Problem mit DKIM-Signierung unter amavisd-new

Klaus Tachtler klaus at tachtler.net
Do Jun 9 09:06:57 CEST 2016


Hallo Thilo,

relay_access denied hat oft etwas mit transport, mydestination,  
mynetworks oder virtual tables zu tun.

Ich habe ein DokuWiki für mich erstellt, evtl. kannst Du beim  
durchsehen meiner Dokumentation die ein oder andere Parallele oder  
auch Abweichung finden und so Dein Problem lösen. Leider habe ich  
gerade nicht viel Zeit, aber schau Dir einfach mal nachfolgenden Link  
an, wenn Du magst:

http://www.dokuwiki.tachtler.net/doku.php#e-mail_mailserver_postfix_amavis_und_postfix_admin


Grüße
Klaus.

> Am 08.06.2016 um 06:21 schrieb Klaus Tachtler <klaus at tachtler.net>:
>
>> Hallo Thilo,
>
> Guten Morgen Klaus,
>
>> fehlt nicht in Deiner $policy_bank{'engelbracht_SUBMISSION'} der Eintrag:
>>
>> inet_acl => [qw( 11.22.33.44/32 )],
>
> Stimmt... Habe ich wohl in der Eile übersehen.
>
> Leider funktioniert es noch immer nicht.
> Im Logfile steht mehrfach "Relay access denied"...    :-(
> Der erste "Relay access denied"-Eintrag wird aber von postfix erzeugt,
> und nicht von amavisd-new...
>
> Ich habe ja in der master.cf beim submission-port definiert, dass die
> eingelieferten E-Mails per smtpd_proxy_filter an amavisd-new (Port 9880)
> weitergeleitet werden.
> Ist es denn grundsätzlich richtig, wie ich den "Rückweg" an postfix
> definiert habe?
> 9881        inet  n     -     -     -     -     smtpd
>   -o content_filter=
>   -o smtpd_proxy_filter=
>   #-o smtpd_authorized_xforward_hosts=11.22.33.44/32
>
> Wie übergibst Du denn die E-Mail an amavisd-new und wieder zurück?
>
> Hier das Logfiles:
>
> Jun  8 08:21:38 mail postfix-engelbracht.com/smtpd[14464]: connect  
> from x4d0a24c1.dyn.telefonica.de[77.10.36.193]
> Jun  8 08:21:38 mail postfix-engelbracht.com/smtpd[14464]: Anonymous  
> TLS connection established from  
> x4d0a24c1.dyn.telefonica.de[77.10.36.193]: TLSv1.2 with cipher  
> ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
> Jun  8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]: NOQUEUE:
> client=x4d0a24c1.dyn.telefonica.de[77.10.36.193],  
> sasl_method=PLAIN,sasl_username=geheim
> Jun  8 08:21:39 mail postfix-engelbracht.com/smtpd[14473]: connect  
> from mail.engelbracht.com[46.38.231.196]
> Jun  8 08:21:39 mail postfix-engelbracht.com/smtpd[14473]: NOQUEUE:  
> reject: RCPT from mail.engelbracht.com[46.38.231.196]: 554 5.7.1  
> <engelbracht at web.de>: Relay access denied; from=<te at engelbracht.com>  
> to=<engelbracht at web.de> proto=ESMTP helo=<localhost>
> Jun  8 08:21:39 mail amavis[13194]: (13194-01) Negative SMTP resp.  
> to DATA: 554 5.5.1 Error: no valid recipients.
> Jun  8 08:21:39 mail amavis[13194]: (13194-01) (!)vl0L4U1MLgAu FWD  
> from <te at engelbracht.com> -> <engelbracht at web.de>, BODY=7BIT 554  
> 5.7.1 from MTA(smtp:[46.38.231.196]:9881): 554 5.7.1  
> <engelbracht at web.de>: Relay access denied.
> Jun  8 08:21:39 mail amavis[13194]: (13194-01) Blocked MTA-BLOCKED  
> {RejectedOutbound}, engelbracht.com_SUBMISSION LOCAL  
> [77.10.36.193]:36232 [77.10.36.193] <te at engelbracht.com> ->  
> <engelbracht at web.de>, Message-ID:  
> <8B9D1D08-E2EF-4CAA-90DE-28A12CD6C44B at engelbracht.com>, mail_id:  
> vl0L4U1MLgAu, Hits: -, size: 952, dkim_new=dkim:engelbracht.com, 270  
> ms
> Jun  8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]:  
> proxy-reject: END-OF-MESSAGE: 554 5.7.1 id=13194-01 - Rejected by  
> next-hop MTA on relaying, from MTA(smtp:[46.38.231.196]:9881): 554  
> 5.7.1 <engelbracht at web.de>: Relay access denied.;  
> from=<te at engelbracht.com> to=<engelbracht at web.de> proto=ESMTP  
> helo=<[192.168.0.41]>
> Jun  8 08:21:39 mail postfix-engelbracht.com/smtpd[14464]:  
> disconnect from x4d0a24c1.dyn.telefonica.de[77.10.36.193]
>
>>
>> Grüße
>> Klaus.
>
> Gruß zurück,
>
> Thilo
>
>
>>
>>
>> >Hallo zusammen,
>> >
>> >auf meinem Mailserver (postfix, dovecot, amavisd-new) werden eingehende
>> >E-Mails per smtpd_proxy_filter an amavisd-new übergeben. AMaViS lauscht
>> >auf Port 9820.
>> >
>> >Nun möchte ich amavisd-new auch dazu verwenden, dass ausgehende E-Mails
>> >mit DKIM signiert werden. Da die User ihre E-Mails auf den submission-
>> >Port einliefern müssen, habe ich mir überlegt, amavisd-new auf einem
>> >zusätzlichen Port lauschen zu lassen und mit Interface policies und
>> >policy_banks dies zu steuern.
>> >
>> >Meine master.cf habe ich entsprechend angepasst:
>> >
>> >[ ... ]
>> >
>> >smtp        inet  n     -     n     -     1     postscreen
>> >
>> >smtpd       pass  -     -     n     -     -     smtpd
>> >  -o content_filter=
>> >  # AMaViS lauscht auf Port 9820
>> >  -o smtpd_proxy_filter=11.22.33.44:9820
>> >
>> >submission  inet  n     -     -     -     -     smtpd
>> >  -o cleanup_service_name=subcleanup
>> >  -o smtpd_tls_security_level=encrypt
>> >  -o smtpd_tls_received_header=yes
>> >  -o smtpd_sasl_auth_enable=yes
>> >  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
>> >  # AMaVis lauscht zusaetzlich auf Port 9880
>> >  -o smtpd_proxy_filter=11.22.33.44:9880
>> >  -o milter_macro_daemon_name=ORIGINATING
>> >
>> >subcleanup  unix  n     -     -     -     0     cleanup
>> >  -o header_checks=pcre:/etc/postfix-engelbracht.com/header-checks
>> >
>> >
>> >tlsproxy    unix  -     -     n     -     0     tlsproxy
>> >
>> >dnsblog     unix  -     -     n     -     0     dnsblog
>> >
>> ># AMaViS sendet die E-Mails auf diesen Port zurueck:
>> >9821        inet  n     -     -     -     -     smtpd
>> >  -o content_filter=
>> >  -o smtpd_proxy_filter=
>> >  -o smtpd_authorized_xforward_hosts=11.22.33.44/32
>> >
>> ># Die "submission" user senden die E-Mails auf diesen Port zurueck:
>> >9881        inet  n     -     -     -     -     smtpd
>> >  -o content_filter=
>> >  -o smtpd_proxy_filter=
>> >  #-o smtpd_authorized_xforward_hosts=11.22.33.44/32
>> >
>> >[ ... ]
>> >
>> >
>> >Die Konfiguration von amavisd-new:
>> >
>> >#Auf diesen IP-Adressen/Ports lauscht AMaViS:
>> >@listen_sockets = (
>> >   '11.22.33.44:9820',
>> >   '11.22.33.44:9880',
>> >);
>> >
>> >
>> >$interface_policy{'9820'} = 'engelbracht';
>> >$interface_policy{'9880'} = 'engelbracht_SUBMISSION';
>> >
>> >
>> >$policy_bank{'engelbracht'} = {
>> >   inet_acl => [qw( 11.22.33.44/32 )],
>> >   myhostname => 'mail.engelbracht.tld',
>> >   localhost_name => 'mail.engelbracht.tld',
>> >   X_HEADER_LINE => 'amavisd-new at mail.engelbracht.tld',
>> >   local_domains_maps => '.engelbracht.tld',
>> >   enable_dkim_verification => 1
>> >};
>> >$policy_bank{'engelbracht_SUBMISSION'} = {
>> >   originating => 1,
>> >   bypass_spam_checks_maps => [1],
>> >   bypass_banned_checks_maps => [1],
>> >   final_bad_header_destiny => D_PASS,
>> >   terminate_dsn_on_notify_success => 0,
>> >   warnbadhsender => 1,
>> >   smtpd_discard_ehlo_keywords => ['8BITMIME'],
>> >   enable_dkim_signing => 1
>> >};
>> >
>> >$signed_header_fields{'received'} = 0;
>> >
>> >dkim_key('engelbracht.tld', 'dkim', '/etc/amavis/engelbracht.tld.pem');
>> >@dkim_signature_options_bysender_maps = (
>> >    { '.' =>
>> >        {
>> >            ttl => 21*24*3600,
>> >            c => 'relaxed/simple'
>> >        }
>> >    }
>> >);
>> >
>> ># Alle E-Mails an den Host zuruecksenden, von dem sie
>> ># urspruenglich kam, auf Port +1
>> >$forward_method = 'smtp:*:*';
>> >$notify_method = 'smtp:*:*';
>> >
>> >@mynetworks => qw( 11.22.33.44/32 22.33.44.55/32 33.44.55.66/32 );
>> >
>> >
>> >Wenn ich nun eine Testmail versende, dann taucht in der Logdatei
>> >folgende Fehlermeldung auf:
>> >
>> >Jun  7 22:14:27 mail amavis[2576]: (!)DENIED ACCESS from IP 11.22.33.44,
>> >policy bank 'engelbracht_SUBMISSION'
>> >
>> >Die policy bank 'engelbracht_SUBMISSION' hat ja funktioniert, aber die
>> >E-Mail wird trotzdem nicht gesendet.
>> >In der E-Mail an den postmaster ist zu lesen:
>> >
>> >
>> > Out: 220 mail.engelbracht.tld ESMTP
>> > In:  EHLO [192.168.0.41]
>> > Out: 250-mail.engelbracht.tld
>> > Out: 250-PIPELINING
>> > Out: 250-SIZE 51200000
>> > Out: 250-VRFY
>> > Out: 250-ETRN
>> > Out: 250-STARTTLS
>> > Out: 250-ENHANCEDSTATUSCODES
>> > Out: 250-8BITMIME
>> > Out: 250 DSN
>> > In:  STARTTLS
>> > Out: 220 2.0.0 Ready to start TLS
>> > In:  EHLO [192.168.0.41]
>> > Out: 250-mail.engelbracht.tld
>> > Out: 250-PIPELINING
>> > Out: 250-SIZE 51200000
>> > Out: 250-VRFY
>> > Out: 250-ETRN
>> > Out: 250-AUTH PLAIN
>> > Out: 250-AUTH=PLAIN
>> > Out: 250-ENHANCEDSTATUSCODES
>> > Out: 250-8BITMIME
>> > Out: 250 DSN
>> > In:  AUTH PLAIN 47110815==
>> > Out: 235 2.7.0 Authentication successful
>> > In:  MAIL FROM:<user at engelbracht.tld> BODY=8BITMIME
>> > Out: 250 2.1.0 Ok
>> > In:  RCPT TO:<mustermann at web.de>
>> > Out: 451 4.3.0 Error: queue file write error.
>> > In:  QUIT
>> > Out: 221 2.0.0 Bye
>> >
>> >
>> >Mir stellt sich jetzt die Frage:
>> >EINGEHENDE E-Mails werden ja problemlos an amavisd-new übergeben, auf
>> >Viren geprüft etc. Anschließend werden diese E-Mails ja wieder zurück
>> >an postfix übergeben.
>> >Muss man bei AUSGEHENDEN E-Mails eine andere Konfiguration verwenden?
>> >
>> >Vielen Dank im Voraus!
>> >
>> >
>> >Liebe Grüße
>> >
>> >Thilo
>>
>>
>> ----- Ende der Nachricht von Thilo Engelbracht <mailinglists at engelbracht.de>
>> -----
>>
>>
>>
>>
>> --
>>
>> ------------------------------------------
>> e-Mail  : klaus at tachtler.net
>> Homepage: http://www.tachtler.net
>> DokuWiki: http://www.dokuwiki.tachtler.net
>> ------------------------------------------
>
>> pub  4096R/C67F36D0 2013-09-22 Klaus Tachtler (klaus) <klaus at tachtler.net>
>> sub  4096R/5E4A2AAD 2013-09-22
>
>
>
> Liebe Grüße
>
> Thilo


----- Ende der Nachricht von Thilo Engelbracht  
<mailinglists at engelbracht.de> -----




--

------------------------------------------
e-Mail  : klaus at tachtler.net
Homepage: http://www.tachtler.net
DokuWiki: http://www.dokuwiki.tachtler.net
------------------------------------------
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-keys
Dateigröße  : 3120 bytes
Beschreibung: Öffentlicher PGP-Schlüssel
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20160609/98bb695f/attachment.skr>


Mehr Informationen über die Mailingliste Postfixbuch-users