poostfix + dovcot sasl

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

poostfix + dovcot sasl

Günther J. Niederwimmer
Hallo,
kann mir von Euch jemand auf die richtige Spur bringen ?

Ich habe seit neuestem diese Meldungen die User gibt es aber nicht!

-Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
848A220110D0   132700 Tue Oct 24 07:38:35  mail-
[hidden email]
(host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]> Internal error
occurred. Refer to server log for more information. (in reply to RCPT TO
command))
                                         [hidden email]

CA22420110D9   104097 Mon Oct 23 20:19:23  [hidden email]
(host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]>
Internal error occurred. Refer to server log for more information. (in reply
to RCPT TO command))
                                         [hidden email]

[root@mx01 dovecot]# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
bounce_template_file = /etc/postfix/bounce.de-DE.cf
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
compatibility_level = 2
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
$daemon_directory/$process_name $process_id & sleep 5
default_database_type = btree
html_directory = no
inet_interfaces = all
lmtp_dns_support_level = dnssec
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
message_size_limit = 20480000
meta_directory = /etc/postfix
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
myhostname = mx01.4gjn.com
mynetworks = 89.26.108.0/28, 127.0.0.0/8, 192.168.100.0/24, [2001:470:1f0b:
371::]/64
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases.postfix
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
postscreen_access.cidr
postscreen_bare_newline_action = drop
postscreen_bare_newline_enable = yes
postscreen_blacklist_action = drop
postscreen_dnsbl_action = enforce
postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com
ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
[0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_ttl = 1h
postscreen_dnsbl_whitelist_threshold = -1
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
postscreen_whitelist_interfaces = static:all
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix3-3.2.3/README_FILES
recipient_delimiter = +
relay_domains = btree:/etc/postfix/relay_domains
sample_directory = /usr/share/doc/postfix3-3.2.3/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
shlib_directory = /usr/lib/postfix
smtp_dns_support_level = dnssec
smtp_sasl_security_options = noplaintext, noanonymous
smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK,
aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_security_level = dane
smtp_use_tls = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_auth_destination, permit_mynetworks, reject_unverified_recipient,
reject_unauth_destination, reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous,
smtpd_sasl_tls_security_options = noanonymous,
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = check_sender_access btree:/etc/postfix/
check_sender_access
smtpd_tls_CAfile = /etc/pki/tls/cert.pem
smtpd_tls_CApath = /etc/pki/tls
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/letsencrypt/live/mx01.4gjn.com/fullchain.pem
smtpd_tls_dh1024_param_file = /etc/pki/postfix/private/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/pki/postfix/private/dh_1024.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, MD5, PSK, aECDH, EDH-
DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-SHA.
CAMELLIA256-SHA
smtpd_tls_key_file = /etc/pki/tls/private/4gjn.com.key
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, MD5, PSK, aECDH,
EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA, CAMELLIA128-
SHA. CAMELLIA256-SHA
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_use_tls = yes
tls_preempt_cipherlist = yes
tls_random_bytes = 128
transport_maps = btree:/etc/postfix/transport, $relay_domains
unknown_local_recipient_reject_code = 550
unverified_recipient_reject_code = 577
virtual_alias_maps = btree:/etc/postfix/virtual
virtual_transport = lmtps:inet:mailstore:24


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: poostfix + dovcot sasl

Kai Fürstenberg
moin,

Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer:

> Hallo,
> kann mir von Euch jemand auf die richtige Spur bringen ?
>
> Ich habe seit neuestem diese Meldungen die User gibt es aber nicht!
>
> -Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
> 848A220110D0   132700 Tue Oct 24 07:38:35  mail-
> [hidden email]
> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]> Internal error
> occurred. Refer to server log for more information. (in reply to RCPT TO
> command))

da steht "refer to server log for more information". Du lieferst es aber
leider nicht mit.

Im Log solltest du die passende Antwort finden.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: poostfix + dovcot sasl

Günther J. Niederwimmer
Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg:

> moin,
>
> Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer:
> > Hallo,
> > kann mir von Euch jemand auf die richtige Spur bringen ?
> >
> > Ich habe seit neuestem diese Meldungen die User gibt es aber nicht!
> >
> > -Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
> > 848A220110D0   132700 Tue Oct 24 07:38:35  mail-
> > [hidden email]
> > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]> Internal error
> > occurred. Refer to server log for more information. (in reply to RCPT TO
> > command))
>
> da steht "refer to server log for more information". Du lieferst es aber
> leider nicht mit.
>
> Im Log solltest du die passende Antwort finden.
Das einzige was ich finde ist noch verwirrender ?

Laut den logs dürfte da nichts durchkommen!!
Warum da ein PASS OLD steht ist mit schleierhaft...

da muss irgendwo ein cache sein der nicht gelöscht wird ?


Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from [178.77.121.168]:
52162 to [89.26.108.7]:25
Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by
domain list.dnswl.org as 127.0.15.0
Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by
domain wl.mailspike.net as 127.0.0.18
Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
domain hostkarma.junkemailfilter.com as 127.0.0.1
Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
domain hostkarma.junkemailfilter.com as 127.0.1.1
Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD [178.77.121.168]:52162
Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect from 005.de-
mx.crsend.com[178.77.121.168]
Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection established
from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with cipher ECDHE-RSA-
AES256-GCM-SHA384 (256/256 bits)
Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de-
mx.crsend.com[178.77.121.168]
Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de-
mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1
commands=7
Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate
1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16
Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection count 1
for (smtpd:178.77.121.168) at Oct 27 09:04:16

--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: poostfix + dovcot sasl

Kai Fürstenberg
Hallo Günther,

Am 27.10.2017 um 13:36 schrieb Günther J. Niederwimmer:

> Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg:
>> moin,
>>
>> Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer:
>>> Hallo,
>>> kann mir von Euch jemand auf die richtige Spur bringen ?
>>>
>>> Ich habe seit neuestem diese Meldungen die User gibt es aber nicht!
>>>
>>> -Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
>>> 848A220110D0   132700 Tue Oct 24 07:38:35  mail-
>>> [hidden email]
>>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]> Internal error
>>> occurred. Refer to server log for more information. (in reply to RCPT TO
>>> command))
>>
>> da steht "refer to server log for more information". Du lieferst es aber
>> leider nicht mit.
>>
>> Im Log solltest du die passende Antwort finden.
> Das einzige was ich finde ist noch verwirrender ?
>
> Laut den logs dürfte da nichts durchkommen!!
> Warum da ein PASS OLD steht ist mit schleierhaft...
>
> da muss irgendwo ein cache sein der nicht gelöscht wird ?
>
>
> Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from [178.77.121.168]:
> 52162 to [89.26.108.7]:25
> Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by
> domain list.dnswl.org as 127.0.15.0
> Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by
> domain wl.mailspike.net as 127.0.0.18
> Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
> domain hostkarma.junkemailfilter.com as 127.0.0.1
> Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
> domain hostkarma.junkemailfilter.com as 127.0.1.1
> Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD [178.77.121.168]:52162
> Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect from 005.de-
> mx.crsend.com[178.77.121.168]
> Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection established
> from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with cipher ECDHE-RSA-
> AES256-GCM-SHA384 (256/256 bits)
> Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de-
> mx.crsend.com[178.77.121.168]
> Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de-
> mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1
> commands=7
> Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate
> 1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16
> Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection count 1
> for (smtpd:178.77.121.168) at Oct 27 09:04:16
>

Das Log hat mit der Mail oben nichts zu tun. Du hast offenbar ein
Zustellungs-/Übermittlungsproblem bei nicht existenten Usern. Dazu aber
später.

Deine Restiktionen sind auch nicht unbedingt sinnvoll in Reihenfolge
gebracht:

> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname

Da dein smtpd_delay_reject per default auf "yes" steht, erfolgen diese
Tests erst nach dem RCPT TO. Du kannst die Test somit mit den
smtpd_recipient_restrictions kombinieren.

> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_auth_destination, permit_mynetworks, reject_unverified_recipient,
> reject_unauth_destination, reject

Du gehst hier den umgekehrten Weg, was im Grunde in Ordnung ist. Aber
die Reihenfolge ist entscheidend. Die erste Regel, die zutrifft, gewinnt.

Durch das permit_auth_destination wird eine Mail angenommen, wenn sie
für deine Domain bestimmt ist. Hier wird der Empfänger aber nicht
geprüft. Das soll wohl laut deinen Restriktionen im Nachhinein erfolgen,
passiert aber letztlich nicht mehr, weil die Mail schon durch das
permit_auth_destination akzeptiert wurde.

Du müsstest das reject_unverified_recipient _vor_ das
permit_auth_destination setzen. Das ist aber nicht sinnvoll, zumindest
nicht an dieser Stelle.

Auch benutzt du permit_auth_destination und reject_unauth_destination
zusammen. Das schließt sich zwar nicht aus, ist aber unnötig.

Du kannst das alles vereinfachen:

1. Schmeiß die Helo-Restrictions raus.

2. Sortiere die recipient_restrictions anders:
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_destination

Damit erlaubst du erst mal das eigene Netzwerk und SASL-User. Alle Mails
die dann nicht für deine Domains bestimmt sind, werden abgelehnt. Ab
hier ist permit_auth_destination unnötig.

Danach noch ein:
   reject_invalid_hostname,
   reject_unverified_recipient

... und das war's. Was bis hier hin kommt, ist für dich bestimmt und in
Ordnung und kann zugestellt werden. Du könntest jetzt noch ein
   permit
setzen, ist aber nicht erforderlich.

Das löst das Problem mit den Mails an nicht existente User aber nicht.

Es heißt ganz klar:

> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]>
> Internal error occurred. Refer to server log for more information. (in reply
> to RCPT TO command))

Der Fehler liegt intern auf deinem Server (127.0.0.1). Welcher Fehler
das ist, steht im Log zu dieser Mail.

Du müsstest eigentlich die gleiche Fehlermeldung bekommen, wenn du per
SASL eine Mail an einen nicht existenten User auf deinem Server sendest.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws
Reply | Threaded
Open this post in threaded view
|

Re: poostfix + dovcot sasl

Günther J. Niederwimmer
Hallo Kai,

zuerst ein Dankeschön für Deine Antwort,

Am Mittwoch, 1. November 2017, 14:28:59 CET schrieb Kai Fürstenberg:

> Hallo Günther,
>
> Am 27.10.2017 um 13:36 schrieb Günther J. Niederwimmer:
> > Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg:
> >> moin,
> >>
> >> Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer:
> >>> Hallo,
> >>> kann mir von Euch jemand auf die richtige Spur bringen ?
> >>>
> >>> Ich habe seit neuestem diese Meldungen die User gibt es aber nicht!
> >>>
> >>> -Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
> >>> 848A220110D0   132700 Tue Oct 24 07:38:35  mail-
> >>> [hidden email]
> >>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <[hidden email]> Internal error
> >>> occurred. Refer to server log for more information. (in reply to RCPT TO
> >>> command))
> >>
> >> da steht "refer to server log for more information". Du lieferst es aber
> >> leider nicht mit.
> >>
> >> Im Log solltest du die passende Antwort finden.
> >
> > Das einzige was ich finde ist noch verwirrender ?
> >
> > Laut den logs dürfte da nichts durchkommen!!
> > Warum da ein PASS OLD steht ist mit schleierhaft...
> >
> > da muss irgendwo ein cache sein der nicht gelöscht wird ?
> >
> >
> > Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from
> > [178.77.121.168]: 52162 to [89.26.108.7]:25
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by
> > domain list.dnswl.org as 127.0.15.0
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by
> > domain wl.mailspike.net as 127.0.0.18
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
> > domain hostkarma.junkemailfilter.com as 127.0.0.1
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
> > domain hostkarma.junkemailfilter.com as 127.0.1.1
> > Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD
> > [178.77.121.168]:52162 Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect
> > from 005.de-
> > mx.crsend.com[178.77.121.168]
> > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection
> > established from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with
> > cipher ECDHE-RSA- AES256-GCM-SHA384 (256/256 bits)
> > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de-
> > mx.crsend.com[178.77.121.168]
> > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de-
> > mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1
> > quit=1
> > commands=7
> > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate
> > 1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16
> > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection
> > count 1 for (smtpd:178.77.121.168) at Oct 27 09:04:16
>
> Das Log hat mit der Mail oben nichts zu tun. Du hast offenbar ein
> Zustellungs-/Übermittlungsproblem bei nicht existenten Usern. Dazu aber
> später.
>
> Deine Restiktionen sind auch nicht unbedingt sinnvoll in Reihenfolge
>
> gebracht:
> > smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
>
> Da dein smtpd_delay_reject per default auf "yes" steht, erfolgen diese
> Tests erst nach dem RCPT TO. Du kannst die Test somit mit den
> smtpd_recipient_restrictions kombinieren.
>
> > smtpd_recipient_restrictions = permit_sasl_authenticated,
> > permit_auth_destination, permit_mynetworks, reject_unverified_recipient,
> > reject_unauth_destination, reject
>
> Du gehst hier den umgekehrten Weg, was im Grunde in Ordnung ist. Aber
> die Reihenfolge ist entscheidend. Die erste Regel, die zutrifft, gewinnt.
>
> Durch das permit_auth_destination wird eine Mail angenommen, wenn sie
> für deine Domain bestimmt ist. Hier wird der Empfänger aber nicht
> geprüft. Das soll wohl laut deinen Restriktionen im Nachhinein erfolgen,
> passiert aber letztlich nicht mehr, weil die Mail schon durch das
> permit_auth_destination akzeptiert wurde.
>
> Du müsstest das reject_unverified_recipient _vor_ das
> permit_auth_destination setzen. Das ist aber nicht sinnvoll, zumindest
> nicht an dieser Stelle.
>
> Auch benutzt du permit_auth_destination und reject_unauth_destination
> zusammen. Das schließt sich zwar nicht aus, ist aber unnötig.
>
> Du kannst das alles vereinfachen:
>
> 1. Schmeiß die Helo-Restrictions raus.
>
> 2. Sortiere die recipient_restrictions anders:
>    permit_mynetworks,
>    permit_sasl_authenticated,
>    reject_unauth_destination
>
> Damit erlaubst du erst mal das eigene Netzwerk und SASL-User. Alle Mails
> die dann nicht für deine Domains bestimmt sind, werden abgelehnt. Ab
> hier ist permit_auth_destination unnötig.
>
> Danach noch ein:
>    reject_invalid_hostname,
>    reject_unverified_recipient
>
> ... und das war's. Was bis hier hin kommt, ist für dich bestimmt und in
> Ordnung und kann zugestellt werden. Du könntest jetzt noch ein
>    permit
> setzen, ist aber nicht erforderlich.

OK , habe ich jetzt nach Deiner Anleitung geändert, Danke

 
> Das löst das Problem mit den Mails an nicht existente User aber nicht.
>
> Es heißt ganz klar:
> > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0
> > <[hidden email]>
> > Internal error occurred. Refer to server log for more information. (in
> > reply to RCPT TO command))

Das scheint an dem postscreen Cache gelegen zu sein, habe mir mal den cache
angesehen da waren gewisse IP's whitlistet ?? Ich habe jetzt mal den Cache
gelöscht und die IP's extra noch blacklisted, da scheint jetzt Ruhe zu sein ??
Warum diese IP's whitelistet waren, kann ich nicht sagen?

Jedenfalls wurden diese Mails von Postfix angenommen aber später von dovecot
abgelehnt weil kein User dafür da war!! Das dürfte diese eigenartige
Fehlermeldung ausgelöst haben. In den Logs stand nichts erhellendes jedenfalls
für mich.

Seit ich das ganze über PAM laufen lasse, scheint es einige Probleme zu geben
(dovecot) ?

Am besten hat das direct über LDAP  funktioniert, aber Jetzt habe ich FreeIPA
installiert für die USER und da müßte es eigentlich einen Weg für FreeIPA ->
sssd -> PAM -> dovecot -> postfix geben denn sssd kann ja in der Zwischenzeit
sehr viel, nur ich steige anscheinend bei der Konfiguration von sssd nicht
durch.
 
> Der Fehler liegt intern auf deinem Server (127.0.0.1). Welcher Fehler
> das ist, steht im Log zu dieser Mail.
>
> Du müsstest eigentlich die gleiche Fehlermeldung bekommen, wenn du per
> SASL eine Mail an einen nicht existenten User auf deinem Server sendest.


--
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: poostfix + dovcot sasl

Kai Fürstenberg
Am 01.11.2017 um 15:52 schrieb Günther J. Niederwimmer:
>> Das löst das Problem mit den Mails an nicht existente User aber nicht.
>>
>> Es heißt ganz klar:
>>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0
>>> <[hidden email]>
>>> Internal error occurred. Refer to server log for more information. (in
>>> reply to RCPT TO command))

> Das scheint an dem postscreen Cache gelegen zu sein, habe mir mal den cache
> angesehen da waren gewisse IP's whitlistet ?? Ich habe jetzt mal den Cache
> gelöscht und die IP's extra noch blacklisted, da scheint jetzt Ruhe zu sein ??
> Warum diese IP's whitelistet waren, kann ich nicht sagen?

Nein, Postscreen hat hiermit nichts zu tun. Postscreen entscheidet nur,
ob ein Client versuchen darf, eine Mail einzuliefern. Postscreen
entscheidet nicht, ob eine Mail angenommen wird oder nicht.

> Jedenfalls wurden diese Mails von Postfix angenommen aber später von dovecot
> abgelehnt weil kein User dafür da war!! Das dürfte diese eigenartige
> Fehlermeldung ausgelöst haben. In den Logs stand nichts erhellendes jedenfalls
> für mich.

Die Meldung sieht mir nicht so aus, als hätte Dovecot irgendetwas
abgelehnt. Hätte Dovecot die Mail abgelehnt, hätte dein Postfix einen
entsprechenden Bounce erzeugen müssen (hat er wahrscheinlich später
gemacht, aber dann aus einem anderen Grund).

Ich habe die Meldung mal gegoogelt und sie scheint tatsächlich vom
Dovecot zu kommen. Das würde vermutlich bedeuten, dass Dovecot die Mail
versucht zuzustellen, aber mangels Verzeichnis die Datei nicht schreiben
kann und daher diese Meldung zurückliefert. Postfix betrachtet dies als
temporäres Problem, die Mail bleibt in der Queue.

Das bedeutet aber weiterhin, dass Dovecot die Mail eben nicht ablehnt,
sondern weiterhin versucht zuzustellen.

Wie gesagt: Du müsstest den gleichen Fehler erhalten, wenn du per SASL
eine Mail an einen nicht existenten Empfänger sendet. Dann solltest du
auch im Log etwas sehen.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws