Transports mit Host und MX führt zur Alias anfragen

[sb-jw]

Hallo zusammen,

ich habe ein Problem, welches ich nicht ganz greifen kann. Gehe ich auf die Transports und stelle dort all meine Domains auf "domain.tld" und "MX benutzen: ja" um und nehme unter "Optionen" "Überprüfe Empfänger" rein, werden die E-Mails an meine Plesk VM so weitergeleitet, dass dort nur noch der Alias ankommt und der dortige Postfix diese E-Mails ablehnt, da er nur vollständige annimmt. Ist das ein gewolltes Verhalten, oder habe ich hier was übersehen?

Ich würde gerne die Funktion nutzen, dass wenn ein User nicht vorhanden ist dieser auch direkt als reject im SMTP Verlauf erfolgt und nicht erst danach.

Aktuell habe ich die IP Adresse der Transports angegeben und auch MX benutzen sowie Überprüfe Empfänger deaktiviert.

Danke!

 

[Stoiko Ivanov]

ich habe ein Problem, welches ich nicht ganz greifen kann. Gehe ich auf die Transports und stelle dort all meine Domains auf "domain.tld" und "MX benutzen: ja"

Das sollte der standard transport sein (verwende SMTP und den MX record, der im DNS steht)? - vielleicht einfach mal die Transports entfernen?

dass dort nur noch der Alias ankommt und der dortige Postfix diese E-Mails ablehnt,

Ich bin mir nicht sicher, dass ich verstehe was mit Alias gemeint ist - könntest Du bitte ein paar logs (anonymisiert) vom Empangspostfix und vom PMG posten?

Ich würde gerne die Funktion nutzen, dass wenn ein User nicht vorhanden ist dieser auch direkt als reject im SMTP Verlauf erfolgt und nicht erst danach.

dafür ist das Verify Receivers da und das sollte auch funktionieren.

 

[sb-jw]

Das sollte der standard transport sein (verwende SMTP und den MX record, der im DNS steht)? - vielleicht einfach mal die Transports entfernen?

Offenkundig lag mir das Denken an dem Abend nicht mehr so
Natürlich kann ich nicht den MX benutzen, den ich zuvor auf die beiden Spam Gateways umgestellt habe. Das macht ja keinen Sinn mehr, dann schickt er es ja im Kreis.

Ich bin mir nicht sicher, dass ich verstehe was mit Alias gemeint ist - könntest Du bitte ein paar logs (anonymisiert) vom Empangspostfix und vom PMG posten?

Alias ist nur der erste Teil der E-Mail Adresse, der eigentliche Empfänger "empfaenger@domain.tld". Ich habe das ganze aber nun noch mal ein bisschen probiert und folgendes Ergebnis erhalten.

Beide male habe ich eine E-Mail von GMX an meine eigene Adresse geschickt. Prüfung des Empfänger mit 450 funktioniert, mit 550 hingegen nicht, da er hier nur mit der Alias und nicht vollständigen Domain anfragt.

Erklärung:
sb-jw = Der richtige und existierende Benutzer
sbjw = Der falsche und nicht existierende Benutzer
domain.tld = Meine eigene Domain
127.0.0.1 = PMG Server
127.0.0.2 = Ziel Mail Server

Überprüfe Empfänger "Ja (450)":

Tracking Center:

May 1 10:12:56 spam01 postfix/cleanup[7321]: EEED21416A5: message-id=<20190501081256.EEED21416A5@spam01.domain.tld>
May 1 10:12:56 spam01 postfix/qmgr[7312]: EEED21416A5: from=<double-bounce@spam01.domain.tld>, size=259, nrcpt=1 (queue active)
May 1 10:12:57 spam01 postfix/smtp[7331]: EEED21416A5: to=<sbjw@domain.tld>, relay=127.0.0.2[127.0.0.2]:25, delay=0.16, delays=0.02/0/0.13/0.01, dsn=5.1.1, status=undeliverable (host 127.0.0.2[127.0.0.2] said: 550 5.1.1 <sbjw@domain.tld>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command))
May 1 10:12:57 spam01 postfix/qmgr[7312]: EEED21416A5: removed

Maillog (/var/log/mail.info):

May  1 10:12:56 domain.tld postfix/smtpd[19709]: connect from spam01.domain.tld[127.0.0.1]
May  1 10:12:56 domain.tld postfix/smtpd[19709]: NOQUEUE: reject: RCPT from spam01.domain.tld[127.0.0.1]: 550 5.1.1 <sbjw@domain.tld>: Recipient address rejected: User unknown in virtual mailbox table; from=<double-b
ounce@spam01.domain.tld> to=<sbjw@domain.tld> proto=ESMTP helo=<spam01.domain.tld>
May  1 10:12:56 domain.tld postfix/smtpd[19709]: disconnect from spam01.domain.tld[127.0.0.1]
May  1 10:12:56 domain.tld /usr/lib/plesk-9.0/psa-pc-remote[19462]: Message aborted.
May  1 10:12:56 domain.tld /usr/lib/plesk-9.0/psa-pc-remote[19462]: Message aborted.

Überprüfe Empfänger "Ja (550)":

Tracking Center:

May 1 10:11:25 spam01 postfix/smtpd[7107]: connect from mout.gmx.net[212.227.15.15]
May 1 10:11:25 spam01 postfix/smtpd[7107]: Anonymous TLS connection established from mout.gmx.net[212.227.15.15]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
May 1 10:11:25 spam01 postfix/smtpd[7107]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.15.15]: 550 5.1.1 <sb-jw@domain.tld>: Recipient address rejected: undeliverable address: unknown user: "sb-jw"; from=<absender@gmx.net> to=<sb-jw@domain.tld> proto=ESMTP helo=<mout.gmx.net>
May 1 10:11:25 spam01 postfix/smtpd[7107]: disconnect from mout.gmx.net[212.227.15.15] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7

Maillog (/var/log/mail.info):

May  1 10:11:24 domain.tld postfix/smtpd[19709]: connect from spam01.domain.tld[127.0.0.1]
May  1 10:11:24 domain.tld postfix/smtpd[19709]: DCA972071E: client=spam01.domain.tld[127.0.0.1]
May  1 10:11:24 domain.tld postfix/smtpd[19709]: disconnect from spam01.domain.tld[127.0.0.1]
May  1 10:11:24 domain.tld /usr/lib/plesk-9.0/psa-pc-remote[19462]: Message aborted.
May  1 10:11:24 domain.tld /usr/lib/plesk-9.0/psa-pc-remote[19462]: Message aborted.

 

[Stoiko Ivanov]

hm - bitte das 'mail.log' vom PMG nehmen, da vl. das callout an den Empfangsserver nicht unter das tracking für die ursprüngliche mail fällt.

beim 550 müsste auch beim Empfangsserver eine connection aufgebaut werden - was da uU noch reinspielen könnte ist die verification database (siehe http://www.postfix.org/ADDRESS_VERIFICATION_README.html#caching)

sehe ich das richtig es wurde 450 mit einer falschen/nicht existierenden Adresse versucht und 550 mit einer richtigen/existierenden?
wie sieht es mit 450 und einer richtigen Adresse aus? (und 550 mit einer falschen)

Hoffe das hilft!

 

[sb-jw]

hm - bitte das 'mail.log' vom PMG nehmen, da vl. das callout an den Empfangsserver nicht unter das tracking für die ursprüngliche mail fällt.

Überprüfe Empfänger "Ja (450)":
Maillog (/var/log/mail.info):

May  1 10:12:56 spam01 postfix/postscreen[7313]: PASS NEW [212.227.15.18]:49937
May  1 10:12:56 spam01 postfix/smtpd[7314]: connect from mout.gmx.net[212.227.15.18]
May  1 10:12:56 spam01 postfix/smtpd[7314]: Anonymous TLS connection established from mout.gmx.net[212.227.15.18]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
May  1 10:12:56 spam01 pmgpolicy[6729]: SPF says pass
May  1 10:12:56 spam01 postfix/cleanup[7321]: EEED21416A5: message-id=<20190501081256.EEED21416A5@spam01.domain.tld>
May  1 10:12:56 spam01 postfix/qmgr[7312]: EEED21416A5: from=<double-bounce@spam01.domain.tld>, size=259, nrcpt=1 (queue active)
May  1 10:12:57 spam01 postfix/smtp[7331]: Trusted TLS connection established to 127.0.0.2[127.0.0.2]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May  1 10:12:57 spam01 postfix/smtp[7331]: EEED21416A5: to=<sbjw@domain.tld>, relay=127.0.0.2[127.0.0.2]:25, delay=0.16, delays=0.02/0/0.13/0.01, dsn=5.1.1, status=undeliverable (host 127.0.0.2[127.0.0.2] said: 550 5.1.1 <sbjw@domain.tld>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command))
May  1 10:12:57 spam01 postfix/qmgr[7312]: EEED21416A5: removed
May  1 10:12:59 spam01 postfix/smtpd[7314]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.15.18]: 450 4.1.1 <sbjw@domain.tld>: Recipient address rejected: unverified address: host 127.0.0.2[127.0.0.2] said: 550 5.1.1 <sbjw@domain.tld>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command); from=<absender@gmx.net> to=<sbjw@domain.tld> proto=ESMTP helo=<mout.gmx.net>
May  1 10:13:00 spam01 postfix/smtpd[7314]: disconnect from mout.gmx.net[212.227.15.18] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7

Überprüfe Empfänger "Ja (550)":
Maillog (/var/log/mail.info):

May  1 10:11:25 spam01 postfix/postscreen[7104]: PASS NEW [212.227.15.15]:50167
May  1 10:11:25 spam01 postfix/smtpd[7107]: connect from mout.gmx.net[212.227.15.15]
May  1 10:11:25 spam01 postfix/smtpd[7107]: Anonymous TLS connection established from mout.gmx.net[212.227.15.15]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
May  1 10:11:25 spam01 pmgpolicy[6730]: SPF says pass
May  1 10:11:25 spam01 postfix/smtpd[7107]: NOQUEUE: reject: RCPT from mout.gmx.net[212.227.15.15]: 550 5.1.1 <sb-jw@domain.tld >: Recipient address rejected: undeliverable address: unknown user: "sb-jw"; from=<absender@gmx.net> to=<sb-jw@domain.tld> proto=ESMTP helo=<mout.gmx.net>
May  1 10:11:25 spam01 postfix/verify[7112]: cache btree:/var/lib/postfix/verify_cache full cleanup: retained=9 dropped=0 entries
May  1 10:11:25 spam01 postfix/cleanup[7113]: 6AB8D1416A5: message-id=<20190501081125.6AB8D1416A5@spam01.domain.tld>
May  1 10:11:25 spam01 postfix/qmgr[7103]: 6AB8D1416A5: from=<double-bounce@spam01.domain.tld>, size=259, nrcpt=1 (queue active)
May  1 10:11:25 spam01 postfix/smtpd[7107]: disconnect from mout.gmx.net[212.227.15.15] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7
May  1 10:11:25 spam01 postfix/smtp[7114]: Trusted TLS connection established to 127.0.0.2[127.0.0.2]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May  1 10:11:25 spam01 postfix/smtp[7114]: 6AB8D1416A5: to=<sb-jw@domain.tld>, relay=127.0.0.2[127.0.0.2]:25, delay=0.21, delays=0.02/0.04/0.12/0.03, dsn=2.1.5, status=deliverable (250 2.1.5 Ok)
May  1 10:11:25 spam01 postfix/qmgr[7103]: 6AB8D1416A5: removed

beim 550 müsste auch beim Empfangsserver eine connection aufgebaut werden - was da uU noch reinspielen könnte ist die verification database (siehe http://www.postfix.org/ADDRESS_VERIFICATION_README.html#caching)

Wie Eingangs erwähnt setze ich ein Standard-Setup mit Plesk Onyx 17.8.11 ein, hier nutze ich den Postfix anstelle des Qmail (welcher kurze und lang kann). Daher habe ich aber auch keine Änderung in den Configs gemacht und tue dies auch äußerst ungern.
Dieser Plesk Artikel (https://support.plesk.com/hc/en-us/articles/115001959254) ist durch uns enstanden, in diesen Fehler sind wir gelaufen und dessen Lösung:

Open /etc/psa/psa.conf in a text redactor, e.g. vim, and add an empty line in the end of the file.

ist so simple wie sonst was. Das Problem wurde in ca. 20 Tagen gelöst, sowas muss ich mir ehrlich gesagt nicht noch mal antun
Es ist aber auch, zumindest in main und master (habe ich einfach mal angehangen) kein solcher Parameter gesetzt. Grundsätzlich habe ich auch von Postfix / Mail allgemein nicht unbedingt das größte Wissen, dann noch in Verbindung mit Plesk wo der ein oder andere Parameter dann doch anders injected wird, das macht die Sache nicht viel leichter.

Spoiler: main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/postfix.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain.tld
alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = localhost.de, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.1/32
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_mailbox_maps = , hash:/var/spool/postfix/plesk/vmailbox
transport_maps = , hash:/var/spool/postfix/plesk/transport
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtp_use_tls = no
smtpd_timeout = 3600s
smtpd_proxy_timeout = 3600s
disable_vrfy_command = yes
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:30
virtual_gid_maps = static:31
smtpd_milters = , inet:127.0.0.1:12768
sender_dependent_default_transport_maps = hash:/var/spool/postfix/plesk/sdd_transport_maps
virtual_transport = plesk_virtual
plesk_virtual_destination_recipient_limit = 1
mailman_destination_recipient_limit = 1
virtual_mailbox_limit = 0
smtpd_tls_mandatory_protocols = TLSv1 TLSv1.1 TLSv1.2
smtpd_tls_protocols = TLSv1 TLSv1.1 TLSv1.2
smtpd_tls_ciphers = medium
smtpd_tls_mandatory_ciphers = medium
tls_medium_cipherlist = HIGH:!aNULL:!MD5
message_size_limit = 0
recipient_canonical_maps = tcp:127.0.0.1:12346
recipient_canonical_classes = envelope_recipient,header_recipient
authorized_flush_users =
authorized_mailq_users =

Spoiler: master.cf

smtp inet n - - - - smtpd
cleanup unix n - - - 0 cleanup
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}

uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)

ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe flags=R user=list:list argv=/usr/lib/plesk-9.0/postfix-mailman ${nexthop} ${user} ${recipient}

plesk_virtual unix - n n - - pipe flags=DORhu user=popuseropuser argv=/usr/lib/plesk-9.0/postfix-local -f ${sender} -d ${user}@${nexthop} -p /var/qmail/mailnames
pickup fifo n - - 60 1 pickup
qmgr fifo n - n 1 1 qmgr
smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes

submission inet n - - - - smtpd -o smtpd_enforce_tls=yes -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination

plesk_saslauthd unix y y y - 1 plesk_saslauthd status=5 listen=6 dbpath=/plesk/passwd.db

plesk-127.0.0.2-127.0.0.2 unix - n n - - smtp -o smtp_bind_address=127.0.0.2 -o smtp_bind_address6=127.0.0.2 -o smtp_address_preference=ipv4

127.0.0.1:12346 inet n n n - - spawn user=popuseropuser argv=/usr/lib/plesk-9.0/postfix-srs

plesk-127.0.0.2- unix - n n - - smtp -o smtp_bind_address=127.0.0.2 -o smtp_bind_address6= -o smtp_address_preference=ipv4

sehe ich das richtig es wurde 450 mit einer falschen/nicht existierenden Adresse versucht und 550 mit einer richtigen/existierenden?
wie sieht es mit 450 und einer richtigen Adresse aus? (und 550 mit einer falschen)

Beide male habe ich eine E-Mail von GMX an meine eigene Adresse geschickt. Prüfung des Empfänger mit 450 funktioniert, mit 550 hingegen nicht, da er hier nur mit der Alias und nicht vollständigen Domain anfragt.

 

[Stoiko Ivanov]

Wie Eingangs erwähnt setze ich ein Standard-Setup mit Plesk Onyx 17.8.11 ein, hier nutze ich den Postfix anstelle des Qmail (welcher kurze und lang kann). Daher habe ich aber auch keine Änderung in den Configs gemacht und tue dies auch äußerst ungern.

Hm? - ich meinte die verification database des PMG servers! Ich nehme mal an, dass der Empfangsserver (Plesk) die mail an sb-jw@domain.tld annimmt!

hm in den logs sehe ich bei 550 gar keinen callout nach sb-jfw@domain.tld zu 127.0.0.2 ? - bitte wie in der doku beschrieben mal die verification database loeschen und postfix neustarten.

May 1 10:11:25 spam01 postfix/smtp[7114]: Trusted TLS connection established to 127.0.0.2[127.0.0.2]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits) May 1 10:11:25 spam01 postfix/smtp[7114]: 6AB8D1416A5: to=<sb-jw@domain.tld>, relay=127.0.0.2[127.0.0.2]:25, delay=0.21, delays=0.02/0.04/0.12/0.03, dsn=2.1.5, status=deliverable (250 2.1.5 Ok) May 1 10:11:25 spam01 postfix/qmgr[7103]: 6AB8D1416A5: removed

Was fuer eine mail ist das? - diese schein angekommen zu sein

Bitte auch die (anonymisierte) '/etc/pmg/pmg.conf' sowie /etc/postfix/{main,master}.cf vom PMG posten.

 

[sb-jw]

Hm? - ich meinte die verification database des PMG servers!

Okay, war mir nicht ganz klar, da es ja nur ein Gateway ist und nicht der Mail Server. Aber auch an den beiden Gateways ist ein solcher Parameter gar nicht erst definiert in der main.cf.
Die Funktion "Datenbank zur Adressprüfung verwerfen" in der "Queue Administration" macht doch genau das, oder?

Ich nehme mal an, dass der Empfangsserver (Plesk) die mail an sb-jw@domain.tld annimmt!

Grundsätzlich nimmt Plesk jede Mail an, wenn die Mailbox existiert und der andere Mailserver im vollen Format (empfaenger@domain.tld) diese weiterleitet. Aber wie man ja sieht leitet der PMG bei 550er nicht das volle Format sondern nur die Alias weiter - was der Plesk Server dann auch ablehnt. Genau das ist ja das Problem.
Bei 450 macht PMG genau das, was ich will, nicht aber bei 550er, da geht gar nichts mehr durch, weil es nicht das volle Format ist sondern eben das kurze, nur die Alias also "empfaenger" anstelle von "empfaenger@domain.tld".

Was fuer eine mail ist das? - diese schein angekommen zu sein

Dabei handelt es sich um "double-bounce@spam01.domain.tld", wo ich aber auch keine Ahnung habe, wie und warum diese entsteht.

May 1 10:11:25 spam01 postfix/cleanup[7113]: 6AB8D1416A5: message-id=<20190501081125.6AB8D1416A5@spam01.domain.tld>
May 1 10:11:25 spam01 postfix/qmgr[7103]: 6AB8D1416A5: from=<double-bounce@spam01.domain.tld>, size=259, nrcpt=1 (queue active)
May 1 10:11:25 spam01 postfix/smtpd[7107]: disconnect from mout.gmx.net[212.227.15.15] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7
May 1 10:11:25 spam01 postfix/smtp[7114]: Trusted TLS connection established to 127.0.0.2[127.0.0.2]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
May 1 10:11:25 spam01 postfix/smtp[7114]: 6AB8D1416A5: to=<sb-jw@domain.tld>, relay=127.0.0.2[127.0.0.2]:25, delay=0.21, delays=0.02/0.04/0.12/0.03, dsn=2.1.5, status=deliverable (250 2.1.5 Ok)
May 1 10:11:25 spam01 postfix/qmgr[7103]: 6AB8D1416A5: removed

Spoiler: pmg.conf

section: admin
email admin@domain.tld
statlifetime 21

section: mail
banner Mail Gateway
dnsbl_sites zen.spamhaus.org
dnsbl_threshold 2
greylist 0
rejectunknown 1
rejectunknownsender 1
spf 1
tls 1
tlsheader 1
tlslog 1
verifyreceivers 450

section: clamav
archiveblockencrypted 1
safebrowsing 1

section: virusquar
lifetime 21
viewimages 0

section: spamquar
lifetime 21
reportstyle verbose
viewimages 0

Spoiler: main.cf

# auto-generated by proxmox

compatibility_level = 2
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix/sbin
data_directory = /var/lib/postfix

# appending .domain is the MUA's job.
append_dot_mydomain = yes

smtpd_banner = $myhostname Mail Gateway
biff = no


delay_warning_time = 4h

best_mx_transport = local
message_size_limit = 10485760
mailbox_size_limit = 51200000

mydomain = domain.tld
myhostname = spam01.domain.tld

parent_domain_matches_subdomains = debug_peer_list,fast_flush_domains,mynetworks,permit_mx_backup_networks,qmqpd_authorized_clients,smtpd_access_maps

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = localhost, $myhostname
mynetworks = 127.0.0.0/8 [::1]/128 10.0.0.0/8 10.0.0.0/8 127.0.0.2/26 127.0.0.2/32 127.0.0.2/32 127.0.0.2/32 127.0.0.2/32 127.0.0.2/32

relay_domains = hash:/etc/pmg/domains

transport_maps = hash:/etc/pmg/transport

content_filter=scan:127.0.0.1:10024

mail_name = Proxmox

smtpd_helo_restrictions =

postscreen_access_list =
permit_mynetworks,
cidr:/etc/postfix/postscreen_access

postscreen_dnsbl_sites = zen.spamhaus.org
postscreen_dnsbl_threshold = 2

postscreen_dnsbl_action = enforce
postscreen_greet_action = enforce

smtpd_sender_restrictions =
permit_mynetworks
reject_non_fqdn_sender
check_client_access cidr:/etc/postfix/clientaccess
check_sender_access regexp:/etc/postfix/senderaccess
check_recipient_access regexp:/etc/postfix/rcptaccess reject_unknown_client_hostname reject_unknown_sender_domain

smtpd_recipient_restrictions =
permit_mynetworks
reject_unauth_destination
reject_non_fqdn_recipient
check_recipient_access regexp:/etc/postfix/rcptaccess check_sender_access regexp:/etc/postfix/senderaccess check_client_access cidr:/etc/postfix/clientaccess check_policy_service inet:127.0.0.1:10022 reject_unknown_recipient_domain reject_unverified_recipient

unverified_recipient_reject_code = 450

smtpd_client_connection_count_limit = 50
smtpd_client_connection_rate_limit = 0
smtpd_client_message_rate_limit = 0

smtp_tls_security_level = may
smtp_tls_policy_maps = hash:/etc/pmg/tls_policy
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
smtpd_tls_security_level = may
smtpd_tls_cert_file = /etc/pmg/pmg-tls.pem
smtpd_tls_key_file = $smtpd_tls_cert_file

smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

smtpd_tls_received_header = yes

smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_tls_session_cache
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_tls_session_cache

default_destination_concurrency_limit = 40
lmtp_destination_concurrency_limit = 20
relay_destination_concurrency_limit = 20
smtp_destination_concurrency_limit = 20
virtual_destination_concurrency_limit = 20

recipient_delimiter = +

Spoiler: master.cf

scan unix - - n - 31 lmtp
-o lmtp_send_xforward_command=yes
-o lmtp_connection_cache_on_demand=no
-o disable_dns_lookups=yes

26 inet n - - - 100 smtpd
-o content_filter=scan:127.0.0.1:10023
-o smtpd_recipient_restrictions=permit_mynetworks,reject_unauth_destination
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sender_restrictions=

25 inet n - - - 1 postscreen

smtpd pass - - - - 100 smtpd
-o content_filter=scan:127.0.0.1:10024
-o receive_override_options=no_address_mappings
-o smtpd_discard_ehlo_keywords=silent-discard,dsn
-o mynetworks=127.0.0.0/8,10.4.0.194

127.0.0.1:10025 inet n - n - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_restriction_classes=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o smtpd_tls_security_level=none
-o smtpd_authorized_xforward_hosts=127.0.0.0/8
-o message_size_limit=20971520

pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
-o message_size_limit=20971520

qmgr fifo n - - 300 1 qmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
showq unix n - - - - showq
error unix - - - - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
verify unix - - - - 1 verify
trace unix - - n - 0 bounce
tlsmgr unix - - - 1000? 1 tlsmgr
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
discard unix - - - - - discard
retry unix - - - - - error
dnsblog unix - - - - 0 dnsblog
tlsproxy unix - - - - 0 tlsproxy

 

[sb-jw]

Die Funktion "Datenbank zur Adressprüfung verwerfen" in der "Queue Administration" macht doch genau das, oder?

Trollig, nun scheints echt zu gehen auch mit 550

 

[Stoiko Ivanov]

Okay, war mir nicht ganz klar, da es ja nur ein Gateway ist und nicht der Mail Server. Aber auch an den beiden Gateways ist ein solcher Parameter gar nicht erst definiert in der main.cf.

das kommt aus postfix default config und muss nicht explizit gesetzt sein.

Aber wie man ja sieht leitet der PMG bei 550er nicht das volle Format sondern nur die Alias weiter - was der Plesk Server dann auch ablehnt. Genau das ist ja das Problem.

Ich glaube, dass das log da irreführend ist und dass postfix vom pmg sehr wohl mit der vollen e-mail anfragen würde (nur eben, dass die negative Antwort noch im verification cache vom PMG war).

Dabei handelt es sich um "double-bounce@spam01.domain.tld", wo ich aber auch keine Ahnung habe, wie und warum diese entsteht.

je nach config ist das eine addresse mit der postfix einige interne sachen macht (z.b. reports an postmaster schicken, und eben auch die verification-anfragen stellen).

Die Funktion "Datenbank zur Adressprüfung verwerfen" in der "Queue Administration" macht doch genau das, oder?

exakt!

Trollig, nun scheints echt zu gehen auch mit 550

Dann nehme ich mal sehr stark an, dass es wirklich noch fälschlicherweise gecached war. Freut mich dass das problem gelöst ist!