web-dev-qa-db-ja.com

外部受信者へのSMTPの使用時にリレーアクセスが拒否されましたPOSTFIX FREEBSD

私は自分のfreebsdサーバーでpostfixとdbmailを使用して外部アドレスにメールを送信しようとしています。

次のことに気づきました。

MYSERVER-> MYSERVER = OKAY

EXTERNALSERVER-> MYSERVER = OKAY

MYSERVER-> EXTERNALSERVER = ERROR(454 4.7.1リレーアクセスが拒否されました)

このエラーが発生するのはなぜですか?私のmain.cfと関係があると思います

####MAIN.CF######
queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
data_directory = /var/db/postfix
mail_owner = postfix
default_privs = nobody
myhostname = server.domain.nl
mydomain = domain.nl
myorigin = $mydomain
inet_interfaces = all
virtual_transport = dbmail-lmtp:localhost:24
virtual_mailbox_domains = domain.nl
unknown_local_recipient_reject_code = 550
mynetworks = 127.0.0.0/8 [::1]/128
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
debug_peer_level = 2
debugger_command =
     PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
     ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/local/sbin/sendmail
mailq_path = /usr/local/bin/mailq
setgid_group = maildrop
html_directory = /usr/local/share/doc/postfix
manpage_directory = /usr/local/man
sample_directory = /usr/local/etc/postfix
readme_directory = /usr/local/share/doc/postfix
inet_protocols = ipv4
smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks reject_unauth_destination
6
Ruben Urresti

送信メールを送信するために(メールクライアントを介して)適切に認証されていないか、ネットワーク内のすべてのシステムが認証なしで送信できるようにmynetworksを設定していないのではないですか?

https://serverfault.com/questions/42519/how-to-correct-postfix-relay-access-denied

1
dtbnguyen

this thread のようにsendmailを設定すると、同様のエラーメッセージが表示されました。私にとっての問題は、TLSを使用したSMTPであるポート465を介して認証していたことですが、プロトコルは、認証後に、TLSを使用しないSMTPであるポート25などを介してTLSを実行する必要があります。

解決策は、~/.authinfoのポートを

machine server.domain.tld login [email protected] port 25 password XYZ

更新:私はSMTPの専門家ではありません。私の答えは私の経験と this thread に基づいています。コメントでは、認証にポート25を使用したことに対するこの反論について述べています。

これは、SMTP AUTHが機能する方法ではありません。同じポート(この場合は587)を使用して認証および送信します。

1
miguelmorin

歴史的に、ポート25/TCPへのSMTP接続は、両方の電子メールクライアント(MUA)がローカルメールサーバーに送信メールを送信するため、またはメールサーバー(MTA)が電子メールをあるメールサーバーから別のメールサーバーに渡すために使用されていました。認証は標準では含まれていません。これは非常に悪い考えであることがわかりました。

これによって引き起こされる問題を解決するために、最近のメールサーバーは通常、ポート587を使用してクライアントからの受信メールを受け入れるように設定されています。このポートを使用する場合、認証は通常必須であり、TLS暗号化(STARTTLSを使用)を強くお勧めします。

ポート25は、「有効な」メールサーバー間のトラフィック専用になり、特定のメールサーバーの有効性は、主にさまざまなDNSレコードによって決定されます。

「リレーアクセスが拒否されました」とは、現在、外部サーバーを介して他のメールサーバーにメールを送信する権限がないことを意味します。

YOURSERVER -> EXTERNALSERVER -> THIRD-PARTY-SERVER

ブロックされます。送信する電子メールの宛先アドレスがEXTERNALSERVERが直接担当するドメインの1つと一致する場合、他のスパム対策チェックに失敗しない限り、アドレスは引き続き受け入れられるはずです。

他のメールサーバーが受信SMTP接続に適用する可能性のあるさまざまなスパム対策テストがいくつかあります。

  • 接続時に、接続するホストは、ホスト名を主張する必要があります。受信ホストは、ソースIPアドレスのDNS逆引きを実行します。DNSによって報告された名前は、接続ホストによって要求された名前と一致しますか?通常の順方向DNSルックアップも実行されます。その名前についてDNSによって報告されたIPアドレスは、接続が実際に送信されているソースIPアドレスと一致していますか?これは最も古いアンチスパムテストの1つです。このテストに失敗して認証されなかった場合、宛先ホストが直接担当するメールアドレスにのみメールを送信でき、第三者には送信できません。

  • 特定のDNSドメインのどのホストがインターネットに電子メールを送信することになっているのかを(オプションで)指定できるDNS SPFレコードもあります。ドメインにSPFレコードがある場合(Dig domain.name TXTを試してみてください)およびそのレコードは、ホストがメールサーバーであってはならない、認証を行っていない場合、外部サーバーが接続試行を完全に拒否する可能性があります。

  • DNS MXレコードは、電子メール配信のもう1つの重要な部分です。特定のドメインにサービスを提供するメールサーバーの実際のホスト名を指定します。 [email protected]宛のメールの配信先を決定するために、メールサーバーは最初にdomain.exampleのMXレコードを検索します。 Dig domain.example MXのようなコマンドで自分で行うことができます。特定のDNSドメインのMXレコードがない場合、フォールバックルールがあります。domain.exampleのプレーンな古いDNS Aレコードがあり、そのAレコードで識別されるIPアドレスにホストがポートでリッスンする場合25/TCPの場合、そのドメイン宛のメールはすべてそのIPアドレスに送信されます。スパム対策チェックでは、sendingホストのMXレコードがチェックされる場合があります。アイデアは、「準備ができていないように見える場合」です。電子メールを受信するには、おそらくそれも送信すべきではありません。」メールサーバーの設定は多種多様であるため、これは難しくて速い規則ではありませんが、「スパムかどうか」の小さな正/負の要素として時々使用されます。決定。

静的パブリックIPアドレスを持たないホームユーザーまたは小規模ビジネスの場合、インターネットサービスプロバイダーはあなたを単純なメールクライアントとして扱い、プロバイダーのメールサーバーにのみ送信SMTP接続を送信することのみを許可する場合があります。その時点で認証が必要になる場合や、ネットワークの物理構造に基づいて認証されていない接続が許可される場合があります。この状況でも、独自のプライベートメールサーバーを使用できます。通常のメールクライアントと同じように、すべての送信メールをプロバイダーのメールサーバー経由で送信するだけです。従来のSendmailの構成オプションの名前によれば、これは「スマートホスト」構成と呼ばれることもあります。現代では、通常、認証されていない従来のポート25の代わりにポート587と認証を使用する必要があります。

自分のサーバーで受信メールを受信するかどうかは、インターネットプロバイダーによって許可されているものによっても異なります。接続がNAT化されている場合(家庭および小規模ビジネスのインターネット接続がますます増加しているため)、NATを介してポート25の固定トンネルを開かずに着信接続を受信することは不可能です。IPアドレスが時々変更、メール関連のDNSレコードを常に最新の状態に保つことは、メール配信の信頼性にとって重要です。

パブリック静的IPアドレスと独自のDNSドメインを取得すると、一般に、インターネット全体で「実際の」メールサーバーを使用できる「十分な大きさ」と見なされます。メールサーバーを設定するときは、メール配信に関連するさまざまなタイプのDNSレコードに細心の注意を払い、サーバーに登録されている正確な名前を使用してサーバーが自己紹介すること(SNMP接続のHELO/EHLOメッセージ)を確認してください。 DNSで。また、逆引きDNSレコード(PTRレコード、IPアドレス->ドメイン名マッピング)が正しいことを確認してください。

0
telcoM