check_client_access und Subdomains

[Markus Winkler]

Hi Ronny,

On Wed, 10 Jul 2024 at 12:51:37PM +0200, ronny at seffner.de wrote:

>smptd_sender_restrictions = ... , check_client_access
>hash:/etc/postfix/client-whitelist , reject_unknown_reverse_client_hostname
>, ...
>
>.outbound.protection.outlook.com    OK
>outbound.protection.outlook.com    OK
>
>
>Nach postmap und reload habe ich die 554er immer noch.
>Ein 'postmap -q outbound.protection.outlook.com client-whitelist' liefert
>"OK", ein 'postmap -q bernd.outbound.protection.outlook.com
>client-whitelist' hingegen nichts (und einen errorlevel 1).

AFAIK sucht postmap explizit nach dem angegebenen Key. Daher liefert die Abfrage nach 'outbound.protection.outlook.com' ein OK, nicht jedoch die 
nach 'bernd.outbound.protection.outlook.com'.

Postfix selbst aber macht das und es sollte beim tatsächlichen Connect von 'bernd.outbound.protection.outlook.com' schlussendlich matchen.

Evtl. kannst Du es mit XCLIENT (https://www.postfix.org/XCLIENT_README.html) testen, wenn Du nicht auf einen Sendeversuch von den 
Microsoft-Servern warten willst.

Übrigens und IIRC: Wenn 'smtpd_access_maps' bei 'parent_domain_matches_subdomains' mit aufgeführt ist, dann _darf_

.outbound.protection.outlook.com    OK

in der client-whitelist _nicht_ enthalten sein, sondern _nur_:

outbound.protection.outlook.com    OK

Doppelt hält in diesem Fall nicht besser, sondern es matcht in diesem Fall einfach nicht. Ich hatte vor längerer Zeit mal den Effekt und bin nur 
durch diverse Tests darauf gestoßen (leider stand und steht das in der Doku m. E. nicht so eindeutig drin).

Viele Grüße
Markus