Postfix backscatter nyomor

Web, mail, IRC, IM, hálózatok

Sziasztok,

van egy relatíve régi SMTP szerver - a régi azt jelenti, hogy egyrészt Debian 7, nagyjából frissítve, de nagyon régóta a VDA patch-el lett foltozva, és így használjuk rajta a virtuális userek kiszolgálását.
Hogy emiatt vagy sem, azt még nem tudom, de a Postfix átveszi a nem létező címekre is a leveleket, és miután az amavistól visszatért a mail, akkor "veszi" észre csak, hogy nincs olyan címzett, amire érkezett a levél - így aztán szépen mennek vissza feladónak a levelek.

Ez a releváns konfig: 

main.cf:
smtpd_recipient_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_unauth_destination
    check_client_access hash:/etc/postfix/denied_ips
    check_policy_service inet:127.0.0.1:10023

És a Postfix logja: 

postgrey[24280]: action=pass, reason=client whitelist, client_name=sender.hu, client_address=1.2.3.4, sender=airween@felado.hu, recipient=airwen@cimzett.hu
postfix/smtpd[17194]: BAB71276001B: client=sender.hu[1.2.3.4]
postfix/cleanup[17251]: BAB71276001B: message-id=<>
postfix/qmgr[17083]: BAB71276001B: from=<airween@felado.hu>, size=488, nrcpt=1 (queue active)
postfix/smtpd[17194]: disconnect from sender.hu[1.2.3.4]
postfix/smtpd[17167]: connect from localhost[127.0.0.1]
postfix/smtpd[17167]: 0E42B276005A: client=localhost[127.0.0.1]
postfix/cleanup[17171]: 0E42B276005A: message-id=<20161128101824.0E42B276005A@mail.kiszolgalo.hu>
postfix/qmgr[17083]: 0E42B276005A: from=<airween@felado.hu>, size=1205, nrcpt=1 (queue active)
postfix/smtpd[17167]: disconnect from localhost[127.0.0.1]
amavis[8848]: (08848-19) Passed CLEAN {RelayedInbound}, [1.2.3.4] <airween@felado.hu> -> <airwen@cimzett.hu>, mail_id: nCC-HAp7KCeQ, Hits: -0.013, size: 488, queued_as: 0E42B276005A, 286 ms
postfix/smtp[17165]: BAB71276001B: to=<airwen@cimzett.hu>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.35, delays=0.06/0/0/0.29, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0E42B276005A)
postfix/qmgr[17083]: BAB71276001B: removed
postfix/virtual[17176]: 0E42B276005A: to=<airwen@cimzett.hu>, relay=virtual, delay=0.08, delays=0.04/0/0/0.04, dsn=5.1.1, status=bounced (unknown user: "airwen@cimzett.hu")
postfix/cleanup[17161]: 22A8C276001B: message-id=<20161128101824.22A8C276001B@mail.kiszolgalo.hu>
postfix/bounce[17293]: 0E42B276005A: sender non-delivery notification: 22A8C276001B
postfix/qmgr[17083]: 22A8C276001B: from=<>, size=3099, nrcpt=1 (queue active)

Mit nézek el, hogy átveszi a Postfix a levelet? Ill milyen más megoldás létezik ilyen esetben, hogy kivédjem ezeket? Ja, és éles környezet, így nem lehet össze-vissza hadonászni a konfiggal.
(A következő hetekben térnénk át új szerverre, ez csak meggyorsítja az egész folyamatot, de addig is ezt meg kellene szüntetnem.)

  • 1795 megtekintés

( sheepy v | 2016. 11. 28., h – 15:17 )

postfix master.cf vonatkozó részeit be tudnád másolni?
Gyanítom ott lett valami elkonfigurálva.

S.

Kb ez? 

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -        100     smtpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
post-cleanup   unix  n       -       -       -       0       cleanup
   -o recipient_canonical_maps=
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache	  unix	-	-	-	-	1	scache

Igen, a main.cf-ben van megadva.

De amúgy a content_filter miért kavarna be? Hiszen pont az a gond, hogy még a filter előtt átveszi a postfix/smtpd, és nem végez cím ellenőrzést, vagy ha végez, akkor figyelmen kívül hagyja. (Az SQL-ben bekapcsoltam a query logot, és ott látszik, hogy végez, ill a master.cf-ben az smtp service parancsának adtam egy "-v -v" kapcsolót, így a mail.log-ban láttam a lekérdezéseket, de ott is végig "not found" volt, mégis betette a queue-ba.)

( airween v | 2016. 11. 28., h – 15:18 )

Közben kitaláltam egy ilyet: 

smtpd_recipient_restrictions =
    permit_mynetworks
    permit_sasl_authenticated
    reject_unauth_destination
    check_client_access hash:/etc/postfix/denied_ips
    check_policy_service inet:127.0.0.1:10023
    check_recipient_access mysql:/etc/postfix/mysql-recipient-access.cf

/etc/postfix/mysql-recipient-access.cf:
user = postfixuser
password = jelszo
dbname = postfix
query = SELECT IF(COUNT(address) > 0, "OK", "REJECT") FROM (SELECT address AS address FROM users_mail UNION ALL SELECT virtual AS address FROM virtual_mail) a WHERE address = '%s'
hosts = inet:127.0.0.1

és így ellenőrzi a címek meglétét mind a virtuális userek fiókcímei, mind az aliasok között. Egyelőre működni látszik - de még mindig érdekel, hogy ez miért kell ide, ugyanis más Postfix szervereken (ahol Dovecot a virtual relay) ugyanezekkel a szabályokkal azonnal visszavágja a küldőnek.

Nem tudom, nem lehet hogy a vessző hiányzik a sorvégekről?

postconf mint mond, benyalja a configurációt?

smtpd_recipient_restrictions

Itt azt írja, 2.10 után másr smtp_relay_restricions-t érdemes használni, a smtpd_recipient_restrictions már csak opcionális.

smtpd_recipient_restrictions =
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination

S.

Bocs, a Postfix még 2.9-es - a Debian 7-ben levő csomag forrását töltöm le, patch-elem VDA-val, és úgy telepítem csomagból.

És igen, a konfig helyes, a postconf visszaad minden beállított paramétert, pl: 

smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination ...