[Postfixbuch-users] Vom Mailserver zum Relais (bzw. Server ohne lokale Postfächer)

F.Guenther at t-systems.com F.Guenther at t-systems.com
Di Aug 2 10:00:09 CEST 2011 

Danke erst einmal.. hier die postconf -n

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
home_mailbox = Maildir/
inet_interfaces = all
mailbox_size_limit = 0
mydestination = mailer.server.de, localhost.server.de, localhost, server.de, andereDom.de
myhostname = mailer.server.de
mynetworks = 1.2.3.....
myorigin = /etc/mailname
readme_directory = no
receive_override_options = no_address_mappings
recipient_delimiter = +
relayhost = 
smtp_sasl_password_maps = hash:/etc/passwd
smtp_tls_CAfile = /etc/postfix/ssl/rootcert.cer
smtp_tls_cert_file = /etc/postfix/ssl/cert.pem
smtp_tls_key_file = /etc/postfix/ssl/priv-key.pem
smtp_tls_note_starttls_offer = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_helo_required = yes
smtpd_proxy_filter = [localhost]:10024
smtpd_recipient_restrictions = check_sender_access btree:/etc/postfix/reject_taiwan,	check_client_access btree:/etc/postfix/reject_taiwan,        reject_non_fqdn_sender,        reject_non_fqdn_recipient,        reject_unknown_sender_domain,        reject_unknown_recipient_domain,        permit_sasl_authenticated,        permit_mynetworks,	reject_rbl_client zen.spamhaus.org,	reject_rbl_client ix.dnsbl.manitu.net,	reject_rbl_client bl.spamcop.net,	reject_rbl_client dnsbl.njabl.org,	reject_rbl_client list.dsbl.org,	reject_rbl_client blackholes.easynet.nl,    	reject_rbl_client cbl.abuseat.org,    	reject_rbl_client proxies.blackholes.wirehub.net,    	reject_rbl_client opm.blitzed.org,    	reject_rhsbl_sender blackhole.securitysage.com,	reject_rhsbl_client blackhole.securitysage.com,	check_policy_service inet:127.0.0.1:12525,        reject_unauth_destination,        permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_local_domain = mailer.server.de,server.de,andereDom.de
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/rootcert.cer
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/cert.pem
smtpd_tls_key_file = /etc/postfix/ssl/priv-key.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = hash:/etc/postfix/virtual-domains





-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listen.jpberlin.de [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Sandy Drobic
Gesendet: Montag, 1. August 2011 20:28
An: postfixbuch-users at listen.jpberlin.de
Betreff: Re: [Postfixbuch-users] Vom Mailserver zum Relais (bzw. Server ohne lokale Postfächer)

On 01.08.2011 09:32, F.Guenther at t-systems.com wrote:
> Hallo, 
> 
> wir betreiben seit einigen Jahren einen "echten" Mailserver. Nach dem Postfixbuch eingerichtet und stabil.
> Wir wollten unseren Server von Mail senden/empfangen -> zum Mailrelais umwandeln. Es sollen nur unsere 
> Adressen / Netze senden dürfen, die in der main.cf als Bereich oder Adresse stehen. Es sollen dann auf 
> dem "neuen Server" keine lokalen Postfächer mehr sein, außer dem postmaster at server.de Postfach. 
> Allerdings sollen einige Mails über die alias - Datei z.B. abc at server.de immer weitergeleitet 
> und nie lokal abgelegt werden. (Ich denke dass sind dann trotzdem Postfächer ??)

Ehrlich gesagt verstehe ich deine Ausführungen nicht. Willst du den
bestehenden in ein Relay umwandeln oder den neuen? Normalerweise nimmt man den
neuen als Relay, dann muss man nicht die ganzen Postfächer umziehen.

Bei dieser Konfiguration:

Mailserver <-> Mailrelay <-> Internet

würde der Mailserver die Mailboxen und die gültigen Adressen haben.
Das Mailrelay würde am einfachsten per recipient_verification nachfragen, ob
eine Adresse existiert, bevor eine Mail angenommen wird.


> -------------------------------------------------------------------------
> Ich hatte dazu folgende Lösung probiert:
> 
> In /etc/postfix/main.cf:
> smtpd_recipient_restrictions = check_recipient_access btree:/etc/postfix/access_postmaster, reject

Ein sicherer Server, der keine Mails mehr entgegen nimmt. (^-^)

Auf dem Mailrelay:

/etc/postfix/main.cf:
relay_domains =
	hash:/etc/postfix/relay_domains
smtpd_recipient_restrictions =
	check_client_access hash:/etc/postfix/clients_allowed_to_relay
	reject_unauth_destination
	check_recipient_access hash:/etc/postfix/role_accounts
	reject_unverified_recipients
transport_maps =
	hash:/etc/postfix/transport

/etc/postfix/clients_allowed_to_relay:
ip.of.mail.server	OK

/etc/postfix/role_accounts
abuse@		permit_auth_destination
postmaster@	permit_auth_destination

/etc/postfix/relay_domains:
your.domain.tld		OK
your.other.domain	OK

/etc/postfix/transport:
your.domain.tld		relay:[ip.of.mail.server]
your.other.domain	relay:[ip.of.mail.server]


Diese Konfig erfüllt folgende Aufgaben:
- Mails vom Mailserver dürfen ins Internet geschickt werden
- für alle anderen Clients gilt, dass die Mails nur für die eigenen Domains
entgegen genommen werden
- abuse und postmaster für die eigenen Domains werden immer angenommen
- es wird geprüft (gegen den mailserver), ob die Adresse existiert.
- Mails für die Relaydomains werden entgegen genommen und an den mailserver
geschickt

Dies ist eine absolute Minimalkonfiguration, die nur das Prinzip zeigen soll!
Es sind noch etliche Optionen sinnvoll, aber so solltest du das Prinzip sehen
können.

> In /etc/postfix/access_postmaster:
> postmaster@                     permit_auth_destination
> abc@					   permit_auth_destination
> Natürlich das 'postmap btree:/etc/postfix/access_postmaster' nicht vergessen.
> -------------------------------------------------------------------------
> 
> Das hat für die Adresse postmaster super geklappt. Aber die anderen Nutzer (aus unseren Netzen), die senden wollen (und nicht postmaster heißen)
> wurden auch rejected. Ich denke der Fehler war, das ein Relais auch erst einmal empfangen muss, bevor 
> weitergeleitet wird. Vielleicht geht ja auch ein:
> 
> @Netz             permit_auth_destination ? in der access_postmaster??
> 
> Ich möchte nicht lange probieren, da abc at server.de wirklich gebraucht wird. Danke im voraus.

Da du keine Konfig gepostet hast, kann ich die keine Tipps für den Mailserver
geben. Für eine präzisere Hilfe die Ausgabe des Befehls "postconf -n" notwendig.

-- 
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

Mehr Informationen über die Mailingliste Postfixbuch-users