[postfix-users] Subdomains: Relay Access Denied

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

[postfix-users] Subdomains: Relay Access Denied

Kötter, Markus

Hallo zusammen,

wir betreiben einen Postfix der im internen Netz hinter einem in der DMZ befindlichen Mailgateway steht (Symantec Mailsecurity).

Bisher hat Postfix nur auf die Maildomain „mydomain.de“ gehorcht und in /etc/postfix/main.cf war unter „mynetworks“ die IP-Adresse des Mailgateways nicht eingetragen.

Hat soweit auch funktioniert.

Nun soll er aber auch auf Subdomains von „mydomain.de“ horchen und dazu habe ich in /etc/postfix/transport den Eintrag

mydomain.de             lmtp:127.0.0.1:10030

geändert zu:

.mydomain.de            lmtp:127.0.0.1:10030

Wenn ich nun eine Mail „von draußen“ an „[hidden email]“ schicke, dann bekomme ich ein „Relay Access Denied“.

Wenn ich unter „mynetworks“ die IP-Adresse des Mailgateways eintrage, dann funktioniert der Mailempfang für „mydomain.de“ und alle seine Subdomains.

Muß ich die IP-Adresse unbedingt unter „mynetworks“ eintragen, oder gibt es einen Weg die Mail für Subdomains entgegenzunehmen, ohne die Gatewayadresse einzutragen ?

Oder hab ich einen Konfigurationsfehler gemacht ?

 

Für Hinweise wäre ich dankbar.

 

Markus Kötter

 


_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] Subdomains: Relay Access Denied

Florian Streibelt
Am Do, 24.01.13 um 15:45:37 Uhr
schrieb "Kötter, Markus" <[hidden email]>:

> Hallo zusammen,
> wir betreiben einen Postfix der im internen Netz hinter einem in der DMZ befindlichen Mailgateway steht (Symantec Mailsecurity).
> Bisher hat Postfix nur auf die Maildomain "mydomain.de" gehorcht und in /etc/postfix/main.cf war unter "mynetworks" die IP-Adresse des Mailgateways nicht eingetragen.

muss auch nicht, solange sich der mailserver für die domain zuständig fühlt. Die Adressen/Netze in mynetworks werden in der Regel später in den restrictions genutzt, damit nicht jeder über diesen Server mail an externe Adressen senden kann. Sobald ein Einrag in mydestinations oder einer der virtual maps dafür sorgt, dass der mailserver sich für eine domain zuständig fühlt, nimmer er die mails an.


> Hat soweit auch funktioniert.

genau.

> Nun soll er aber auch auf Subdomains von "mydomain.de" horchen und dazu habe ich in /etc/postfix/transport den Eintrag
> mydomain.de             lmtp:127.0.0.1:10030
> geändert zu:
> mydomain.de            lmtp:127.0.0.1:10030

Ich vermute da fehlt noch das a.mydomain.de?

Die transport map teilt dem postfix nur mit, wohin eine mail weitergeleitet werden soll, nachdem sie bereits angenommen wurde. Lokal scheint da ein weiterer Dienst auf Port 10030 zu laufen - vermutlich ein Spamfilter/Virenscanner?

> Wenn ich nun eine Mail "von draußen" an "[hidden email]" schicke, dann bekomme ich ein "Relay Access Denied".

Von wo kommt denn diese Meldung genau? Kommt die sicher von dem postfix oder kommt die von der Symantec Lösung?


> Wenn ich unter "mynetworks" die IP-Adresse des Mailgateways eintrage, dann funktioniert der Mailempfang für "mydomain.de" und alle seine Subdomains.

Nun, das sorgt dafür, dass der postfix von dem Mailgateway einfach alles annimmt, ohne zu prüfen ob der empfänger existiert und ohne dass er dafür zuständig ist.

> Muß ich die IP-Adresse unbedingt unter "mynetworks" eintragen, oder gibt es einen Weg die Mail für Subdomains entgegenzunehmen, ohne die Gatewayadresse einzutragen ?
nein, ja

> Oder hab ich einen Konfigurationsfehler gemacht ?
ja



Durch mynetworks und den transportmap eintrag nimmst du derzeit alles an und leutest es lokal via transport weiter an den dienst auf dem port 10030. Schick mal eine Mail an eine nicht existierende dresse, das dürfte seltsame bounces auslösen oder in der mailq hängen bleiben. nicht schön.

Ich weiss aber zu wenig über das genaue Setup um da jetzt mehr zu helfen.


Grüße,
  Florian











_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Reply | Threaded
Open this post in threaded view
|

Re: [postfix-users] Subdomains: Relay Access Denied

Patrick Ben Koetter-2
In reply to this post by Kötter, Markus
Markus,

* Kötter, Markus <[hidden email]>:

> Hallo zusammen,
> wir betreiben einen Postfix der im internen Netz hinter einem in der DMZ befindlichen Mailgateway steht (Symantec Mailsecurity).
> Bisher hat Postfix nur auf die Maildomain "mydomain.de" gehorcht und in /etc/postfix/main.cf war unter "mynetworks" die IP-Adresse des Mailgateways nicht eingetragen.
> Hat soweit auch funktioniert.
> Nun soll er aber auch auf Subdomains von "mydomain.de" horchen und dazu habe ich in /etc/postfix/transport den Eintrag
> mydomain.de             lmtp:127.0.0.1:10030
> geändert zu:
> .mydomain.de            lmtp:127.0.0.1:10030
> Wenn ich nun eine Mail "von draußen" an "[hidden email]" schicke, dann
> bekomme ich ein "Relay Access Denied". Wenn ich unter "mynetworks" die
> IP-Adresse des Mailgateways eintrage, dann funktioniert der Mailempfang für
> "mydomain.de" und alle seine Subdomains. Muß ich die IP-Adresse unbedingt
> unter "mynetworks" eintragen, oder gibt es einen Weg die Mail für Subdomains
> entgegenzunehmen, ohne die Gatewayadresse einzutragen ? Oder hab ich einen
> Konfigurationsfehler gemacht ?

du vermischt Zuständigkeit für eine Domain mit Routing der Domain.

In Deiner Config scheint zu fehlen, dass Dein Boundary Filter auch für
subdomains von mydomain.de zuständig ist. Die Subdomains solltest Du zu
relay_domains hinzufügen. Damit weiß Postfix er ist dafür zuständig.

Jetzt kommt das Routing.

Wenn Du auf dem Gateway Mail für Subdomains annehmen und nach hinten an
andere SMTP/LMTP-Server verteilen willst, dann sind Deine Einträge in der
transport map richtig. Den Teil hast Du, soweit ich das von hier aus
überblicken kann, richtig.

Der Parameter $mynetworks, den Du oben erwähnst, regelt einen ganz anderen
Aspekt. Bitte stell ihn gleich wieder zurück. Dieser Parameter regelt welcher
Client (IP/Networkrange) Nachrichten _über_ den Boundary Filter an Ziele
senden darf, für die der Boundary Filter NICHT selber zuständig ist - also
relayen.

Deshalb erhältst Du im Moment auch die Fehlermeldung "Relay Access Denied".
Dein Client möchte die Mail über Deinen Boundary Filter absetzen. Der sieht
sich mangels Eintrag in relay_domains nicht zuständig für die Domain und denkt
Du willst ihn jetzt als Relay mißbrauchen und das lehnt er ab.

HTH

p@rick



>
> Für Hinweise wäre ich dankbar.
>
> Markus Kötter
>

> _______________________________________________
> postfix-users mailing list
> [hidden email]
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users


--
[*] sys4 AG
 
http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich
_______________________________________________
postfix-users mailing list
[hidden email]
http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users