我知道传播 DNS 更改需要时间，而且传播尚未完成还为时过早。

我注意到运行 ANY 查询与运行 A 记录查询给出不同的结果。例如 ...

% host -t a example.com
example.com has address THE.OLD.IP.ADDRESS
% host -t any example.com
example.com has address THE.NEW.IP.ADDRESS

我知道最终，DNS 将完全传播，然后 A 记录查询将返回 THE.NEW.IP.ADDRESS。但我想知道是否有人可以解释为什么 ANY 查询返回新 IP 地址，而 A-record 查询仍然返回旧 IP 地址，直到传播完成。

这对我来说很重要，因为解析域名的应用程序软件似乎执行 A-record 查询而不是 ANY 查询，因此，这些应用程序仍然将 IP 地址解析为旧值，直到 DNS 传播完成。

我只是在寻找解释为什么任何结果似乎都比 A 记录结果传播得更快……这是为了我自己的理解和启发。

非常感谢。