shiva99
Goto Top

Postfix: reject unknown sender domain und NDR

Ich würde gern einen speziellen Sachverhalt verstehen.

am Beispiel mit max.mustermann@musterdomain.com (ersetzt) für unsere Umgebung.

Unser User max.mustermann hat eine Unzustellbarkeitsnachricht bekommen, die sieht ungefähr so aus:

Von: Mail Delivery System <MAILER-DAEMON@godaddy-com.novalocal>

Generierender Server: godaddy-com.novalocal
max.mustermann@musterdomain.com
mx1.musterdomain.com
Remote Server returned '554 5.7.1 <mx1.musterdomain.com #5.7.1 smtp; 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied>'



Im Postfix sieht der Vorgang so aus.

2023-01-04T14:16:43.101798+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.188470+01:00 smtp postfix/smtpd[687]: NOQUEUE: reject: RCPT from unknown[45.156.21.180]: 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied; from=<max.mustermann@musterdomain.com> to=<max.mustermann@musterdomain.com> proto=ESMTP helo=<godaddy-com.novalocal>
2023-01-04T14:16:43.235590+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6
2023-01-04T14:16:43.386677+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.473384+01:00 smtp postfix/smtpd[687]: 734253008E4F: client=unknown[45.156.21.180]
2023-01-04T14:16:43.517263+01:00 smtp postfix/cleanup[689]: 734253008E4F: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.522584+01:00 smtp postfix/qmgr[17873]: 734253008E4F: from=<>, size=3028, nrcpt=1 (queue active)
2023-01-04T14:16:43.525525+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
2023-01-04T14:16:43.525940+01:00 smtp postfix/cleanup[682]: 7F47B3008E51: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.526272+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: from=<>, size=3191, nrcpt=1 (queue active)
2023-01-04T14:16:43.526531+01:00 smtp postfix/local[698]: 734253008E4F: to=<max.mustermann@musterdomain.com>, relay=local, delay=0.05, delays=0.05/0/0/0, dsn=2.0.0, status=sent (forwarded as 7F47B3008E51)
2023-01-04T14:16:43.526801+01:00 smtp postfix/qmgr[17873]: 734253008E4F: removed
2023-01-04T14:16:44.034121+01:00 smtp postfix/smtp[699]: 7F47B3008E51: to=<max.mustermann@musterdomain.de>, orig_to=<max.mustermann@musterdomain.com>, relay=sophos.musterdomain.de[172.32.0.230]:25, delay=0.51, delays=0/0/0/0.5, dsn=2.0.0, status=sent (250 OK id=1pD3dL-0001My-1k)
2023-01-04T14:16:44.034889+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: removed



in unserer main.cf steht:

smtpd_sender_restrictions = permit_mynetworks,
hash:/etc/postfix/access,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
permit



Meine Frage: Wie kann ich verhindern, dass dem User ein NDR zugestellt wird? Kann die Mail von UNKOWN nicht einfach verworfen werden?

Content-ID: 5211205105

Url: https://administrator.de/contentid/5211205105

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

radiogugu
radiogugu 04.01.2023 aktualisiert um 18:07:29 Uhr
Goto Top
Auch kein Hallo.

Es ist keine gute Idee NDR zu deaktivieren. So weißt du nicht, ob eine Nachricht beim Empfänger angekommen ist oder eben nicht.

Das erschwert die Fehlersuche immens.

Hat sich der Benutzer beispielsweise einmal vertippt und geht davon aus, dass eine wichtige Nachricht verschickt wurde, dann ist das zu eurem Schaden.

Falls das alles egal ist, dann schau doch einfach mal im Internet nach "disable ndr postfix".

Sollte genügend Hinweise geben.

Auch kein Tschüss
LordGurke
LordGurke 04.01.2023 um 18:14:57 Uhr
Goto Top
Postfix hat in dem Fall keinen NDR generiert - der Absender tat es. Da ist wenig, was man dagegen machen kann.
Siehe Logeinträge: Postfix schreibt beim Einlieferungsversuch "NOQUEUE: reject".
NOQUEUE ist ein sicheres Zeichen, dass Postfix die Mail nicht genommen hat und sich von daher auch nicht zuständig fühlt, NDRs zu versenden. Dein Postfix hat sie stattdessen hart abgewiesen und dem Absender in der Transaktion mitgeteilt, dass die Mail nicht zuständig ist, so wie es sein soll.

Jedoch:
Der selbe Server hat direkt im Anschluss eine neue E-Mail eingeliefert (Queue-ID 734253008E4F), welche einen leeren Absender hat. Das ist der NDR, den der ABSENDE-Server generiert hat.

Den NDR bekommst du, weil offenbar in der ursprünglichen Mail max.mustermann@musterdomain.de als Absender gesetzt war. Typischer Spam halt. Und weil dein Server das nicht genommen hat, hat der Absende-Server den NDR generiert. Und den dann zugestellt.

Füge mal, um den Schrott von Servern ohne brauchbaren Reverse-DNS von vornherein loszuwerden, noch "reject_unknown_client" in die Restrictions ein. Das hilft zwar nicht gegen das grundsätzliche Problem, aber es hält dir schonmal den Spam von Servern ab, die ganz offenbar nicht für den Mailversand konfiguriert sind (denn sonst hätten sie ja konsistentes Reverse-DNS).
Shiva99
Shiva99 05.01.2023 um 08:33:44 Uhr
Goto Top
Hallo LordGurke,

vielen Dank für Deine Ausführungen.
Nach zusätzlichem Googlen habe ich noch weitere Einstellungen vorgenommen.

smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
permit


smtpd_client_restrictions = permit_sasl_authenticated,
reject_unknown_client_hostname


Passt das aus Deiner Sicht?

VG