Postfix Relay access denied (in reply to RCPT TO command)) gond

Debian GNU/Linux

Sziasztok!

Adott egy Contabo-nál lévő VPS. Erre felhúztam 2 db lxc konténert.

A 10.0.0.101-en ülő gépen Postfix, Dovecot, Amavis, Postgrey gép (eddig más gépen volt, onnan lett átmentve).
MX rekordja: mail.tegyjot.hu.
Ennek a main.cf-je itt.

És van egy másik gép, ami a 10.0.0.103-on figyel. Ennek main.cf-je itt.

Mindenkor a 103-as gép küld levelet, mert minden más gépnek az van beállítva relayhost-nak.

A Reverse DNS be van állítva egyébként smtp.tegyjot.hu -nak. A gond, hogy ha küldök a 1 levelet, akkor az alábbi bejegyzés jelenik meg a 103-as gép mail.logjában:

Aug 6 09:59:04 tegyjoteszter postfix/smtp[13336]: D04AB20211A4: to=, relay=mail.tegyjot.hu[5.189.137.98]:25, delay=1246, delays=1240/5.1/0/0, dsn=4.7.1, status=deferred (host mail.tegyjot.hu[5.189.137.98] said: 454 4.7.1 : Relay access denied (in reply to RCPT TO command))

Update: Iptablesem lényegi része így néz ki:
#tegyjottiara

/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.101 -o eth0 -j SNAT --to 5.189.137.98

/sbin/iptables -t nat -A PREROUTING -p tcp -d 5.189.137.98 --dport 143 -i eth0 -j DNAT --to-destination 10.0.0.101:143

# tegyjoteszter

/sbin/iptables -t nat -A POSTROUTING -s 10.0.0.103 -o eth0 -j SNAT --to 5.189.137.98

/sbin/iptables -t nat -A PREROUTING -p tcp -d 5.189.137.98 --dport 25 -i eth0 -j DNAT --to-destination 10.0.0.103:25
/sbin/iptables -t nat -A PREROUTING -p tcp -d 5.189.137.98 --dport 465 -i eth0 -j DNAT --to-destination 10.0.0.103:465

Mi lehet a gond?
A 103-as gépen nem kell azonosítás, mynetworks-ben vannak felsorolva, kik küldhetnek levelet, eddig működött, de most nem megy a világért sem. Mi lehet a gond?
S.O.S. Helpet kérnék szépen, nem leszek hálátlan!

Köszönök mindent előre is!

( SzBlackY | 2016. 08. 06., szo – 10:12 )

A második main.cf-nél "" lett a href.

Nem lehet, hogy a 103-on master.cf-ből felülütöd a mynetworks-t/recipient_restrictions?

Szerk.: reggel van még, kevés kávé ennyi NAT-hoz :), nézz rá a 103-as logjában, hogy az milyen címet lát, amikor elutasítja

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Bocsi,javítottam a 103 main.cf linkjét.

103 mail.log:
Aug 6 09:59:04 tegyjoteszter postfix/smtp[13336]: D04AB20211A4: to=, relay=mail.tegyjot.hu[5.189.137.98]:25, delay=1246, delays=1240/5.1/0/0, dsn=4.7.1, status=deferred (host mail.tegyjot.hu[5.189.137.98] said: 454 4.7.1 : Relay access denied (in reply to RCPT TO command))

az 5.189.137.98 a node címe, amin az lxc konténerek ülnek.

--
-- GKPortál Blog
Tégy Jót!®
Legyen neked is Dropbox tárhelyed! :)

Mivel nem írtad, hogy 101 vagy 103-as gépen, ezért a 103-ason próbáltam.

root@tegyjoteszter:~# postconf -d | grep smtpd_recipient_restrictions
smtpd_recipient_restrictions = a válasz.

Szerk: még megvan az eredeti lxc gép, ahonnan átmentettem, és a történet ugyanaz, ott is, tehát smtpd_recipient_restrictions =

Mégis működik jól.

--
-- GKPortál Blog
Tégy Jót!®
Legyen neked is Dropbox tárhelyed! :)

( secretx v | 2016. 08. 06., szo – 11:02 )

Nem az a gond, hogy nem belso halon akar relayezni hanem kivulrol?

---------------------------------------------------
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"

Az SNAT miatt elvileg a 103 már a külső IP címet kellene, hogy lássa (54.akármiakármi), ami benne van a mynetworks-ben. (egyébként én simán felvenném a 10.0.0.0/8-at, és belső hálón küldeném a leveleket, nem NAT-olnám össze-vissza nyomorult kapcsolatot)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( Dwokfur v | 2016. 08. 06., szo – 11:10 )

Lehet, hogy csak engem zavar, de a to= az miért üres a log-ban? Vagy direkt kiszedted?

Bocs látom, hogy feljebb már kérdezték. Szóval ha nincs to, akkor az úgy nem frankó.
Hogy küldöd a levelet, hogy üres lesz a to? Valami nem stimmel szerintem a küldéssel...

Egyébként ha rossz lenne az iptables, akkor már el sem jutna a dolog odáig, hogy log keletkezzen - szerintem...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Nem nyúltam a loghoz,tehát copy-paste másoltam ide.

Az iptables nat szabály is jó, 1in1 másolódott át az egész cucc a Contabo-s gépre.

lxc gép-et leállítottam, tar.gz-vel becsomagoltam, átmásoltam scp-vel a tömörítvényt a contabo-s gépre, ott kicsomagoltam, ip-t átírtam, és ennyi történt.

Az igaz, hogy a mysql elcsesződött, így backup-ból kellett újra behúzni (tegnapi mentés), de ez nem befolyásolja szerintem.

Nem tudom, mi lehet a gond.

--
-- GKPortál Blog
Tégy Jót!®
Legyen neked is Dropbox tárhelyed! :)

A hogyan küldöd a levelet alatt azt értettem, hogy mivel generálod?
- Script készíti? Miért nem rak bele to-t? Vagy próbál bele rakni, csak valahol félre megy a próbálkozás?
- Valami szolgáltatás próbálja küldeni? Jól be van konfigolva az a szolgáltatás, hogy hova küldje?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Webgalamb-ot nem ismerem, de a mailx-nek szerintem több bement kell, mint egy szimpla Teszt.
Legyenek a teszt email-nek rendes header-jei. Leginkább a To: header legyen benne.
Az -e paraméterrel egyébként mi a célod?

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( SzBlackY | 2016. 08. 06., szo – 12:54 )

Várjál... kezdjük nulláról.

Ha kapnál egy levelet kívülről, az MX alapján beesne a mail.tegyjot.hu-ra -- amit átirányítasz a 103-ra.
A 103 a smtp.tegyjot.hu, tegyjoteszter, localhost.localdomain, localhost címekre érkező leveleket veszi át (tehát kívülről a @tegyjot.hu -val máris nem tudsz levelet fogadni)
[kipróbáltam, a postmaster@tegyjot.hu is Relay acccess denied - gondolom a 101-en a virtual_mailbox_domains-ben szerepel a @tegyjot.hu]
A 103-on így fel kellene venned ugyanazokat a domaineket, amiknek a 101 a leveleit tárolja, és át kellene adnod a 101-nek. (egyébként így egy csomó minden a 101 konfigban értelmét veszti, mert jó esetben a saját szervered nem szerepel egyik rbl-en sem, ha viszont igen, akkor nem fogod saját magadtól átvenni a leveleket)

Utána: ha a 101 küldene kifelé egy levelet (gondolom a submission port rá van irányítva, bár az iptables-ben ez nem látszik), akkor megpróbálja az smtp.tegyjot.hu-nak (5.189.137.98-nak) átadni. Ami elvileg már mint 5.189.137.98 látja, lehet, hogy érdemes lenne ehelyett a 101-en beállítanod a 10.0.0.103-at a relayhost-nak, és a 103-on felvenned a 10.0.0.0/8-at vagy kifejezetten a 10.0.0.103-at a mynetworks-be [szvsz. tisztább, hogy nem azért működik, mert össze-vissza NAT-olsz].

Szerk.: Egyébként mi a cél azzal, hogy így próbálod kétfelé venni? Ha a 101 csak tároló, akkor tisztább lenne, ha az SMTP forgalmat (smtp, submission stb.) kapná a 103, aztán az már LMTP-n adná tovább a 101-nek, ami viszont max a saját A rekordja szerinti nevével próbálna levelezgetni, relayhost-tal a 103-on keresztül.

Szerk 2.: Látom, közben már 11:55-kor "Sent a levelem"... ezek szerint működik? Mi lett a megoldás?

Szerk 3.: Korábban a mail.tegyjot.hu és az smtp.tegyjot.hu két külön IP címre mutatott, nem? (még mindig próbálom megfejteni, hogy ez hogyan működhetett eddig ill. mi a 103 célja)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)