Postfix relay + milter nu functioneaza.

Salut.

Am un SMTP relay (Postfix) intre Internet si alt server de email (tot Postfix) din LAN.
Pe serverul de relay am configurat un milter care ar trebuii sa se activeze pentru primite trafic din Internet.
Din pacate se comporta exact invers... si anume se activeaza DOAR pentru trimitere trafic in Internet.
Deoarece milterul functioneaza doar pentru outgoing presupun ca sintaxa din main.cf pentru miter este corecta.

Presupun de asemenea ca problema este relay_domains = domeniulmeu.tld + transport_maps care indica domeniu:port si care cel mai probabil este procesat inainte de a ajunge la milter.

Intr-o asemenea situatie cum ar trebuii configurat Postfix ca sa aplice milter inainte de a face relay ?

Mersi.

P.S. Stiu ca pot aplica milter pe serverul de email din interiorul LAN insa eu am nevoie pe SMTP relay.

Edited by dagobar, 12 October 2022 - 13:54.

Ai definit smtp relay-ul in main.cf? era undeva pe la sectiunea 9, ceva cu internet and....

/etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
relay_domains = domeniu.tld
relay_recipient_maps =
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_restriction_classes = restrictive, permissive

restrictive = reject_unverified_recipient
permissive = permit

smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_destination,
check_recipient_access hash:/etc/postfix/verify_domains

myhostname = mail.domeniu.tld
myorigin = $mydomain

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, localhost.$mydomain, localhost
relayhost =
mynetworks = 127.0.0.0/8
inet_interfaces = loopback-only
inet_protocols = ipv4
recipient_delimiter = +

compatibility_level = 2

transport_maps = hash:/etc/postfix/transports/transport

smtpd_sasl_path = smtpd
smtpd_sasl_local_domain = domeniu.tld
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
cyrus_sasl_config_path = /usr/lib/sasl2/

address_verify_map = btree:/etc/postfix/verify_cache

# SSL/TLS
smtpd_use_tls=yes
smtp_tls_security_level = may
smtpd_tls_cert_file=/etc/letsencrypt/live/mail.domeniu.tld/cert.pem
smtpd_tls_key_file=/etc/letsencrypt/live/mail.domeniu.tld/privkey.pem
smtpd_tls_loglevel = 1

# Milters
# smtpd_milters = milter1,milter2,milter3
smtpd_milters = inet:192.168.1.33:30001
milter_default_action = accept
milter_protocol = 6
non_smtpd_milters = $smtpd_milters

Practic milterul se activeaza doar cand primeste trafic autentificat SASL pentru relay de la serverul din LAN... ceea ce este complet inutil. Daca as vrea pentru outgoing as instala milterul pe serverul din interiorul LAN si nu pe SMTP relay.

192.168.1.33:30001 este adresa IP:port unde am pornit milter-test-client pentru testare si care logeaza comenzile primite.

Programele milter-test-server / milter-test-client se gasesc in pachetul milter manager.

inet_interfaces = loopback-only

modifica la valoarea default

inet_interfaces = all

In primul rand multumesc pentru sugestie.
Pornind de la acesta configurare am descoperit si cauza.
Eu folosesc ASSP pentru anti-spam care in loc sa directioneze traficul de incoming catre localhost unde se afla SMTP relay il directiona direct catre server-ul intern de email.
Problema rezolvata, acum functioneaza milterul.
Mersi.

Edited by dagobar, 13 October 2022 - 10:58.

 dagobar, on 13 octombrie 2022 - 10:57, said:

ASSP-ul mi se pare foarte greu de folosit .

Iti recomand sa incerci efa

Te referi la https://efa-project.org/ ?

Da

M-am uitat peste specificatii insa pare a fi un package (cu alte solutii open source) limitat numai pentru o distributie abandonata (CentOS).
In plus vad ca cerintele minime sunt:
- A dedicated system for eFa4
- CentOS 7 or 8 or equivalent (minimal install required)
- 2 CPU’s
- 100GB of hard-drive space (SSD highly preferred)
- 8GB memory (dedicated)

Personal mi se par mari vis-a-vis de alternative.

Oricum multumesc pentru sugestie, chiar daca eFa nu este pentru mine prin acest proiect am aflat de MailScanner/MailWatch si ImageCeberus (posibil si altele) care separat prezinta interes.