Alias de postfix e problema de “representação”

2

Recentemente, comecei a configurar endereços no meu servidor postfix e deparei com um problema com meus colegas.

Então, suponha que eu tenha um alias [email protected]

que encaminha o email para [email protected] e [email protected]

Caso enviemos para o mesmo domínio, o alias é, tudo funciona perfeitamente e o e-mail é entregue, mas vamos nos aprofundar no problema de outro domínio, já que o e-mail é devolvido imediatamente com este erro:

<[email protected]> (expanded from <[email protected]>): host
mx.foo.net[144.76.75.247] said: 550 You must be authenticated (in
reply to RCPT TO command)

Felizmente, os proprietários deste outro domínio são meus colegas, por isso respondi a eles primeiro. Fizemos algumas pesquisas e descobrimos que o e-mail não é simplesmente enviado de [email protected], mas é enviado como se fosse outra pessoa.

Para entender melhor esta questão, aconselho-o a dar uma olhada nos cabeçalhos do e-mail enviado para [email protected], que é rejeitado pelo servidor foo.net.

Delivered-To: [email protected]
Received: by 10.140.108.54 with SMTP id i51csp86667qgf;
        Thu, 24 Apr 2014 04:54:02 -0700 (PDT)
X-Received: by 10.14.246.1 with SMTP id p1mr2029071eer.20.1398340441786;
        Thu, 24 Apr 2014 04:54:01 -0700 (PDT)
Return-Path: <[email protected]>
Received: from bar.ru (bar.ru. [47.175.193.55])
        by mx.google.com with ESMTPS id p8si7998323eew.276.2014.04.24.04.54.01
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Thu, 24 Apr 2014 04:54:01 -0700 (PDT)
Received-SPF: fail (google.com: domain of [email protected] does not designate 47.175.193.55 as permitted sender) client-ip=47.175.193.55;
Authentication-Results: mx.google.com;
       spf=hardfail (google.com: domain of [email protected] does not designate 47.175.193.55 as permitted sender) [email protected];
       dkim=pass [email protected]
Received: from mx.foo.net (mx.foo.net [144.76.75.247])
    by bar.ru (Postfix) with ESMTPS id BC4E9BC0031
    for <[email protected]>; Thu, 24 Apr 2014 15:54:00 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=foo.net; s=default;
    h=Content-Transfer-Encoding:Content-Type:Subject:To:MIME-Version:From:Date:Message-ID; bh=Sr6qzI6M/AdTYgu33PjdinGA745C3GUCsXevUC1TgDI=;
    b=DpO1qnFhn+Srhuuj+2bzi4bUOoMOAr4tSRqK/sbz0gt5Ogp+RK9BJQTpix5oPoebo7M7MYIV+zHlzTdJnpPa0FSa4WTewvYxOE81CX/+k/VLQdK1SPcbdPSRACzKsS3Jq7QE9XKK1maW8s0syGbToGT/KNXHkeBKtP6QhIrUs3Y4=;
Envelope-to: [email protected]
Delivery-date: Thu, 24 Apr 2014 13:54:00 +0200
Message-ID: <[email protected]>
Date: Thu, 24 Apr 2014 14:53:54 +0300
From: Vitali R <[email protected]>
User-Agent: Mozilla/5.0 (X11; Linux i686; rv:16.0) Gecko/20121028 Thunderbird/16.0.2
MIME-Version: 1.0
To: [email protected]
Subject: hello world this is alias test
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

testest

Imagem para melhor compreensão: link Então a parte interessante é essa linha

Received-SPF: fail (google.com: domain of [email protected] does not designate 47.175.193.55 as permitted sender) client-ip=47.175.193.55;

E ele estará correto, 11.111.111.11, na verdade, não designa para otherdomain.com, como 47.175.193.55 é o IP do servidor, através do qual o email foi enviado (via alias).

Então, simplesmente falando, o servidor personifica a si mesmo que o email é enviado de [email protected], enquanto que na realidade ele foi enviado do bar.ru e meu colega servidor rejeita uma carta por causa disso.

Eu entendo isso pode parecer confuso, mas veja desta forma. Você pode enviar uma carta para praticamente qualquer servidor, dizendo ao servidor que você o enviou de um e-mail, ao qual você claramente não tem acesso. Isso é basicamente o que acontece com o problema de alias aqui.

Como você reagiria a esse tipo de problema e acha que rejeitar o e-mail é apropriado aqui?

Obrigado pela sua ajuda.

    
por Screatch 24.04.2014 / 15:58

1 resposta

3

A maneira como o postfix está recebendo o e-mail e encaminhando-o para os aliases está completamente correta. Naturalmente, como o remetente é de um domínio externo e você criou um alias para um domínio externo, o servidor de recebimento notará que você realmente não deve enviar e-mails de um domínio pelo qual não é responsável. Alguns servidores se opõem ao envio de mensagens para eles, alegando vir de um domínio pelo qual são responsáveis. Isso não é irracional, e dada a quantidade de spam enviada hoje em dia, talvez até seja sábio.

Existem várias maneiras de resolver isso.

  1. Não crie aliases com e-mails em domínios pelos quais você não é responsável. É limitante, mas a maneira mais simples de resolver o problema.

  2. Use smtp_generic_maps , isso exigirá a criação de entradas para mapear o endereço errado para um endereço correto, por exemplo, [email protected] [email protected] , é claro, isso exigirá uma entrada para cada e-mail que você deseja mapear e uma genérica para e-mails que você não conhece: @foo.net [email protected] irá reescrever qualquer endereço @foo.net para [email protected] , exceto %código%. Isso tem o efeito colateral de eliminar o remetente original ... o que não é ótimo, se você quiser responder à pessoa que enviou a mensagem original.

  3. Se o servidor para o qual o alias está sendo enviado for sua conta, sender_dependent_relayhost_maps pode ser uma solução válida, pois permite que o postfix forneça a autenticação que o servidor remoto solicita nesse caso. Deficiências: só fornecerá autenticação quando o remetente for o configurado no mapa e, claro, só resolverá o problema daquele servidor único. Se você tem apenas alguns exemplos de situações como essa, pode ser a melhor maneira de fazer isso.

por 24.04.2014 / 18:00