Server Admin Авторский блог системного администратора
Здравствуйте, используя статью https://serveradmin.ru/nastroyka-postfix-dovecot-centos-7 настроил почтовый сервер, но возникла необходимость чтобы все пользователи могли отправлять почту между собой и на один определенный домен IntDomain.com письма отправленные на другие домены бы удалялись. Сразу найти необходимое я не смог и попробовал запретить определенные домены, Воспользовался статьей в сети https://www.ericmichaelstone.com/how-to-blockreject-email-from-a-specific-address-using-postfix-on-centos/
изменил свой конфиг от первоначального следующим образом:
внес в /etc/postfix/main.cf
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/recipient_access
создал два файла с одинаковым содержимым /etc/postfix/sender_access и /etc/postfix/recipient_access
gmail.com REJECT
mail.ru REJECT
сделал postmap
postmap /etc/postfix/sender_access
postmap /etc/postfix/recipient_access
И ждал что все сразу заработает, но этого не произошло. Входящая почта фильтруется и блокируется с указанных доменов, исходящая - нет.
/etc/postfix/main.cf
soft_bounce = yes
#
queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = mail.MyDomain.ru
mydomain = MyDomain.ru
myorigin = $myhostname
inet_interfaces = all
inet_protocols = ipv4
mydestination = localhost.$mydomain, localhost
unknown_local_recipient_reject_code = 550
mynetworks = 127.0.0.0/8
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
smtpd_banner = $myhostname ESMTP $mail_name
debug_peer_level = 2
# Строки с PATH и ddd должны быть с отступом в виде табуляции от начала строки
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
html_directory = no
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.10.1/samples
readme_directory = /usr/share/doc/postfix-2.10.1/README_FILES
relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf
smtpd_discard_ehlo_keywords = etrn, silent-discard
smtpd_forbidden_commands = CONNECT GET POST
broken_sasl_auth_clients = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtp_always_send_ehlo = yes
disable_vrfy_command = yes
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname
smtpd_data_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_multi_recipient_bounce,
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain
smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/recipient_access
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_multi_recipient_bounce,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtpd_tls_key_file = /etc/postfix/certs/key.pem
smtpd_tls_cert_file = /etc/postfix/certs/cert.pem
tls_random_source = dev:/dev/urandom
# Ограничение максимального размера письма в байтах
message_size_limit = 20000000
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 15
smtpd_error_sleep_time = 20
anvil_rate_time_unit = 60s
smtpd_client_connection_count_limit = 20
smtpd_client_connection_rate_limit = 30
smtpd_client_message_rate_limit = 30
smtpd_client_event_limit_exceptions = 127.0.0.0/8
smtpd_client_connection_limit_exceptions = 127.0.0.0/8
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/dovecot-auth
# Директория для хранения почты
virtual_mailbox_base = /media/DataBase/mail
virtual_minimum_uid = 1001
virtual_uid_maps = static:1001
virtual_gid_maps = static:1001
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
sender_bcc_maps = hash:/etc/postfix/sender_bcc_maps
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc_maps
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
milter_protocol = 2
Логи входящего письма:
Apr 29 16:12:05 MailServer postfix/smtpd[8751]: connect from mail-lf1-f42.google.com[209.85.167.42]
Apr 29 16:12:05 MailServer postfix/smtpd[8751]: Anonymous TLS connection established from mail-lf1-f42.google.com[209.85.167.42]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Apr 29 16:12:06 MailServer postfix/smtpd[8751]: NOQUEUE: reject: RCPT from mail-lf1-f42.google.com[209.85.167.42]: 454 4.7.1 <TestMail@gmail.com>: Sender address rejected: You domain are blacklisted!; from=<kudriktt87@gmail.com> to=<user146@MyDomain.ru> proto=ESMTP helo=<mail-lf1-f42.google.com>
Лог исходящего письма:
Apr 29 16:15:15 MailServer postfix/pickup[8737]: 1B7A91D3: uid=48 from=<user146@localhost>
Apr 29 16:15:15 MailServer postfix/cleanup[8910]: 1B7A91D3: message-id=<3208aa57893780b81428935fb0257ecb@mail.MyDomain.ru>
Apr 29 16:15:15 MailServer opendkim[1314]: 1B7A91D3: no signing table match for 'user146@localhost.MyDomain.ru'
Apr 29 16:15:15 MailServer opendkim[1314]: 1B7A91D3: no signature data
Apr 29 16:15:15 MailServer postfix/qmgr[8738]: 1B7A91D3: from=<user146@localhost.MyDomain.ru>, size=562, nrcpt=1 (queue active)
Apr 29 16:15:15 MailServer postfix/smtpd[8744]: warning: unknown[185.143.74.49]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 29 16:15:15 MailServer postfix/smtp[8922]: 1B7A91D3: to=<TestMail@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.27]:25, delay=0.41, delays=0.05/0.01/0.1/0.25, dsn=2.0.0, status=sent (250 2.0.0 OK 1588155315 62si3249953edc.448 - gsmtp)
Apr 29 16:15:15 MailServer postfix/qmgr[8738]: 1B7A91D3: removed
Apr 29 16:15:16 MailServer postfix/smtpd[8744]: disconnect from unknown[185.143.74.49]
Добрый, еще раз!
нужен кусок лога(вся трассировка исходящего сообщения), ну и плюс
# postconf -n | grep restrictions
Чтобы не путаться в сообщениях maillog, выполните команду
# > /var/log/maillog
это очистит файл
[root@MailServer postfix]# postconf -n | grep restrictions
smtpd_data_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_multi_recipient_bounce,
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname
smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/recipient_access reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_multi_recipient_bounce, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination,
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain
Извините, а как сделать трассировку исходящего сообщения, это не кусок лога /var/log/maillog ?
Apr 29 17:24:47 MailServer postfix/smtpd[10554]: connect from unknown[185.143.74.49]
Apr 29 17:24:47 MailServer postfix/pickup[8737]: 336561D5: uid=48 from=<user146@localhost>
Apr 29 17:24:47 MailServer postfix/cleanup[11665]: 336561D5: message-id=<a5dfe2b9853779a9e9b112660e766a38@mail.MyDomain.ru>
Apr 29 17:24:47 MailServer opendkim[1314]: 336561D5: no signing table match for 'user146@localhost.iMyDomain.ru'
Apr 29 17:24:47 MailServer opendkim[1314]: 336561D5: no signature data
Apr 29 17:24:47 MailServer postfix/qmgr[8738]: 336561D5: from=<user146@localhost.MyDomain.ru>, size=563, nrcpt=1 (queue active)
Apr 29 17:24:47 MailServer postfix/smtp[11677]: 336561D5: to=<TestMail@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.79.27]:25, delay=0.56, delays=0.05/0.01/0.1/0.39, dsn=2.0.0, status=sent (250 2.0.0 OK 1588159487 cb8si4039037ejb.96 - gsmtp)
Apr 29 17:24:47 MailServer postfix/qmgr[8738]: 336561D5: removed
Apr 29 17:24:51 MailServer postfix/smtpd[10554]: warning: unknown[185.143.74.49]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Алексей покажите теперь содержимое
sender_access recipient_access
И еще отключите opendkim, он у вас не работает, а у вас точно почта ходит?
SASL LOGIN authentication failed: UGFzc3dvcmQ6
Что-то меня терзают очень сильные сомнения что почта у вас работает
sender_access:
mail.ru REJECT You domain are blacklisted!
gmail.com REJECT You domain are blacklisted! recipient_access:
mail.ru REJECT You domain are blacklisted!
gmail.com REJECT You domain are blacklisted!
А где у вас тут разрешения? У вас в этих файлах только - REJECT
OK - Никаких возражений против клиента и сообщения. Postfix прекращает оценку ограничений в текущем наборе ограничений и переходит к следующему набору.
PERMIT Аналог OK.
REJECT Незамедлительно отвергает сообщение, игнорируя все последующие ограничения. Сообщение отвергается.
DUNNO Прекращает оценку текущего ограничения, но приступает к следующему ограничению текущего набора ограничений.
Я сначала писал разрешения, но если он даже отбросить не может сообщения от gmail.com - решил добиться сначала малого результата, а уж потом идти дальше. Или чтобы выбросить отклонить сообщение reject не достаточно? Я знаю что я ошибаюсь - ведь скрипт не работает.
Почта ходит, и через roundcube и через Mozilla. А сообщениями У меня весь лог забит, ip не мои и не имеют никакого отношения ко мне. Я думал это попытки взлома
Apr 30 10:24:23 MailServer postfix/smtpd[50009]: warning: unknown[185.143.74.108]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 30 10:24:24 MailServer postfix/smtpd[50009]: disconnect from unknown[185.143.74.108]
Apr 30 10:24:31 MailServer postfix/smtpd[50795]: connect from unknown[46.38.144.202]
Apr 30 10:24:38 MailServer postfix/smtpd[50795]: warning: unknown[46.38.144.202]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 30 10:24:39 MailServer postfix/smtpd[50795]: disconnect from unknown[46.38.144.202]
Apr 30 10:24:48 MailServer postfix/smtpd[50787]: connect from unknown[185.143.74.49]
Apr 30 10:24:49 MailServer postfix/smtpd[50009]: connect from unknown[185.143.74.73]
Apr 30 10:24:52 MailServer postfix/smtpd[50787]: warning: unknown[185.143.74.49]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 30 10:24:52 MailServer postfix/smtpd[50787]: disconnect from unknown[185.143.74.49]
Apr 30 10:24:54 MailServer postfix/smtpd[50009]: warning: unknown[185.143.74.73]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 30 10:24:54 MailServer postfix/smtpd[50009]: disconnect from unknown[185.143.74.73]
Apr 30 10:25:17 MailServer postfix/smtpd[50795]: connect from unknown[185.143.74.93]
Apr 30 10:25:21 MailServer postfix/smtpd[49978]: connect from unknown[46.38.144.179]
Apr 30 10:25:22 MailServer postfix/smtpd[50795]: warning: unknown[185.143.74.93]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 30 10:25:22 MailServer postfix/smtpd[50795]: disconnect from unknown[185.143.74.93]
Apr 30 10:25:23 MailServer postfix/smtpd[50009]: connect from unknown[185.143.74.108]
Apr 30 10:25:26 MailServer postfix/smtpd[50787]: connect from unknown[46.38.144.32]
Apr 30 10:25:27 MailServer postfix/smtpd[49978]: warning: unknown[46.38.144.179]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Apr 30 10:25:28 MailServer postfix/smtpd[49978]: disconnect from unknown[46.38.144.179]
