Postfix: reject unknown sender domain und NDR
Ich würde gern einen speziellen Sachverhalt verstehen.
am Beispiel mit max.mustermann@musterdomain.com (ersetzt) für unsere Umgebung.
Unser User max.mustermann hat eine Unzustellbarkeitsnachricht bekommen, die sieht ungefähr so aus:
Von: Mail Delivery System <MAILER-DAEMON@godaddy-com.novalocal>
Generierender Server: godaddy-com.novalocal
max.mustermann@musterdomain.com
mx1.musterdomain.com
Remote Server returned '554 5.7.1 <mx1.musterdomain.com #5.7.1 smtp; 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied>'
Im Postfix sieht der Vorgang so aus.
2023-01-04T14:16:43.101798+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.188470+01:00 smtp postfix/smtpd[687]: NOQUEUE: reject: RCPT from unknown[45.156.21.180]: 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied; from=<max.mustermann@musterdomain.com> to=<max.mustermann@musterdomain.com> proto=ESMTP helo=<godaddy-com.novalocal>
2023-01-04T14:16:43.235590+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6
2023-01-04T14:16:43.386677+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.473384+01:00 smtp postfix/smtpd[687]: 734253008E4F: client=unknown[45.156.21.180]
2023-01-04T14:16:43.517263+01:00 smtp postfix/cleanup[689]: 734253008E4F: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.522584+01:00 smtp postfix/qmgr[17873]: 734253008E4F: from=<>, size=3028, nrcpt=1 (queue active)
2023-01-04T14:16:43.525525+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
2023-01-04T14:16:43.525940+01:00 smtp postfix/cleanup[682]: 7F47B3008E51: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.526272+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: from=<>, size=3191, nrcpt=1 (queue active)
2023-01-04T14:16:43.526531+01:00 smtp postfix/local[698]: 734253008E4F: to=<max.mustermann@musterdomain.com>, relay=local, delay=0.05, delays=0.05/0/0/0, dsn=2.0.0, status=sent (forwarded as 7F47B3008E51)
2023-01-04T14:16:43.526801+01:00 smtp postfix/qmgr[17873]: 734253008E4F: removed
2023-01-04T14:16:44.034121+01:00 smtp postfix/smtp[699]: 7F47B3008E51: to=<max.mustermann@musterdomain.de>, orig_to=<max.mustermann@musterdomain.com>, relay=sophos.musterdomain.de[172.32.0.230]:25, delay=0.51, delays=0/0/0/0.5, dsn=2.0.0, status=sent (250 OK id=1pD3dL-0001My-1k)
2023-01-04T14:16:44.034889+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: removed
in unserer main.cf steht:
smtpd_sender_restrictions = permit_mynetworks,
hash:/etc/postfix/access,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
permit
Meine Frage: Wie kann ich verhindern, dass dem User ein NDR zugestellt wird? Kann die Mail von UNKOWN nicht einfach verworfen werden?
am Beispiel mit max.mustermann@musterdomain.com (ersetzt) für unsere Umgebung.
Unser User max.mustermann hat eine Unzustellbarkeitsnachricht bekommen, die sieht ungefähr so aus:
Von: Mail Delivery System <MAILER-DAEMON@godaddy-com.novalocal>
Generierender Server: godaddy-com.novalocal
max.mustermann@musterdomain.com
mx1.musterdomain.com
Remote Server returned '554 5.7.1 <mx1.musterdomain.com #5.7.1 smtp; 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied>'
Im Postfix sieht der Vorgang so aus.
2023-01-04T14:16:43.101798+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.188470+01:00 smtp postfix/smtpd[687]: NOQUEUE: reject: RCPT from unknown[45.156.21.180]: 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied; from=<max.mustermann@musterdomain.com> to=<max.mustermann@musterdomain.com> proto=ESMTP helo=<godaddy-com.novalocal>
2023-01-04T14:16:43.235590+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6
2023-01-04T14:16:43.386677+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.473384+01:00 smtp postfix/smtpd[687]: 734253008E4F: client=unknown[45.156.21.180]
2023-01-04T14:16:43.517263+01:00 smtp postfix/cleanup[689]: 734253008E4F: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.522584+01:00 smtp postfix/qmgr[17873]: 734253008E4F: from=<>, size=3028, nrcpt=1 (queue active)
2023-01-04T14:16:43.525525+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
2023-01-04T14:16:43.525940+01:00 smtp postfix/cleanup[682]: 7F47B3008E51: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.526272+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: from=<>, size=3191, nrcpt=1 (queue active)
2023-01-04T14:16:43.526531+01:00 smtp postfix/local[698]: 734253008E4F: to=<max.mustermann@musterdomain.com>, relay=local, delay=0.05, delays=0.05/0/0/0, dsn=2.0.0, status=sent (forwarded as 7F47B3008E51)
2023-01-04T14:16:43.526801+01:00 smtp postfix/qmgr[17873]: 734253008E4F: removed
2023-01-04T14:16:44.034121+01:00 smtp postfix/smtp[699]: 7F47B3008E51: to=<max.mustermann@musterdomain.de>, orig_to=<max.mustermann@musterdomain.com>, relay=sophos.musterdomain.de[172.32.0.230]:25, delay=0.51, delays=0/0/0/0.5, dsn=2.0.0, status=sent (250 OK id=1pD3dL-0001My-1k)
2023-01-04T14:16:44.034889+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: removed
in unserer main.cf steht:
smtpd_sender_restrictions = permit_mynetworks,
hash:/etc/postfix/access,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
permit
Meine Frage: Wie kann ich verhindern, dass dem User ein NDR zugestellt wird? Kann die Mail von UNKOWN nicht einfach verworfen werden?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5211205105
Url: https://administrator.de/contentid/5211205105
Ausgedruckt am: 08.11.2024 um 21:11 Uhr
3 Kommentare
Neuester Kommentar
Auch kein Hallo.
Es ist keine gute Idee NDR zu deaktivieren. So weißt du nicht, ob eine Nachricht beim Empfänger angekommen ist oder eben nicht.
Das erschwert die Fehlersuche immens.
Hat sich der Benutzer beispielsweise einmal vertippt und geht davon aus, dass eine wichtige Nachricht verschickt wurde, dann ist das zu eurem Schaden.
Falls das alles egal ist, dann schau doch einfach mal im Internet nach "disable ndr postfix".
Sollte genügend Hinweise geben.
Auch kein Tschüss
Es ist keine gute Idee NDR zu deaktivieren. So weißt du nicht, ob eine Nachricht beim Empfänger angekommen ist oder eben nicht.
Das erschwert die Fehlersuche immens.
Hat sich der Benutzer beispielsweise einmal vertippt und geht davon aus, dass eine wichtige Nachricht verschickt wurde, dann ist das zu eurem Schaden.
Falls das alles egal ist, dann schau doch einfach mal im Internet nach "disable ndr postfix".
Sollte genügend Hinweise geben.
Auch kein Tschüss
Postfix hat in dem Fall keinen NDR generiert - der Absender tat es. Da ist wenig, was man dagegen machen kann.
Siehe Logeinträge: Postfix schreibt beim Einlieferungsversuch "NOQUEUE: reject".
NOQUEUE ist ein sicheres Zeichen, dass Postfix die Mail nicht genommen hat und sich von daher auch nicht zuständig fühlt, NDRs zu versenden. Dein Postfix hat sie stattdessen hart abgewiesen und dem Absender in der Transaktion mitgeteilt, dass die Mail nicht zuständig ist, so wie es sein soll.
Jedoch:
Der selbe Server hat direkt im Anschluss eine neue E-Mail eingeliefert (Queue-ID 734253008E4F), welche einen leeren Absender hat. Das ist der NDR, den der ABSENDE-Server generiert hat.
Den NDR bekommst du, weil offenbar in der ursprünglichen Mail max.mustermann@musterdomain.de als Absender gesetzt war. Typischer Spam halt. Und weil dein Server das nicht genommen hat, hat der Absende-Server den NDR generiert. Und den dann zugestellt.
Füge mal, um den Schrott von Servern ohne brauchbaren Reverse-DNS von vornherein loszuwerden, noch "reject_unknown_client" in die Restrictions ein. Das hilft zwar nicht gegen das grundsätzliche Problem, aber es hält dir schonmal den Spam von Servern ab, die ganz offenbar nicht für den Mailversand konfiguriert sind (denn sonst hätten sie ja konsistentes Reverse-DNS).
Siehe Logeinträge: Postfix schreibt beim Einlieferungsversuch "NOQUEUE: reject".
NOQUEUE ist ein sicheres Zeichen, dass Postfix die Mail nicht genommen hat und sich von daher auch nicht zuständig fühlt, NDRs zu versenden. Dein Postfix hat sie stattdessen hart abgewiesen und dem Absender in der Transaktion mitgeteilt, dass die Mail nicht zuständig ist, so wie es sein soll.
Jedoch:
Der selbe Server hat direkt im Anschluss eine neue E-Mail eingeliefert (Queue-ID 734253008E4F), welche einen leeren Absender hat. Das ist der NDR, den der ABSENDE-Server generiert hat.
Den NDR bekommst du, weil offenbar in der ursprünglichen Mail max.mustermann@musterdomain.de als Absender gesetzt war. Typischer Spam halt. Und weil dein Server das nicht genommen hat, hat der Absende-Server den NDR generiert. Und den dann zugestellt.
Füge mal, um den Schrott von Servern ohne brauchbaren Reverse-DNS von vornherein loszuwerden, noch "reject_unknown_client" in die Restrictions ein. Das hilft zwar nicht gegen das grundsätzliche Problem, aber es hält dir schonmal den Spam von Servern ab, die ganz offenbar nicht für den Mailversand konfiguriert sind (denn sonst hätten sie ja konsistentes Reverse-DNS).