550 5.7.1 Client host rejected: cannot find your hostname

[Scorry]

Добрый день.

Что-то я жёстко туплю, видимо. Где-то, но где — понять не могу. При попытке отправить почту из Thunderbird postfix отвечает в лог:

Код: [Выделить]

reject: RCPT from unknown[111.222.333.444]: 550 5.7.1 Client host rejected: cannot find your hostname, [111.222.333.444]Куда копать? Почему не находит? :-) dig -x тут же вполне его видит.
Помогите, люди добрые!

[chemtech]

а

Код: [Выделить]

host ipобратно резолвит?
Первая ссылка
http://forum.lissyara.su/viewtopic.php?p=306716

[ArcFi]

Scorry,

Код: [Выделить]

postconf smtpd_client_restrictions smtpd_helo_restrictions smtpd_recipient_restrictions smtpd_sender_restrictions

[Karl500]

На Thunderbird авторизацию SMTP включили?

[Scorry]

а

Код: [Выделить]

host ipобратно резолвит?
Первая ссылка
http://forum.lissyara.su/viewtopic.php?p=306716

Резольвит, только не на mail.domain.tld, а на domain.tld. Вчера дал заявку хостеру, чтобы на мэйл переписали, но почему-то ещё не сделали.

По ссылке ходил, но у меня проблема заключается не в этом. Почта от моего постфикса уходит, и на него доставляется вообще без проблем. Проблема с почтовым клиентом, который не может пропихнуть эту почту постфиксу. С самого сервера почта отправляется тем же мейликсом без проблем.
Пользователь решил продолжить мысль 08 Июля 2014, 11:14:31:

Scorry,

Код: [Выделить]

postconf smtpd_client_restrictions smtpd_helo_restrictions smtpd_recipient_restrictions smtpd_sender_restrictions

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

smtpd_client_restrictions =
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, permit
smtpd_recipient_restrictions = reject_unknown_client_hostname, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_non_fqdn_sender
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_sender_login_mismatch

Пользователь решил продолжить мысль 08 Июля 2014, 11:21:17:

На Thunderbird авторизацию SMTP включили?

Да, STARTTLS, аналогично IMAP. Собственно,

Код: [Выделить]

smtpd_sasl_path = private/dovecot-authпотому одинаковая для IMAP и SMTP.

[Karl500]

Добавьте permit_sasl_authenticated рядом с  permit_mynetworks.  У Вас аутентифицированный клиент "пропускается" через все проверки, через которые должны пропускаться только попытки доставки почты с других серверов.

[Scorry]

Добавьте permit_sasl_authenticated рядом с  permit_mynetworks.  У Вас аутентифицированный клиент "пропускается" через все проверки, через которые должны пропускаться только попытки доставки почты с других серверов.

Та-а-ак. Спасибо большое, заработало. Правда, не сразу, в конце концов я добавил (или перенёс) цепочку permit_mynetworks, permit_sasl_authenticated в начало каждой цепочки, они выглядят сейчас так:

Код: [Выделить]

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
                            reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname,
                            reject_unknown_helo_hostname, permit
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
                                 reject_unknown_client_hostname, reject_unknown_sender_domain,
                                 reject_unknown_recipient_domain, reject_unauth_pipelining,
                                 reject_unauth_destination, reject_invalid_hostname,
                                 reject_non_fqdn_sender
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain,
                              reject_sender_login_mismatchПодскажите, пожалуйста, нет ли тут чего-нибудь лишнего или небезопасного?

И чтобы два раза не вставать: подскажите, пожалуйста, безопасно ли заносить в mynetworks локалку? Все клиенты (пока) ходят только с аутентификацией. Как поступать, если вдруг появится тупой клиент не на самом сервере, который внезапно не умеет TLS, но которого кровь из носу надо разрешать отправлять почту с какого-нибудь хоста — по имени или по IP?

[ArcFi]

И чтобы два раза не вставать: подскажите, пожалуйста, безопасно ли заносить в mynetworks локалку?

Если в локалке беззаботно живёт вирусня, то лучше не разрешать.

Как поступать, если вдруг появится тупой клиент не на самом сервере, который внезапно не умеет TLS, но которого кровь из носу надо разрешать отправлять почту с какого-нибудь хоста — по имени или по IP?

permit_mynetworks

[Scorry]

Если в локалке беззаботно живёт вирусня, то лучше не разрешать.

Надеюсь, что нет. Но в любом случае не вижу оснований (пока) давать клиентам изнутри какие-то предпочтения по сравнению с клиентами из внешней сети.

Как поступать, если вдруг появится тупой клиент не на самом сервере, который внезапно не умеет TLS, но которого кровь из носу надо разрешать отправлять почту с какого-нибудь хоста — по имени или по IP?

permit_mynetworks

Подскажите, пожалуйста, правильно ли я понимаю: я оставляю в mynetworks только локалхост, удаляю оттуда локалку и постфикс принимает почту только от авторизованных MUA, правильно?

И подскажите, пожалуйста, не видите ли чего-нибудь подозрительного в restrictions вверху?

Благодарю заранее.