Рейтинг:0

Server

Пользователь не может отправлять почту в зависимости от интернет-провайдера, неизвестная ошибка пользователя

Kantan

24.02.2023, 09:39

Сервер Ubuntu 18.04.6 LTS с функциональным почтовым сервером postfix/dovecot. При использовании своего телефона для отправки почты пользователь Joe получает следующее ошибка :

Произошла ошибка при отправке почты. Почтовый сервер ответил:
4.7.25 Хост клиента отклонен: не удается найти ваше имя хоста [178.197.200.200].
Пожалуйста, проверьте получателя сообщения "[email protected]" и повторите попытку.

со следующим в /var/журнал/mail.log

24 октября, 08:49:23 vps postfix/submission/smtpd[25163]: подключиться от неизвестного[178.197.200.200]
24 октября, 08:49:23 vps postfix/submission/smtpd[25163]: NOQUEUE: reject: RCPT from unknown[178.197.200.200]: 450 4.7.25 Хост клиента отклонен: не удается найти ваше имя хоста, [178.197.200.200]; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<[192.168.184.19]>

Когда он возвращается домой и использует другого провайдера, почта отправляется без ошибок. /var/журнал/mail.log читается следующим образом:

24 октября, 08:59:21 vps postfix/submission/smtpd[25331]: подключиться с 84-75-202-59.dclient.hispeed.ch[84.75.202.59]
24 октября, 08:59:22 vps postfix/submission/smtpd[25331]: 386394150E: client=84-75-202-59.dclient.hispeed.ch[84.75.202.59], sasl_method=PLAIN, sasl_username=joe@domainname. ч
24 октября 08:59:22 vps postfix/cleanup[25335]: 386394150E: message-id=<[email protected]>
24 октября, 08:59:22 vps postfix/qmgr[6203]: 386394150E: from=<[email protected]>, size=1105, nrcpt=1 (очередь активна)

Сначала я подумал, что порт отправки может быть заблокирован провайдером, но я не понимаю, почему почтовый сервер вообще может быть доступен в этом случае.

В /etc/postfix/main.cf я установил следующие ограничения:

smtpd_client_restrictions =
    Permit_mynetworks
    reject_unknown_client_hostname
    хеш check_client_access:/etc/postfix/access_client

 smtpd_helo_restrictions =
    Permit_mynetworks
    reject_non_fqdn_helo_hostname 
    reject_invalid_helo_hostname
    хеш check_helo_access:/etc/postfix/access_helo

 smtpd_sender_restrictions =
    Permit_mynetworks
    reject_unknown_sender_domain
    reject_non_fqdn_sender
    хеш check_sender_access:/etc/postfix/access_sender

 smtpd_relay_restrictions =
    Permit_mynetworks
    Permit_sasl_authenticated
    reject_unauth_destination

я мог позволить unknown_client_hostname, но не вредит ли безопасности подключение чьего-либо холодильника сюда? Можно ли снять ограничения для reject_non_fqdn_helo_hostname и reject_invalid_helo_hostname позволить пользователю аутентифицироваться? Это означает, что бот может попытаться получить учетные данные.

Есть ли способ разрешить пользователю отправлять почту, не жертвуя безопасностью в этом случае?

0 + 0

поп3

NiKiZe

24.02.2023, 09:59

См. отсутствующую запись PTR для IP, но когда кто-то отправляет почту с клиента, он должен использовать логин на SMTP-сервере, и тогда IP или PTR не должны проверяться.

Ответить

Paul

24.02.2023, 12:45

Одна из проблем с Postfix заключается в том, что существует так много возможных конфигураций для очень многих вариантов использования, что мне трудно понять, как ответить на эти вопросы, не зная, каков ваш вариант использования плюс вывод `postconf -n`. Даже в этом случае вам, возможно, придется подождать, пока кто-нибудь придет и поможет вам с вашей проблемой.

Ответить

djdomi

24.02.2023, 19:47

@kantan вопрос, почему вы ограничиваете через IP? общедоступный постфикс должен быть защищен с помощью fail2ban, чтобы предотвратить перебор, но ограничения через IP, которые не являются безопасными, поскольку их можно подделать

Ответить

Kantan

25.02.2023, 04:40

@NiKiZe: Итак, есть ли очевидное изменение в моей конфигурации, которое мне нужно внести? Актуален ли порядок проверок? Или это из-за ограничений helo, которые наступают перед проверкой аутентификации?

Ответить

Kantan

25.02.2023, 04:40

@djdomi: Fail2ban настроен. Однако для выявления нежелательных попыток требуется несколько неудач. Насколько я понимаю (могу ошибаться), даже лучше избегать этих нескольких попыток. Однако невозможность отправлять почту кажется слишком высокой ценой в этом случае.

Ответить

djdomi

25.02.2023, 05:38

@Kantan Нет, добро пожаловать в Интернет, полный ботов и других сюрпризов. Я запускаю свой сервер примерно с 2000 года, и ни один из моих почтовых серверов никогда не был «взломан» из-за того, что я использую надежные пароли.

Ответить

NiKiZe

25.02.2023, 09:54

Сначала вы используете аутентификацию как альтернативный метод аутентификации. Никогда не ожидайте, что настоящий почтовый клиент отправит действительный HELO.

Ответить

Admin

Этот вопрос на других языках:

EN: User can't send mail depending on ISP, unknown user error

TH: ผู้ใช้ไม่สามารถส่งจดหมายขึ้นอยู่กับ ISP ข้อผิดพลาดของผู้ใช้ที่ไม่รู้จัก

RO: Utilizatorul nu poate trimite e-mail în funcție de ISP, eroare utilizator necunoscută

RU: Пользователь не может отправлять почту в зависимости от интернет-провайдера, неизвестная ошибка пользователя

VI: Người dùng không thể gửi thư tùy thuộc vào ISP, lỗi người dùng không xác định

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.