[postfix-users] Subdomains: Relay Access Denied

Florian Streibelt postfix at f-streibelt.de
Do Jan 24 16:11:04 CET 2013 

Am Do, 24.01.13 um 15:45:37 Uhr 
schrieb "Kötter, Markus" <Markus.Koetter at lvr.de>:

> Hallo zusammen,
> wir betreiben einen Postfix der im internen Netz hinter einem in der DMZ befindlichen Mailgateway steht (Symantec Mailsecurity).
> Bisher hat Postfix nur auf die Maildomain "mydomain.de" gehorcht und in /etc/postfix/main.cf war unter "mynetworks" die IP-Adresse des Mailgateways nicht eingetragen.

muss auch nicht, solange sich der mailserver für die domain zuständig fühlt. Die Adressen/Netze in mynetworks werden in der Regel später in den restrictions genutzt, damit nicht jeder über diesen Server mail an externe Adressen senden kann. Sobald ein Einrag in mydestinations oder einer der virtual maps dafür sorgt, dass der mailserver sich für eine domain zuständig fühlt, nimmer er die mails an.


> Hat soweit auch funktioniert.

genau.

> Nun soll er aber auch auf Subdomains von "mydomain.de" horchen und dazu habe ich in /etc/postfix/transport den Eintrag
> mydomain.de             lmtp:127.0.0.1:10030
> geändert zu:
> mydomain.de            lmtp:127.0.0.1:10030

Ich vermute da fehlt noch das a.mydomain.de?

Die transport map teilt dem postfix nur mit, wohin eine mail weitergeleitet werden soll, nachdem sie bereits angenommen wurde. Lokal scheint da ein weiterer Dienst auf Port 10030 zu laufen - vermutlich ein Spamfilter/Virenscanner? 

> Wenn ich nun eine Mail "von draußen" an "ich at a.mydomain.de" schicke, dann bekomme ich ein "Relay Access Denied".

Von wo kommt denn diese Meldung genau? Kommt die sicher von dem postfix oder kommt die von der Symantec Lösung?


> Wenn ich unter "mynetworks" die IP-Adresse des Mailgateways eintrage, dann funktioniert der Mailempfang für "mydomain.de" und alle seine Subdomains.

Nun, das sorgt dafür, dass der postfix von dem Mailgateway einfach alles annimmt, ohne zu prüfen ob der empfänger existiert und ohne dass er dafür zuständig ist.

> Muß ich die IP-Adresse unbedingt unter "mynetworks" eintragen, oder gibt es einen Weg die Mail für Subdomains entgegenzunehmen, ohne die Gatewayadresse einzutragen ?
nein, ja

> Oder hab ich einen Konfigurationsfehler gemacht ?
ja



Durch mynetworks und den transportmap eintrag nimmst du derzeit alles an und leutest es lokal via transport weiter an den dienst auf dem port 10030. Schick mal eine Mail an eine nicht existierende dresse, das dürfte seltsame bounces auslösen oder in der mailq hängen bleiben. nicht schön.

Ich weiss aber zu wenig über das genaue Setup um da jetzt mehr zu helfen.


Grüße,
  Florian

Mehr Informationen über die Mailingliste postfix-users