Что происходит с почтовым сервером (postfix+dovecot)? Помогите понять логи.

[Karl500]

Если Вы закрыли все порты, относящиеся к postfix, а затем, проведя тест на open relay, получили положительный результат - в консерватории что-то не так.

[aleksandrnovikov]

Если Вы закрыли все порты, относящиеся к postfix, а затем, проведя тест на open relay, получили положительный результат - в консерватории что-то не так.

Еще уточню: Сервер виртуальный, за NAT, на роутере отключил правила перенаправления портов (25,465,143,993) и после проверил порты на доступность через специальный сервис.
Пользователь решил продолжить мысль [time]23 Декабрь 2015, 15:46:46[/time]:Включаю на роутере правила перенаправления портов(25,465,143,993), запускаю тест на open relay http://mxtoolbox.com/diagnostic.aspx и получаю:

Код: [Выделить]

Connecting to 1.2.3.4

220 mail.domen.ru ESMTP Postfix (Ubuntu) [734 ms]
EHLO PWS3.mxtoolbox.com
250-mail.domen.ru
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [781 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [781 ms]
RCPT TO:<test@example.com>
554 5.7.1 <test@example.com>: Relay access denied [797 ms]

PWS3v2 8188ms
Т.е. сервер не работает релеем...
Но письма с сервера все равно отсылаются.
Затем я отключаю эти правила и смотрю лог - то же самое, письма отправляются.
/var/log/mail.log

Код: [Выделить]

Dec 22 08:31:09 mail postfix/qmgr[3785]: F081548A97: from=<safety@security.com>, size=39025, nrcpt=30 (queue active)
Dec 22 08:31:09 mail postfix/smtp[3803]: 5A7F348AF6: host mailin-01.mx.aol.com[152.163.0.99] refused to talk to me: 554- (RTR:DU)  https://postmaster.aol.com/error-codes#554rtrdu 554  Connecting IP: 1.2.3.4
Dec 22 08:31:09 mail postfix/smtp[3794]: 5A7F348AF6: host mx2.comcast.net[68.87.20.5] refused to talk to me: 554 resimta-ch2-23v.sys.comcast.net comcast 1.2.3.4 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000001
Dec 22 08:31:09 mail postfix/qmgr[3785]: 5B04E47D4E: from=<>, size=51084, nrcpt=1 (queue active)
Dec 22 08:31:09 mail postfix/qmgr[3785]: 983F04880E: from=<guard@checked.com>, size=39144, nrcpt=30 (queue active)
Dec 22 08:31:09 mail postfix/qmgr[3785]: 57C34479C7: from=<>, size=41067, nrcpt=1 (queue active)
Dec 22 08:31:09 mail postfix/qmgr[3785]: 5C9F347DA6: from=<safety@security.com>, size=39056, nrcpt=30 (queue active)
Dec 22 08:31:09 mail postfix/smtp[3808]: 5A7F348AF6: to=<jibril@verizon.net>, relay=relay.verizon.net[206.46.232.11]:25, delay=298728, delays=298726/1.1/0.57/0, dsn=4.0.0, status=deferred (host relay.verizon.net[206.46.232.11] refused to talk to me: 571 Email from 1.2.3.4 is currently blocked by Verizon Online's anti-spam system. The email sender or Email Service Provider may visit http://www.verizon.net/whitelist and request removal of the block. 151221)
Dec 22 08:31:10 mail postfix/qmgr[3785]: 5D4C948828: from=<>, size=48964, nrcpt=1 (queue active)
Dec 22 08:31:10 mail postfix/smtp[3791]: C712347C01: host mx2.comcast.net[68.87.20.5] refused to talk to me: 554 resimta-ch2-03v.sys.comcast.net comcast 1.2.3.4 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000001
Dec 22 08:31:10 mail postfix/smtp[3791]: connect to mx1.comcast.net[2001:558:fe16:1b::15]:25: Network is unreachable
Dec 22 08:31:10 mail postfix/smtp[3791]: connect to mx2.comcast.net[2001:558:fe21:2a::6]:25: Network is unreachable
Dec 22 08:31:10 mail postfix/qmgr[3785]: 8E43648B5C: from=<guard@networks.com>, size=39178, nrcpt=30 (queue active)
Dec 22 08:31:10 mail postfix/smtp[3792]: C712347C01: host mx.east.cox.net[68.1.17.3] refused to talk to me: 554 eastrmimpi311 cox 1.2.3.4 blocked.  Error Code: IPBL0001 - Refer to Error Codes section at http://postmaster.cox.net/confluence/display/postmaster/Error+Codes for more information.
Dec 22 08:31:10 mail postfix/qmgr[3785]: 5F0D843214: from=<customer@security.net>, size=39209, nrcpt=30 (queue active)
Dec 22 08:31:10 mail postfix/smtp[3800]: 3952E4324E: host mx2.domainlocalhost.com[66.46.183.251] refused to talk to me: 550 Connection refused 1.2.3.4
Dec 22 08:31:10 mail postfix/smtp[3815]: 6A30E488C3: to=<forester3405@charter.net>, relay=mx1.charter.net[68.114.188.69]:25, delay=311362, delays=311360/1.4/0.31/0, dsn=4.0.0, status=deferred (host mx1.charter.net[68.114.188.69] refused to talk to me: 421 impin004 charter.net ?? charter.net connection refused from [1.2.3.4] E1210)
Dec 22 08:31:10 mail postfix/smtp[3794]: 5A7F348AF6: host mx1.comcast.net[96.114.157.80] refused to talk to me: 554 resimta-po-08v.sys.comcast.net comcast 1.2.3.4 found on one or more DNSBLs, see http://postmaster.comcast.net/smtp-error-codes.php#BL000001
Dec 22 08:31:10 mail postfix/smtp[3794]: connect to mx2.comcast.net[2001:558:fe21:2a::6]:25: Network is unreachable
Dec 22 08:31:10 mail postfix/smtp[3815]: 6A30E488C3: to=<foresterd@charter.net>, relay=mx1.charter.net[68.114.188.69]:25, delay=311362, delays=311360/1.4/0.31/0, dsn=4.0.0, status=deferred (host mx1.charter.net[68.114.188.69] refused to talk to me: 421 impin004 charter.net ?? charter.net connection refused from [1.2.3.4] E1210)
Dec 22 08:31:10 mail postfix/smtp[3794]: 5A7F348AF6: to=<jibro@comcast.net>, relay=none, delay=298728, delays=298726/0.87/1/0, dsn=4.4.1, status=deferred (connect to mx2.comcast.net[2001:558:fe21:2a::6]:25: Network is unreachable)
Dec 22 08:31:10 mail postfix/qmgr[3785]: 8D48B48BF1: from=<staff@security.com>, size=39099, nrcpt=30 (queue active)
Dec 22 08:31:10 mail postfix/smtp[3805]: connect to earthllink.net[208.87.34.163]:25: No route to host
Dec 22 08:31:10 mail postfix/smtp[3805]: 5A7F348AF6: to=<jibrivw@earthllink.net>, relay=none, delay=298728, delays=298726/0.98/0.97/0, dsn=4.4.1, status=deferred (connect to earthllink.net[208.87.34.163]:25: No route to host)И на мой исправленный /etc/postfix/main.cf

Код: [Выделить]

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/domen.crt
smtpd_tls_key_file = /etc/ssl/private/domen.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
myhostname = mail.guztosp.ru
mydomain = guztosp.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = guztosp.ru
mydestination = $myhostname, localhost
relayhost =
relay_domains =
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
virtual_alias_domains =
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /home/vmail
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
broken_sasl_auth_clients = yes
# Запретить ETRN команду
smtpd_etrn_restrictions = reject
# Запретить VRFY команду
disable_vrfy_command = yes
#Требовать наличие EHLO (HELO) команды
smtpd_helo_required = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = reject_non_fqdn_recipient,
                               reject_unknown_recipient_domain,
                               reject_multi_recipient_bounce,
                               permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination,
                               check_policy_service unix:/var/spool/postfix/postgrey/socket,
                               #reject_rbl_client zen.spamhaus.org,
                               #reject_rbl_client bl.spamcop.net,
                               #reject_rbl_client dnsbl.sorbs.net,
                               reject_invalid_hostname
smtpd_helo_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_non_fqdn_helo_hostname,
                          reject_invalid_helo_hostname

smtpd_data_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_unauth_pipelining,
                          reject_multi_recipient_bounce,

smtpd_sender_restrictions = permit_mynetworks,
                            permit_sasl_authenticated,
                            reject_non_fqdn_sender,
                            reject_unknown_sender_domain
smtpd_sasl_security_options = noanonymous
#smtpd_sender_restrictions = yes
transport_maps = proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
proxy_read_maps = $local_recipient_maps $mydestination
$virtual_alias_maps $virtual_alias_domains
        $virtual_mailbox_maps $virtual_mailbox_domains
        $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks


[Karl500]

Я уже говорил: если сервер - не open relay, то это (с точки зрения сервера) - легитимные письма. Т.е. они отправляются либо пользователем, прошедшим sasl-аутентификацию (либо "штатный" пользователь, либо сервер взломан), либо с разрешенного IP-адреса (считающегося принадлежащим "своей" сети). Есть и еще вариант - у вас очередь забита письмами, которые сейчас продолжают рассылаться (в очередь они попали тогда, когда сервер был открытым релеем).
Смотрите очередь, смотрите по логам, откуда берутся эти письма.

[aleksandrnovikov]

Спасибо! Оказывается накопилась очередь за время пока был открытым релеем. Очистил очередь и движение в логе затихло.