Problema com Postfix [RESOLVIDO]

linuxware
(usa Ubuntu)

Enviado em 24/07/2013 - 21:39h

Galera, estou com um probleminha doido.

Seguinte, a minha infra está da seguinte maneira:


INTERNET -> GATEWAY ( 2 PLACAS DE REDE , eth0 = conecta o servidor a internet, e eth1 = faz a funcao de gateway rodando um isc-dhcp-server ) -> PC'S CLIENTES ( Isso inclui um servidor Web + zpanel + postfix ) + DVR



- O redirecionamento do DVR funciona lindamente, igualmente o redirecionamento do acesso pelo ip da eth0 ( no caso 177.53.80.39 ) para o servidor web localizado na rede interna.

- As portas smtp, http, https, smtps, pop3, pop3s já estão abertas.

- Usando o webmail tanto externamente e internamente ( fora da internet da empresa ), usando o ip fixo 177.... consigo mandar e receber e-mails tranquilamente.

- Agora vem o problema: Não sei porque diaxo, configurando o outlook dentro da rede interna, consigo acesso ao servidor de entrada/saída de e-mails. Usando o outlook fora da rede interna, ele só autentica o usuario mais não consegue MANDAR e-mails, só RECEBE E-mails.


Relembrando, as portas já estão abertas e redirecionadas ( acesso pelo endereço da eth0 p/ cliente interno ).

Buckminster
(usa Debian)

Enviado em 25/07/2013 - 02:21h

Veja se não falta habilitar o acesso ao relay da sua rede interna.

Entre no arquivo no arquivo /etc/postfix/main.cf e procure pelas linhas:

inet_interfaces = all
mynetworks_style = subnet
mynetworks = 127.0.0.1/8, 192.168.0.0/24 << aqui você coloca sua rede interna, mas deixe o localhost (127.0.0.1/8).

E também talvez seja necessário mexer no serviço inetd. Veja isto:

http://virtual01.lncc.br/~licht/linux/servidores.postfix.arq.html

Procure CL7.0 e CL8 nesse link.

wnp
(usa Debian)

Enviado em 25/07/2013 - 09:35h

Verifica o log e posta a mensagem de erro.

ranzes
(usa Slackware)

Enviado em 25/07/2013 - 09:52h

Muita cautela ao abrir o relay.
Mesmo interno não é aconselhável.
Tenha certeza esteja autenticado interno e externo através dos logs.

Outra coisa que precisa observar é que as operadoras estão bloqueando a porta 25 externo (lógico).
Voce precisa habilitar a porta 587 por norma atual.
Justamente isso que lhe impede de enviar emails fora de sua rede.
ative a porta no postfix alterando o arquivo master.cf
descomente a seguinte linha:

submission inet n - n - - smtpd

faça um reload e configure a porta no seu outlook para 587 no smtp.


se houver regras de redirecionamento, acrescente nas regras a porta 587.

Poste o log para análise.

Att,

Ranzes Tamar

linuxware
(usa Ubuntu)

Enviado em 25/07/2013 - 13:33h

Buck,


Vou postar o meu Main.cf pra vcs darem uma olhada, e também meu script que está sendo usado no Gateway.

### MAIN .CF ###

# postfix config file

# uncomment for debugging if needed
soft_bounce=yes

# postfix main
mail_owner = postfix
setgid_group = postdrop
delay_warning_time = 4

# postfix paths
html_directory = no
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
queue_directory = /var/spool/postfix
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/postfix-2.2.2/samples
readme_directory = /usr/share/doc/postfix-2.2.2/README_FILES

# network settings
inet_interfaces = all
mydomain = servidorwebhosting.minidns.net
myhostname = servidorwebhosting.minidns.net
mynetworks = all
mydestination = $mydomain, localhost
relay_domains = proxy:mysql:/etc/zpanel/configs/postfix/mysql-relay_domains_maps.cf

# mail delivery
recipient_delimiter = +

# mappings
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
#transport_maps = hash:/etc/postfix/transport
#local_recipient_maps =

# virtual setup
virtual_alias_maps = proxy:mysql:/etc/zpanel/configs/postfix/mysql-virtual_alias_maps.cf,
regexp:/etc/zpanel/configs/postfix/virtual_regexp
virtual_mailbox_base = /var/zpanel/vmail
virtual_mailbox_domains = proxy:mysql:/etc/zpanel/configs/postfix/mysql-virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/zpanel/configs/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_limit_maps = proxy:mysql:/etc/zpanel/configs/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_minimum_uid = 150
virtual_uid_maps = static:150
virtual_gid_maps = static:8
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

# debugging
debug_peer_level = 2
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
xxgdb $daemon_directory/$process_name $process_id & sleep 5

# authentication
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# tls config
smtp_use_tls = no
smtpd_use_tls = no
#smtp_tls_note_starttls_offer = yes
#smtpd_tls_loglevel = 1
#smtpd_tls_received_header = yes
#smtpd_tls_session_cache_timeout = 3600s
#tls_random_source = dev:/dev/urandom
#smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
# Change mail.example.com.* to your host name
#smtpd_tls_key_file = /etc/pki/tls/private/mail.example.com.key
#smtpd_tls_cert_file = /etc/pki/tls/certs/mail.example.com.crt
# smtpd_tls_CAfile = /etc/pki/tls/root.crt

# rules restrictions
smtpd_client_restrictions =
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain
# uncomment for realtime black list checks
# ,reject_rbl_client zen.spamhaus.org
# ,reject_rbl_client bl.spamcop.net
# ,reject_rbl_client dnsbl.sorbs.net

smtpd_helo_required = yes
unknown_local_recipient_reject_code = 550
disable_vrfy_command = yes
smtpd_data_restrictions = reject_unauth_pipelining



###### gateway ##################


#!/bin/bash

iniciar(){
#Carrega o modulo
modprobe iptable_nat
#Ativa o compartilharmento da internet para o dhcp
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#libera as portas smtp
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port smtp -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port smtp -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port smtps -j ACCEPT

#libera http, https, pop3, pop3s
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port http -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port https -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port pop3 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port pop3s -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port poppassd -j ACCEPT

#libera imap
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port imap -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port imaps -j ACCEPT

#libera o ISP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 8080 -j ACCEPT

#libera SSH
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port ssh -j ACCEPT

#libera DNS
iptables -A INPUT -p udp -s 0/0 -d 0/0 --destination-port domain -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port domain -j ACCEPT

#libera FTP
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port ftp-data -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port ftp -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 32000:65534 -j ACCEPT
#libera mysql
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port mysql -j ACCEPT

#libera as portas do DVR
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 3500 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 0/0 --destination-port 3500 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 8200 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 8200 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 -d 0/0 --destination-port 3500 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 -d 0/0 --destination-port 8200 -j ACCEPT
iptables -A OUTPUT -p udp -s 0/0 -d 0/0 --destination-port 3500 -j ACCEPT
iptables -A OUTPUT -p udp -s 0/0 -d 0/0 --destination-port 8200 -j ACCEPT


#libera a porta 465 para acesso externo para uso do smtp do zpainel
iptables -A INPUT -p tcp -s 0/0 -d 0/0 --destination-port 587 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 -d 0/0 --destination-port 587 -j ACCEPT

iptables -A OUTPUT -p tcp -s 0/0 -d 0/0 --destination-port 587 -j ACCEPT
iptables -A OUTPUT -p udp -s 0/0 -d 0/0 --destination-port 587 -j ACCEPT

#bloquea facebook pc estoque
iptables -A FORWARD -i eth1 -s 192.168.0.107 -m string --algo bm --string "facebook.com" -j DROP
iptables -A FORWARD -i eth1 -s 192.168.0.107 -m string --algo bm --string "twitter.com" -j DROP

#bloqueia gamevicio, ou outros sites
iptables -A FORWARD -i eth1 -s 192.168.0.107 -m string --algo bm --string "gamevicio.com" -j DROP
iptables -A FORWARD -i eth1 -s 192.168.0.107 -m string --algo bm --string "youtube.com" -j DROP

#redireciona ip externo para ip do dvr
#iptables -t nat -A PREROUTING -p tcp --dport 3500 -j DNAT --to-destination 192.168.0.109:3500
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 3500 -j DNAT --to-destination 192.168.0.109:3500
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 8200 -j DNAT --to-destination 192.168.0.109:8200

iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.109 --dport 3500 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.109 --dport 8200 -j ACCEPT

#redireciona acesso eth0 para 192.168.0.111 ,portas 80,8080, 443, 110, 25, 587 e 53
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 80 -j DNAT --to-destination 192.168.0.111:80
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 8080 -j DNAT --to-destination 192.168.0.111:8080

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 443 -j DNAT --to-destination 192.168.0.111:443
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 110 -j DNAT --to-destination 192.168.0.111:110
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 25 -j DNAT --to-destination 192.168.0.111:25
iptables -t nat -A PREROUTING -p tcp -i eth0 -d 177.53.80.39 --dport 587 -j DNAT --to-destination 192.168.0.111:587


iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.111 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.111 --dport 8080 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.111 --dport 443 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.111 --dport 110 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.111 --dport 25 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -p tcp -d 192.168.0.111 --dport 587 -j ACCEPT

}


parar(){
iptables -F
iptables -F -t nat
}
case "$1" in
"start")iniciar;;
"stop")parar;;
"restart")parar; iniciar;;
*) echo "Escolha um parametro: Start, Stop ou Restart"
esac



Eu testei o outlook denovo, e ele retornava o mesmo erro " não foi possivel conectar ao servidor de saida..." quando eu usava a porta 587. Ele só logou aqui no local, quando usei a 25.


Outro fato é que, ele não acha as configurações automaticas, como acontece quando você coloca seu gmail lá no e-mail por exemplo.

Eu tenho que definir na mão.

linuxware
(usa Ubuntu)

Enviado em 25/07/2013 - 13:41h

Essa linha já está descomentada.

Será que se eu mudasse a infra, e botasse essse servidor web, vamos dizer assim, na linha de frente...Não resolveria?

Por exemplo:

cfg do gateway.

A minha placa eth0 corresponde ao ip = 177.53.80.39
a eth1 = 192.168.0.2

Se eu instalasse o zpainel nesse pc, ele passaria a responder direto no 177... e não precisaria do nat para direcionar.

O que acham ?

stefaniobrunhara
(usa CentOS)

Enviado em 25/07/2013 - 15:17h

Seria bom, você postar uma parte do log, na hora que a estação esta tentando enviar/receber email.

linuxware
(usa Ubuntu)

Enviado em 26/07/2013 - 11:03h

Bem, meu primeiro problema foi resolvido, instalando o servidor de e-mails e web direto no pc que fazia o gateway, assim não precisei regras de nat.

Também consigo logar externamente com o Outlook. Até aí beleza, mais agora temos um outro problema:

-> porta 25: É de conhecimento de todos que ela é bloqueada no brasil e tal...e então utilizamos a 587;

-> Porém, quando configuro o meu /etc/services , na linha smtp para 587/tcp mail, ele autentica no servidor, tudo ok, só que não recebe e muito menos envia mensagens de nenhum lugar, tanto externo quanto interno 0.0

-> Sim, eu liberei a porta smtp e a 587 ( redundantemente, pois já tinha configurado ela como padrão no Services)

E mesmo assim nada :(, mais quando eu troco pra 25 denovo consigo enviar e receber e-mails local,

Aqui é uma parte do Log, usando a porta 587:

Jul 26 10:03:15 servidorwebhosting postfix/smtpd[3984]: connect from unknown[192.168.0.135]
Jul 26 10:03:15 servidorwebhosting postfix/smtpd[3984]: 46DB6100D1F: client=unknown[192.168.0.135], sasl_method=LOGIN, sasl_username=atendimento@connectiondesigner.com
Jul 26 10:03:15 servidorwebhosting postfix/cleanup[3995]: 46DB6100D1F: message-id=<000501ce8a00$795c0570$6c141050$@com>
Jul 26 10:03:15 servidorwebhosting postfix/qmgr[3974]: 46DB6100D1F: from=<atendimento@connectiondesigner.com>, size=3898, nrcpt=1 (queue active)
Jul 26 10:03:17 servidorwebhosting postfix/smtp[3998]: connect to gmail-smtp-in.l.google.com[2607:f8b0:4002:c01::1b]:587: Network is unreachable
Jul 26 10:03:17 servidorwebhosting postfix/smtpd[3984]: disconnect from unknown[192.168.0.135]
Jul 26 10:03:47 servidorwebhosting postfix/smtp[3998]: connect to gmail-smtp-in.l.google.com[74.125.134.27]:587: Connection timed out
Jul 26 10:03:47 servidorwebhosting postfix/smtp[3998]: connect to alt1.gmail-smtp-in.l.google.com[2607:f8b0:400c:c01::1a]:587: Network is unreachable
Jul 26 10:04:17 servidorwebhosting postfix/smtp[3998]: connect to alt1.gmail-smtp-in.l.google.com[173.194.75.27]:587: Connection timed out
Jul 26 10:04:47 servidorwebhosting postfix/smtp[3998]: connect to alt2.gmail-smtp-in.l.google.com[173.194.67.26]:587: Connection timed out
Jul 26 10:04:47 servidorwebhosting postfix/smtp[3998]: 46DB6100D1F: to=<gabriel1nadai1@gmail.com>, relay=none, delay=92, delays=0.14/0.01/92/0, dsn=4.4.1, status=defer$
Jul 26 10:06:38 servidorwebhosting postfix/anvil[3986]: statistics: max connection rate 2/60s for (smtp:192.168.0.135) at Jul 26 10:03:15
Jul 26 10:06:38 servidorwebhosting postfix/anvil[3986]: statistics: max connection count 1 for (smtp:192.168.0.135) at Jul 26 10:02:35
Jul 26 10:06:38 servidorwebhosting postfix/anvil[3986]: statistics: max cache size 1 at Jul 26 10:02:35
Jul 26 10:08:07 servidorwebhosting postfix/master[3970]: terminating on signal 15


E aqui uma parte com a porta 25, via conexão local:

Jul 26 10:53:05 servidorwebhosting postfix/smtpd[1694]: connect from mail-oa0-f49.google.com[209.85.219.49]
Jul 26 10:53:05 servidorwebhosting postfix/smtpd[1694]: B05CB100D5A: client=mail-oa0-f49.google.com[209.85.219.49]
Jul 26 10:53:06 servidorwebhosting postfix/cleanup[1698]: B05CB100D5A: message-id=<CAG66Q_D+=QAG0TH3EsCMcVKyCXOD59Pck6phn9CqMifMt7c0Bw@mail.gmail.com>
Jul 26 10:53:06 servidorwebhosting postfix/qmgr[1214]: B05CB100D5A: from=<gabriel1nadai1@gmail.com>, size=1513, nrcpt=1 (queue active)
Jul 26 10:53:06 servidorwebhosting postfix/smtpd[1694]: disconnect from mail-oa0-f49.google.com[209.85.219.49]
Jul 26 10:53:06 servidorwebhosting postfix/pipe[1699]: B05CB100D5A: to=<atendimento@connectiondesigner.com>, relay=dovecot, delay=1, delays=0.7/0.01/0/0.32, dsn=2.0.0,$
Jul 26 10:53:06 servidorwebhosting postfix/qmgr[1214]: B05CB100D5A: removed
Jul 26 10:54:07 servidorwebhosting postfix/qmgr[1214]: 007D7100D52: from=<atendimento@connectiondesigner.com>, size=2727, nrcpt=1 (queue active)
Jul 26 10:54:13 servidorwebhosting postfix/smtp[1701]: connect to gmail-smtp-in.l.google.com[2607:f8b0:400c:c02::1b]:25: Network is unreachable
Jul 26 10:54:15 servidorwebhosting postfix/smtp[1701]: 007D7100D52: to=<gabriel1nadai1@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.137.27]:25, delay=2596, dela$
Jul 26 10:54:15 servidorwebhosting postfix/qmgr[1214]: 007D7100D52: removed
Jul 26 10:56:26 servidorwebhosting postfix/anvil[1469]: statistics: max connection rate 2/60s for (submission:192.168.0.135) at Jul 26 10:49:49
Jul 26 10:56:26 servidorwebhosting postfix/anvil[1469]: statistics: max connection count 1 for (submission:192.168.0.135) at Jul 26 10:49:18
Jul 26 10:56:26 servidorwebhosting postfix/anvil[1469]: statistics: max cache size 2 at Jul 26 10:50:12
Jul 26 10:59:07 servidorwebhosting postfix/qmgr[1214]: B0B62100D58: from=<atendimento@connectiondesigner.com>, size=2791, nrcpt=1 (queue active)
Jul 26 10:59:11 servidorwebhosting postfix/smtp[1730]: connect to gmail-smtp-in.l.google.com[2607:f8b0:4002:c01::1b]:25: Network is unreachable
Jul 26 10:59:13 servidorwebhosting postfix/smtp[1730]: B0B62100D58: to=<gabriel1nadai1@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.130.27]:25, delay=1425, dela$
Jul 26 10:59:13 servidorwebhosting postfix/qmgr[1214]: B0B62100D58: removed

stefaniobrunhara
(usa CentOS)

Enviado em 26/07/2013 - 11:20h

Você configurou a porta submission ?






vim /etc/postfix/máster.cf

submission inet n - n - - smtpd
-o smtpd_helo_restrictions=
-o smtpd_client_restrictions=
-o smtpd_sasl_auth_enable=yes
-o smtpd_sender_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_sasl_authenticated,reject
-o smtpd_helo_required=no
-o in_flow_delay=0

linuxware
(usa Ubuntu)

Enviado em 26/07/2013 - 11:57h

Então, no meu master.cf , já existia p smtp inet n - n - - smtpd, eu comentei ele e deixei apenas o submi...

E mesmo assim nada, só trocando pra maldita 25 que ele resolve funcionar ))):

linuxware
(usa Ubuntu)

Enviado em 26/07/2013 - 13:19h

Cara, obrigado!!

http://www.vivaolinux.com.br/topico/Postfix/Gerencia-da-Porta-25

Usei a solução que o mesmo encontrou.

-> No postfix habilito o serviço "submission" (porta 587);
-> Mantenho o serviço "smtp" (porta 25) para que possa receber e-mails de outros MTAs (com restrições);
-> A porta 25 deve ficar aberta apenas para entradas, a partir de outros domínios. Fechada para para rede interna.
-> A porta 587 deve ficar aberta apenas para entradas, de qualquer rede (já que há usuários que acessam e-mail em roaming, usando um cliente de e-mail).


=D