[Postfixbuch-users] postfix als relay : Mailq voll mit error450 Sender address rejected: Domain not found

Di Jun 19 18:45:25 CEST 2007

Thomas Makowski wrote:

>>
> Hi, sorry noch nicht dazu gekommen ..... hier ist es:
> 
> alias_maps = hash:/etc/aliases
> append_dot_mydomain = no
> biff = no
> config_directory = /etc/postfix
> content_filter = amavis:[127.0.0.1]:10024
> default_process_limit = 300

Okay, wenn der Server halbwegs modern ist, sollte das kein Problem sein.
In dem Transport amavis (in master.cf) hast du vermutlich die Zahl der
amavisd-new Prozesse auf ein angemessenes Limit angepasst?

> inet_interfaces = all
> mailbox_size_limit = 5000000000
> maximal_backoff_time = 4000s
> message_size_limit = 1024000000

Woah, ist das dein Ernst, dass du Mails von fast einem Gigabyte annimmst?
Ich habe schon davon gehört, dass insbesondere im medizinischen Bereich
Mails mit riesig aufgelösten Bildern per Mail verschickt werden, aber das
halte ich immer noch für einen Spezialfall.

Bedenke, dass du diese Monster auch durch den content_filter schleppen
musst. (^-^)

> minimal_backoff_time = 300s
> myhostname = ############
> mynetworks = ############
> receive_override_options = no_address_mappings
> recipient_delimiter = +
> relay_domains = mysql:/etc/postfix/mysql_relay_domains_maps.cf

Okay, keine relay_recipient_maps, aber unten reject_unverified_recipient.
Du hattest gesagt, dass du Relay für externe Kunden bist, deren gültige
Adressen sie selbst auf ihren Servern verwalten?

> show_user_unknown_table_name = no
> smtpd_banner = Mailgateway ############
> smtpd_client_connection_count_limit = 0
> smtpd_recipient_restrictions = check_recipient_access
> hash:/etc/postfix/recipient_rules,
> permit_mynetworks,
> check_client_access
> hash:/etc/postfix/pop-before-smtp/hosts,permit_mx_backup,
> reject_non_fqdn_sender, reject_unknown_sender_domain,

Das Problem hier ist, dass Mails, welche von mynetworks (hast du Webmail
auf dem Server?), von den Pop-before-smtp-Clients oder von einem Server
über permit_mx_backup geschickt werden, nicht geprüft werden, ob die
Domain existiert.

Die Mail wird angenommen, sobald ein Check "OK/PERMIT" bzw. abgelehnt,
wenn "reject/4xx/5xx" von einem Check als Antwort kommt. Alle darunter
stehenden Checks werden dann nicht mehr ausgewertet.

Jetzt musst du sortieren, wo deine Übeltäter sind.

Kommen die Mails mit den ungültigen Absenderdomains?

mynetworks: sind dort nur deine Server drin oder auch Kundenserver mit
fester IP? Eventuell $mynetworks nur auf die eigenen IPs begrenzen, dann
reject_unknown_sender_domain setzen, dann ein check_client_access auf die
IPs der Kunden fürs Relay nach reject_unknown_sender_domain.

Wenn möglich, würde ich den Check sogar vor permit_mynetworks setzen.

> reject_non_fqdn_recipient,

permit_mx_backup ist deprecated. Welche Version von Postfix verwendest du?
"postconf mail_version"

Pop-before-smtp ist ebenfalls am Sterben. Wenn irgend möglich, würde ich
zu smtp auth mit sasl migrieren.

> reject_unauth_destination,      reject_unauth_pipelining,
> reject_unverified_recipient,
> reject_rbl_client list.dsbl.org,        reject_rbl_client
> bl.spamcop.net,
> reject_rbl_client zen.spamhaus.org
> transport_maps = hash:/etc/postfix/transport
> unknown_local_recipient_reject_code = 550
> virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
> virtual_gid_maps = static:107
> virtual_mailbox_base = /home/vmail
> virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
> virtual_mailbox_limit = 0
> virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
> virtual_minimum_uid = 1001
> virtual_transport = virtual
> virtual_uid_maps = static:1001

Ansonsten sehe ich keine besonderen Probleme. Je nachdem, wie stark dein
Server ausgelastet ist, kann es sinnvoll sein, das Ergebnis von
reject_unverified_recipient in einer Datenbank zu cachen.
address_verify_map = btree:/etc/postfix/verify_result

Hast du dir mal angeschaut, welche Domains die Probleme machen und woher
die Mail gekommen sind, von welchen Kunden?

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com