poostfix + dovcot sasl

Günther J. Niederwimmer gjn at gjn.priv.at
Mi Nov 1 15:52:11 CET 2017 

Hallo Kai,

zuerst ein Dankeschön für Deine Antwort,

Am Mittwoch, 1. November 2017, 14:28:59 CET schrieb Kai Fürstenberg:
> Hallo Günther,
> 
> Am 27.10.2017 um 13:36 schrieb Günther J. Niederwimmer:
> > Am Dienstag, 24. Oktober 2017, 14:51:22 CEST schrieb Kai Fürstenberg:
> >> moin,
> >> 
> >> Am 24.10.2017 um 14:15 schrieb Günther J. Niederwimmer:
> >>> Hallo,
> >>> kann mir von Euch jemand auf die richtige Spur bringen ?
> >>> 
> >>> Ich habe seit neuestem diese Meldungen die User gibt es aber nicht!
> >>> 
> >>> -Queue ID-  --Size-- ----Arrival Time---- -Sender/Recipient-------
> >>> 848A220110D0   132700 Tue Oct 24 07:38:35  mail-
> >>> GUIDQ7BSGDKB6JMNGFSCHN6A at info.wirkaufendeinauto.at
> >>> (host 127.0.0.1[127.0.0.1] said: 451 4.3.0 <ghkk at gjn.at> Internal error
> >>> occurred. Refer to server log for more information. (in reply to RCPT TO
> >>> command))
> >> 
> >> da steht "refer to server log for more information". Du lieferst es aber
> >> leider nicht mit.
> >> 
> >> Im Log solltest du die passende Antwort finden.
> > 
> > Das einzige was ich finde ist noch verwirrender ?
> > 
> > Laut den logs dürfte da nichts durchkommen!!
> > Warum da ein PASS OLD steht ist mit schleierhaft...
> > 
> > da muss irgendwo ein cache sein der nicht gelöscht wird ?
> > 
> > 
> > Oct 27 09:04:07 mx01 postfix/postscreen[12043]: CONNECT from
> > [178.77.121.168]: 52162 to [89.26.108.7]:25
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12276]: addr 178.77.121.168 listed by
> > domain list.dnswl.org as 127.0.15.0
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12286]: addr 178.77.121.168 listed by
> > domain wl.mailspike.net as 127.0.0.18
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
> > domain hostkarma.junkemailfilter.com as 127.0.0.1
> > Oct 27 09:04:07 mx01 postfix/dnsblog[12273]: addr 178.77.121.168 listed by
> > domain hostkarma.junkemailfilter.com as 127.0.1.1
> > Oct 27 09:04:09 mx01 postfix/postscreen[12043]: PASS OLD
> > [178.77.121.168]:52162 Oct 27 09:04:15 mx01 postfix/smtpd[12290]: connect
> > from 005.de-
> > mx.crsend.com[178.77.121.168]
> > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: Trusted TLS connection
> > established from 005.de-mx.crsend.com[178.77.121.168]: TLSv1.2 with
> > cipher ECDHE-RSA- AES256-GCM-SHA384 (256/256 bits)
> > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: 5BACA20110D0: client=005.de-
> > mx.crsend.com[178.77.121.168]
> > Oct 27 09:04:16 mx01 postfix/smtpd[12290]: disconnect from 005.de-
> > mx.crsend.com[178.77.121.168] ehlo=2 starttls=1 mail=1 rcpt=1 data=1
> > quit=1
> > commands=7
> > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection rate
> > 1/60s for (smtpd:178.77.121.168) at Oct 27 09:04:16
> > Oct 27 09:07:36 mx01 postfix/anvil[12298]: statistics: max connection
> > count 1 for (smtpd:178.77.121.168) at Oct 27 09:04:16
> 
> Das Log hat mit der Mail oben nichts zu tun. Du hast offenbar ein
> Zustellungs-/Übermittlungsproblem bei nicht existenten Usern. Dazu aber
> später.
> 
> Deine Restiktionen sind auch nicht unbedingt sinnvoll in Reihenfolge
> 
> gebracht:
> > smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
> 
> Da dein smtpd_delay_reject per default auf "yes" steht, erfolgen diese
> Tests erst nach dem RCPT TO. Du kannst die Test somit mit den
> smtpd_recipient_restrictions kombinieren.
> 
> > smtpd_recipient_restrictions = permit_sasl_authenticated,
> > permit_auth_destination, permit_mynetworks, reject_unverified_recipient,
> > reject_unauth_destination, reject
> 
> Du gehst hier den umgekehrten Weg, was im Grunde in Ordnung ist. Aber
> die Reihenfolge ist entscheidend. Die erste Regel, die zutrifft, gewinnt.
> 
> Durch das permit_auth_destination wird eine Mail angenommen, wenn sie
> für deine Domain bestimmt ist. Hier wird der Empfänger aber nicht
> geprüft. Das soll wohl laut deinen Restriktionen im Nachhinein erfolgen,
> passiert aber letztlich nicht mehr, weil die Mail schon durch das
> permit_auth_destination akzeptiert wurde.
> 
> Du müsstest das reject_unverified_recipient _vor_ das
> permit_auth_destination setzen. Das ist aber nicht sinnvoll, zumindest
> nicht an dieser Stelle.
> 
> Auch benutzt du permit_auth_destination und reject_unauth_destination
> zusammen. Das schließt sich zwar nicht aus, ist aber unnötig.
> 
> Du kannst das alles vereinfachen:
> 
> 1. Schmeiß die Helo-Restrictions raus.
> 
> 2. Sortiere die recipient_restrictions anders:
>    permit_mynetworks,
>    permit_sasl_authenticated,
>    reject_unauth_destination
> 
> Damit erlaubst du erst mal das eigene Netzwerk und SASL-User. Alle Mails
> die dann nicht für deine Domains bestimmt sind, werden abgelehnt. Ab
> hier ist permit_auth_destination unnötig.
> 
> Danach noch ein:
>    reject_invalid_hostname,
>    reject_unverified_recipient
> 
> ... und das war's. Was bis hier hin kommt, ist für dich bestimmt und in
> Ordnung und kann zugestellt werden. Du könntest jetzt noch ein
>    permit
> setzen, ist aber nicht erforderlich.

OK , habe ich jetzt nach Deiner Anleitung geändert, Danke

 
> Das löst das Problem mit den Mails an nicht existente User aber nicht.
> 
> Es heißt ganz klar:
> > (host 127.0.0.1[127.0.0.1] said: 451 4.3.0
> > <200801241206.33968 at gjn.priv.at>
> > Internal error occurred. Refer to server log for more information. (in
> > reply to RCPT TO command))

Das scheint an dem postscreen Cache gelegen zu sein, habe mir mal den cache 
angesehen da waren gewisse IP's whitlistet ?? Ich habe jetzt mal den Cache 
gelöscht und die IP's extra noch blacklisted, da scheint jetzt Ruhe zu sein ?? 
Warum diese IP's whitelistet waren, kann ich nicht sagen?

Jedenfalls wurden diese Mails von Postfix angenommen aber später von dovecot 
abgelehnt weil kein User dafür da war!! Das dürfte diese eigenartige 
Fehlermeldung ausgelöst haben. In den Logs stand nichts erhellendes jedenfalls 
für mich.

Seit ich das ganze über PAM laufen lasse, scheint es einige Probleme zu geben 
(dovecot) ?

Am besten hat das direct über LDAP  funktioniert, aber Jetzt habe ich FreeIPA 
installiert für die USER und da müßte es eigentlich einen Weg für FreeIPA -> 
sssd -> PAM -> dovecot -> postfix geben denn sssd kann ja in der Zwischenzeit 
sehr viel, nur ich steige anscheinend bei der Konfiguration von sssd nicht 
durch.
 
> Der Fehler liegt intern auf deinem Server (127.0.0.1). Welcher Fehler
> das ist, steht im Log zu dieser Mail.
> 
> Du müsstest eigentlich die gleiche Fehlermeldung bekommen, wenn du per
> SASL eine Mail an einen nicht existenten User auf deinem Server sendest.


-- 
mit freundlichen Grüssen / best regards,

  Günther J. Niederwimmer

Mehr Informationen über die Mailingliste Postfixbuch-users