Блокировка исходящи...
 

Блокировка исходящих сообщений средствами postfix

23 Записи
2 Пользователи
0 Reactions
5,545 Просмотры
Записи: 8
 sadm
(@sadm)
Active Member
Присоединился: 5 лет назад

Postfiх, обрабатывает правила сверху-вниз, как и большинство программ в linux, если у вас первой строкой стоит запрещающее правило, а потом разрешающее.

После запрещающего правила, разрешающее не будет работать.

Ответить
Записи: 8
 sadm
(@sadm)
Active Member
Присоединился: 5 лет назад

Если честно пишу как понял, есть MyDomain.ru, с него надо отправлять почту на определенные домены

создаем sender_access, туда прописываем

# MyDomain.ru delivery_only

в delivery_only

#mail.ru OK
#google.com OK
#& etc.

в /etc/postfix/main.cf(это часть конфига для того что я указал выше)

smtpd_restriction_classes = delivery_only
delivery_only = check_recipient_access hash:/etc/postfix/conf/delivery_only, reject

smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/conf/sender_access
permit

Ответить
4 Ответов
(@kudrik_tt)
Присоединился: 5 лет назад

Active Member
Записи: 15

@sadm

Слушайте, я понял только то что это все работает если отправлять через Mozilla (через почтовый клиент), а я три дня экспериментировал с Roundcube. Оказывается и сейчас на Roundcube не работает а на Mozilla запрещает отправку.

Ответить
(@kudrik_tt)
Присоединился: 5 лет назад

Active Member
Записи: 15

Интересно, а чтобы почта rouncube отрабатывалась правилами postfix это возможно или нет, у меня 95% пользователей работают через web-интерфейс

Ответить
 sadm
(@sadm)
Присоединился: 5 лет назад

Active Member
Записи: 8

@kudrik_tt

RoundCube, это всего лишь "прокладка" между пользователем и postfix, он ничего не обрабатывает.

Не видя логов, тяжко что-то сказать.

Тогда один вариант остается, внимательно читать логи, и смотреть что происходит, открыть консоль -

# tail -n15 -f /var/log/maillog 

Гонять клиентов и смотреть в реалтайм, что там происходит

Ответить
(@kudrik_tt)
Присоединился: 5 лет назад

Active Member
Записи: 15

@sadm

Может еще какие-нибудь логи можно посмотреть? Попробую поразбираться, спасибо

из RoundCube:

Apr 30 13:36:20 MailServer postfix/pickup[58606]: 150B21A0: uid=48 from=<root@MyDomain.ru>
Apr 30 13:36:20 MailServer postfix/cleanup[60180]: 150B21A0: message-id=<4432f2b8e094d0b695c77cf39fc1b5de@MyDomain.ru>
Apr 30 13:36:20 MailServer opendkim[57336]: 150B21A0: DKIM-Signature field added (s=mail, d=MyDomain.ru)
Apr 30 13:36:20 MailServer postfix/qmgr[58607]: 150B21A0: from=<root@MyDomain.ru>, size=530, nrcpt=2 (queue active)
Apr 30 13:36:20 MailServer postfix/pipe[60192]: 150B21A0: to=<all_out@MyDomain.ru>, relay=dovecot, delay=0.16, delays=0.09/0.01/0/0.06, dsn=2.0.0, status=sent (delivered via dovecot service)
Apr 30 13:36:21 MailServer postfix/smtp[60193]: 150B21A0: to=<TestEmail@mail.ru>, relay=mxs.mail.ru[94.100.180.104]:25, delay=1.1, delays=0.09/0.01/0.42/0.59, dsn=2.0.0, status=sent (250 OK id=1jU3k4-0004zy-TF)
Apr 30 13:36:21 MailServer postfix/qmgr[58607]: 150B21A0: removed

из Mozilla Thunderbird (заблокированный адрес):

Apr 30 13:40:50 MailServer postfix/submission/smtpd[60291]: connect from host-1111.pppoe.ru[11.11.11.11]
Apr 30 13:40:51 MailServer postfix/submission/smtpd[60291]: Anonymous TLS connection established from host-1111.pppoe.ru[11.11.11.11]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Apr 30 13:40:51 MailServer postfix/submission/smtpd[60291]: NOQUEUE: reject: RCPT from host-1111.pppoe.ru[11.11.11.11]: 554 5.7.1 <TestEmail@mail.ru>: Recipient address rejected: BLOCK_ALL_mail_ru; from=<root@MyDomain.ru> to=<TestEmail@mail.ru> proto=ESMTP helo=<[192.168.0.3]>
Apr 30 13:40:53 MailServer postfix/submission/smtpd[60291]: disconnect from host-1111.pppoe.ru[11.11.11.11]

из Mozilla Thunderbird (разрешенный адрес):
Apr 30 13:48:55 MailServer postfix/submission/smtpd[60633]: connect from host-1111.pppoe.ru[11.11.11.11]
Apr 30 13:48:55 MailServer postfix/submission/smtpd[60633]: Anonymous TLS connection established from host-1111.pppoe.ru[11.11.11.11]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Apr 30 13:48:56 MailServer postfix/submission/smtpd[60633]: 19C0E185: client=host-1111.pppoe.ru[11.11.11.11], sasl_method=PLAIN, sasl_username=root@MyDomain.ru.ru
Apr 30 13:48:56 MailServer postfix/cleanup[60641]: 19C0E185: message-id=<56caf7ac-5961-2b32-9927-ed27b2770add@MyDomain.ru.ru>
Apr 30 13:48:56 MailServer opendkim[57336]: 19C0E185: DKIM-Signature field added (s=mail, d=MyDomain.ru.ru)
Apr 30 13:48:56 MailServer postfix/qmgr[58607]: 19C0E185: from=<root@MyDomain.ru.ru>, size=775, nrcpt=2 (queue active)
Apr 30 13:48:56 MailServer postfix/pipe[60645]: 19C0E185: to=<all_out@MyDomain.ru.ru>, relay=dovecot, delay=0.34, delays=0.29/0/0/0.05, dsn=2.0.0, status=sent (delivered via dovecot service)
Apr 30 13:48:56 MailServer postfix/submission/smtpd[60633]: disconnect from host-1111.pppoe.ru[11.11.11.11]
Apr 30 13:48:56 MailServer postfix/smtp[60632]: 19C0E185: to=<TestEmail@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.26]:25, delay=0.61, delays=0.29/0/0.11/0.2, dsn=2.0.0, status=sent (250 2.0.0 OK 1588232936 t14si4723916edi.331 - gsmtp)
Apr 30 13:48:56 MailServer postfix/qmgr[58607]: 19C0E185: removed

Ответить
Записи: 8
 sadm
(@sadm)
Active Member
Присоединился: 5 лет назад

тогда  в main.cf добавить 

smtpd_soft_error_limit = 5
smtpd_hard_error_limit = 10
smtpd_error_sleep_time = 5s

ну и желательно установить и настроить fail2ban
Ответить
1 Ответ
(@kudrik_tt)
Присоединился: 5 лет назад

Active Member
Записи: 15

@sadm

Спасибо, в конфиг добавил, помогло. Это тестовый сервер, поэтому fail2ban чуть позже, даже если его взломают, просто очистим площадку и накатим заново, данных на нем нет. Но все равно, огромное спасибо.

/etc/postfix/delivery_only

mail.ru REJECT
google.com REJECT

/etc/postfix/sender_access

MyDomain.ru delivery_only

/etc/postfix/main.cf

smtpd_restriction_classes = delivery_only
delivery_only = check_recipient_access hash:/etc/postfix/delivery_only, reject

smtpd_recipient_restrictions = reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_multi_recipient_bounce,
reject_unauth_destination

smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/sender_access,
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain

 

Но письма из домена MyDomain.ru проходят в почтовый ящик mail.ru

Apr 30 11:17:31 MailServer postfix/pickup[53844]: E962F1A0: uid=48 from=<user146@MyDomain.ru>
Apr 30 11:17:31 MailServer postfix/cleanup[54085]: E962F1A0: message-id=<87e3f7202545a7b131577b05f343c0c3@MyDomain.ru>
Apr 30 11:17:31 MailServer postfix/qmgr[53845]: E962F1A0: from=<user146@MyDomain.ru>, size=502, nrcpt=2 (queue active)
Apr 30 11:17:32 MailServer postfix/pipe[54097]: E962F1A0: to=<all_out@MyDomain.ru>, relay=dovecot, delay=0.12, delays=0.04/0.01/0/0.07, dsn=2.0.0, status=sent (delivered via dovecot service)
Apr 30 11:17:32 MailServer postfix/smtp[54096]: E962F1A0: to=<TestMail@gmail.com>, relay=gmail-smtp-in.l.google.com[108.177.126.27]:25, delay=0.49, delays=0.04/0.01/0.1/0.34, dsn=2.0.0, status=sent (250 2.0.0 OK 1588223852 q24si5146650ejz.458 - gsmtp)
Apr 30 11:17:32 MailServer postfix/qmgr[53845]: E962F1A0: removed
Apr 30 11:17:50 MailServer postfix/smtpd[53923]: connect from unknown[185.143.74.49]

 

Спасибо что указали на opendkim - ума не приложу когда я умудрился его сломать (при первоначальной настройке работал), позже починю, пока отключил.

Ответить
Записи: 15
Создатель темы
(@kudrik_tt)
Active Member
Присоединился: 5 лет назад
От: @sadm

создаем sender_access, туда прописываем

# MyDomain.ru delivery_only

в delivery_only

#mail.ru OK
#google.com OK
#& etc.

в /etc/postfix/main.cf(это часть конфига для того что я указал выше)

smtpd_restriction_classes = delivery_only
delivery_only = check_recipient_access hash:/etc/postfix/conf/delivery_only, reject

smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/conf/sender_access
permit

странно конечно что в Roundcube не работает, а только через почтовый клиент.

Ответить
Записи: 15
Создатель темы
(@kudrik_tt)
Active Member
Присоединился: 5 лет назад

я, если честно, вообще не понимаю как web-интерфейс может влиять на фильтры отправки, по логам я что то не могу найти связь.

Ответить
3 Ответов
 sadm
(@sadm)
Присоединился: 5 лет назад

Active Member
Записи: 8

@kudrik_tt

Как у вас настроен web, сказать не могу, это надо конфиги roundecube смотреть, что там написано только вы знаете.

Могу предположить, что у вас какой-то другой MTA прописан в конфигах roundecube.

Ответить
(@kudrik_tt)
Присоединился: 5 лет назад

Active Member
Записи: 15

@sadm

Попробую все проверить, все настраивал по статье Zerox, конфиг по-умолчанию.

Ответить
(@kudrik_tt)
Присоединился: 5 лет назад

Active Member
Записи: 15

@sadm

Ничего путного в настройках не нашел, чтобы могло помочь решить отправку из roundcube. Ради крайней кривой меры сделал добавлением в transport, но решение конечно так себе:

  1. Добавьте это в main.cf, если его там еще нет:

    transport_maps = хэш:/etc/postfix/transport

  2. Добавьте эту строку в файл "/ etc / postfix / transport"

    address_to_discard@example.com сбросить

  3. Запустить postmap

    postmap / etc / postfix / transport

  4. Перезагрузить постфикс

    сервис перезагружает постфикс

    из статьи: https://faultserver.ru/questions/60357/blokirovka-ishodyaschej-pochtyi-na-opredelennyij-adres-s-pomoschyu-postfix

Ответить
Страница 2 / 2
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar