Postfix: reject unknown sender domain und NDR

Ich würde gern einen speziellen Sachverhalt verstehen.

am Beispiel mit max.mustermann@musterdomain.com (ersetzt) für unsere Umgebung.

Unser User max.mustermann hat eine Unzustellbarkeitsnachricht bekommen, die sieht ungefähr so aus:

Von: Mail Delivery System <MAILER-DAEMON@godaddy-com.novalocal>

Generierender Server: godaddy-com.novalocal
max.mustermann@musterdomain.com
mx1.musterdomain.com
Remote Server returned '554 5.7.1 <mx1.musterdomain.com #5.7.1 smtp; 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied>'

Im Postfix sieht der Vorgang so aus.

2023-01-04T14:16:43.101798+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.188470+01:00 smtp postfix/smtpd[687]: NOQUEUE: reject: RCPT from unknown[45.156.21.180]: 554 5.7.1 <max.mustermann@musterdomain.com>: Sender address rejected: Access denied; from=<max.mustermann@musterdomain.com> to=<max.mustermann@musterdomain.com> proto=ESMTP helo=<godaddy-com.novalocal>
2023-01-04T14:16:43.235590+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=4/6
2023-01-04T14:16:43.386677+01:00 smtp postfix/smtpd[687]: connect from unknown[45.156.21.180]
2023-01-04T14:16:43.473384+01:00 smtp postfix/smtpd[687]: 734253008E4F: client=unknown[45.156.21.180]
2023-01-04T14:16:43.517263+01:00 smtp postfix/cleanup[689]: 734253008E4F: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.522584+01:00 smtp postfix/qmgr[17873]: 734253008E4F: from=<>, size=3028, nrcpt=1 (queue active)
2023-01-04T14:16:43.525525+01:00 smtp postfix/smtpd[687]: disconnect from unknown[45.156.21.180] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
2023-01-04T14:16:43.525940+01:00 smtp postfix/cleanup[682]: 7F47B3008E51: message-id=<20230104131643.406EA10F1A@godaddy-com.novalocal>
2023-01-04T14:16:43.526272+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: from=<>, size=3191, nrcpt=1 (queue active)
2023-01-04T14:16:43.526531+01:00 smtp postfix/local[698]: 734253008E4F: to=<max.mustermann@musterdomain.com>, relay=local, delay=0.05, delays=0.05/0/0/0, dsn=2.0.0, status=sent (forwarded as 7F47B3008E51)
2023-01-04T14:16:43.526801+01:00 smtp postfix/qmgr[17873]: 734253008E4F: removed
2023-01-04T14:16:44.034121+01:00 smtp postfix/smtp[699]: 7F47B3008E51: to=<max.mustermann@musterdomain.de>, orig_to=<max.mustermann@musterdomain.com>, relay=sophos.musterdomain.de[172.32.0.230]:25, delay=0.51, delays=0/0/0/0.5, dsn=2.0.0, status=sent (250 OK id=1pD3dL-0001My-1k)
2023-01-04T14:16:44.034889+01:00 smtp postfix/qmgr[17873]: 7F47B3008E51: removed

in unserer main.cf steht:

smtpd_sender_restrictions = permit_mynetworks,
hash:/etc/postfix/access,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
permit

Meine Frage: Wie kann ich verhindern, dass dem User ein NDR zugestellt wird? Kann die Mail von UNKOWN nicht einfach verworfen werden?

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 5211205105

Url: https://administrator.de/contentid/5211205105

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

3 Kommentare

Neuester Kommentar

Auch kein Hallo.

Es ist keine gute Idee NDR zu deaktivieren. So weißt du nicht, ob eine Nachricht beim Empfänger angekommen ist oder eben nicht.

Das erschwert die Fehlersuche immens.

Hat sich der Benutzer beispielsweise einmal vertippt und geht davon aus, dass eine wichtige Nachricht verschickt wurde, dann ist das zu eurem Schaden.

Falls das alles egal ist, dann schau doch einfach mal im Internet nach "disable ndr postfix".

Sollte genügend Hinweise geben.

Auch kein Tschüss

Postfix hat in dem Fall keinen NDR generiert - der Absender tat es. Da ist wenig, was man dagegen machen kann.
Siehe Logeinträge: Postfix schreibt beim Einlieferungsversuch "NOQUEUE: reject".
NOQUEUE ist ein sicheres Zeichen, dass Postfix die Mail nicht genommen hat und sich von daher auch nicht zuständig fühlt, NDRs zu versenden. Dein Postfix hat sie stattdessen hart abgewiesen und dem Absender in der Transaktion mitgeteilt, dass die Mail nicht zuständig ist, so wie es sein soll.

Jedoch:
Der selbe Server hat direkt im Anschluss eine neue E-Mail eingeliefert (Queue-ID 734253008E4F), welche einen leeren Absender hat. Das ist der NDR, den der ABSENDE-Server generiert hat.

Den NDR bekommst du, weil offenbar in der ursprünglichen Mail max.mustermann@musterdomain.de als Absender gesetzt war. Typischer Spam halt. Und weil dein Server das nicht genommen hat, hat der Absende-Server den NDR generiert. Und den dann zugestellt.

Füge mal, um den Schrott von Servern ohne brauchbaren Reverse-DNS von vornherein loszuwerden, noch "reject_unknown_client" in die Restrictions ein. Das hilft zwar nicht gegen das grundsätzliche Problem, aber es hält dir schonmal den Spam von Servern ab, die ganz offenbar nicht für den Mailversand konfiguriert sind (denn sonst hätten sie ja konsistentes Reverse-DNS).

Hallo LordGurke,

vielen Dank für Deine Ausführungen.
Nach zusätzlichem Googlen habe ich noch weitere Einstellungen vorgenommen.

smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
permit

smtpd_client_restrictions = permit_sasl_authenticated,
reject_unknown_client_hostname

Passt das aus Deiner Sicht?

VG

Frage Linux Netzwerke E-Mail DNS

Mehr von Shiva99

Exchange 2016 - Gerätefreigabe für MobileDevices in QuarantäneShiva99 - 4 Kommentare

Cisco Switch - Wiederherstellung IOSShiva99 - 5 Kommentare

Exchange 2016: Ressource "Wohnung" teilbuchenShiva99 - 1 Kommentar

WPAD.DAT WPAD.PAC - Edge Chromium hat ein Problem mit myIpAddress()Shiva99 - 3 Kommentare

Heiß diskutiert