サフィックス構成:
~ # postconf -n | grep mynetworks
mynetworks = 127.0.0.0/8
mynetworks_style = host
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject
smtpd_sender_restrictions = reject_sender_login_mismatch, reject_non_fqdn_sender, reject_unlisted_sender, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_unknown_sender_domain, reject_unauth_pipelining, reject
しかし、私の期待とは異なり、postfixサーバーは存在しないドメイン、間違ったドメインのすべてを許可します。これについて全く責任がなく、したがってオープンリレーです。
{} ~ telnet SERVER 25
Trying IP...
Connected to SERVER.
Escape character is '^]'.
220 SERVER ESMTP Postfix (Debian/GNU)
HELO google.de
250 SERVER
MAIL FROM: [email protected]
250 2.1.0 Ok
RCPT TO: [email protected]
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Test
.
250 2.0.0 Ok: queued as 4AB737C1039
QUIT
221 2.0.0 Bye
Connection closed by foreign host.
ご覧のとおり、これはpostfix設定で定義されているいくつかの規則に明らかに違反します。
Q:この問題を解決する理由と方法は何ですか?
フルサフィックス構成:
~ # postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
home_mailbox = Mail/Inbox/
inet_interfaces = all
inet_protocols = all
mailbox_command = /usr/lib/dovecot/deliver
mailbox_size_limit = 0
milter_default_action = accept
milter_protocol = 6
mydestination = $myhostname, SERVER, localhost.DOMAIN, localhost
myhostname = SERVER
mynetworks = 127.0.0.0/8
mynetworks_style = host
myorigin = /etc/mailname
non_smtpd_milters = inet:localhost:12301
readme_directory = no
recipient_delimiter = +
smtp_tls_CAfile = /etc/letsencrypt/live/SERVER/cert.pem
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname SOOS ESMTP $mail_name (Debian/GNU)
smtpd_milters = inet:localhost:12301
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous, noplaintext
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = reject_sender_login_mismatch, reject_non_fqdn_sender, reject_unlisted_sender, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_unknown_sender_domain, reject_unauth_pipelining, reject
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/letsencrypt/live/SERVER/fullchain.pem
smtpd_tls_exclude_ciphers = aNULL, LOW, EXP, MEDIUM, ADH, AECDH, MD5, DSS, ECDSA, CAMELLIA128, 3DES, CAMELLIA256, RSA+AES, eNULL
smtpd_tls_key_file = /etc/letsencrypt/live/SERVER/privkey.pem
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_security_level = may
tls_preempt_cipherlist = yes
答え1
リスニングインターフェースは無制限ですlo/127.0.0.1
inet_interfaces = all
答え2
確認のためにTelnetテストを実行するときは、mail.logを追跡することをお勧めします。確かに接続しようとしているIPアドレスは実際にはネットワークにありません。その場合、リレー制限の最初のルールはトラフィックを許可します。
たとえば、ファイアウォールの設定変更により、ピアリング接続の送信元 IP がブロックされました。これは作るみんな接続がネットワーク内にあるようです。 postfix設定には何も変更されませんでした。メールログによると、すべてのトラフィックはファイアウォール自体から発生します。みんなにとって悪い日です。
インターフェースをlocalhostに設定することは、localhostでも接続することを意味します。指定された規則に従ってリレー会議この場合は許可されます。