[Postfixbuch-users] Recipient address rejected: Access denied

Stefan Förster cite+postfix-buch at incertum.net
Mi Feb 10 21:06:15 CET 2010


* spamvoll at googlemail.com:
> mach ich nen telnet auf den smtp und probier sie einzuliefern kommt der:
> 
> Feb 10 18:09:28 smtp postfix/smtpd[4097]: connect from
> mail-bw0-f224.google.com[209.85.218.224]

Fett! Du hast ne Shell auf mail-bw0-f224.google.com und kannst von da
aus "telnet" auf Deinen Mailserver machen! Ich will auch!

> Feb 10 18:09:29 smtp postgrey[3625]: action=greylist, reason=new,
> client_name=mail-bw0-f224.google.com, client_address=209.85.218.224,
> sender=spamvoll at googlemail.com, recipient=peter at server.net
> Feb 10 18:09:29 smtp postfix/cleanup[4102]: 1AA913F710B:
> message-id=<20100210170929.1AA913F710B at smtp.server.net>

Und Du bist echt sicher, daß das die gleiche Mail ist? Weil Googlemail
eigentlich schon Message-IDs generiert.

> Feb 10 18:09:29 smtp postfix/qmgr[4095]: 1AA913F710B:
> from=<postmaster at smtp.server.net>, size=260, nrcpt=1 (queue active)

So, das hier ist jetzt die Probe, wir befinden uns in den
Restriktionen bei reject_unverified_sender.

> Feb 10 18:09:29 smtp postfix/smtp[4103]: 1AA913F710B:
> to=<spamvoll at googlemail.com>, relay=imap.server.net[x.x.x.x]:25,
> delay=0.27, delays=0.01/0.02/0.03/0.22, dsn=5.7.1,
> status=undeliverable (host imap.server.net[x.x.x.x] said: 554 5.7.1
> <spamvoll at googlemail.com>: Relay access denied (in reply to RCPT TO
> command))

Und da schlägt die Mongose (http://www.mongose.eu/) in folgender Form
zu (nach vorne kopiert):

> transport_maps = btree:/etc/postfix/transport

Und da steht laut Dir drin:

> * smtp:[imap.server.net]

Du hast das Routing verbogen.

> komischerweise kann ich per saslauth auch keine mails versenden:
> 
> Feb 10 18:15:43 smtp postfix/smtpd[4361]: connect from unknown[10.0.0.20]
> Feb 10 18:15:43 smtp postfix/smtpd[4361]: setting up TLS connection
> from unknown[10.0.0.20]
> Feb 10 18:15:44 smtp postfix/smtpd[4361]: TLS connection established
> from unknown[10.0.0.20]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256
> bits)
> Feb 10 18:15:45 smtp postfix/smtpd[4361]: NOQUEUE: reject: RCPT from
> unknown[10.0.0.20]: 554 5.7.1 <spamvoll at gmail.com>: Relay access
> denied; from=<peter at server.net> to=<spamvoll at gmail.com> proto=ESMTP
> helo=<[10.0.0.20]>
> Feb 10 18:15:47 smtp postfix/smtpd[4361]: disconnect from unknown[10.0.0.20]

Wäre da SASL im Spiel, würde da auch was von SASL stehen, z.B.
"sasl_username=hawtness.com". Oder so.

> smtp postconf -n

Du bist nicht zufällig Azubi, oder? Mir kommt das alles gerade so
bekannt vor...

> mynetworks = smtp.server.net/32, 127.0.0.0/8, imap.server.net/32

Das tut halt so nicht - in der Manpage steht nix von Namen, sondern
von Adressen, wenn Du das hier also wirklich in der Form "Name"
Schrägstich Zahl hingeschrieben hast, ist das ein epic fail.

> newaliases_path = /usr/bin/newaliases.postfix

Das ist ein RedHat-Derivat, auf dem das Postfix läuft, oder?

> smtpd_sasl_security_options = noanonymous
> smtpd_tls_auth_only = no

Damit lässt Du PLAIN/LOGIN über Klartextverbindungen zu.

> smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

Hast Du spezifische Clients, die nicht mit SSLv3 klarkommen?

> imap postconf -n
> mynetworks = smtp.server.net/32, 127.0.0.0/8, imap.server.net/32

Siehe Anmerkung oben. Hat Werner sogar schon gesagt. Zweimal sogar,
glaube ich.


Stefan



Mehr Informationen über die Mailingliste Postfixbuch-users