Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS Resolver не пускает почту из частной сети

    Scheduled Pinned Locked Moved Russian
    12 Posts 3 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • viktor_gV
      viktor_g Netgate @arifideon
      last edited by

      @arifideon DNS Resolver по-умолчанию блочит такую переадресацию (DNS Rebinding Protections), поэтому нужно добавить

      server:
      private-domain: "mail.ru"
      

      в Custom Options

      см. https://docs.netgate.com/pfsense/en/latest/services/dns/rebinding.html#dns-resolver-unbound

      A 1 Reply Last reply Reply Quote 2
      • A
        arifideon @viktor_g
        last edited by

        @viktor_g Вот СПАСИБИЩЕ!!! Упустил это из виду... Жму руку!

        A 1 Reply Last reply Reply Quote 0
        • A
          arifideon @arifideon
          last edited by

          @viktor_g Что-то у меня не то...
          В Custom options:

          server:include: /var/unbound/pfb_dnsbl.*conf
          private-domain: "domain1.ru"
          private-domain: "domain2.ru"
          

          А в Host Overrides алиасы на локальный веб-сервер domain1.ru, domain2.ru. Но почту этих доменов обрабатывает mail.ru.

          Как только из DNS Resolver убираю алиасы на 2 домена - почта начинает проходить.
          Что-то не так настраиваю?

          werterW 2 Replies Last reply Reply Quote 0
          • werterW
            werter @arifideon
            last edited by

            @arifideon
            DNS Rebinding Protection откл прямо в вебке пф. Попробуйте.

            1 Reply Last reply Reply Quote 0
            • werterW
              werter @arifideon
              last edited by werter

              @arifideon

              Письмо отправленное из частной сети с домена который располагается также на локальном вебсервере упирается в DNS resolver и соответственно попадает на локальный вебсервер. После чего естественно отбивается и все.

              На postfix-е transport_maps сумеет 'объяснить', что при отправке письма НА СВОЙ домен следует доставить его локально (у меня через dovecot). На др. домены уйдет через smtp\relay.

              cat /etc/postfix/main.cf
              ...
              transport_maps = pcre:/etc/postfix/transport,
              ...

              cat /etc/postfix/transport
              ...
              /^.+@(.+.)?doma.in$/ lmtp:unix:private/dovecot-lmtp
              # /.+/ relay:[x.x.x.x]:port
              /.+/ smtp:[x.x.x.x]:port

              postfix reload

              Если я правильно понял, конечно. И у вас связка postfix+dovecot.

              Теперь имеем почтовый сервер с доменом, который располагается на локальном вебсервере. А на самом деле он на mail.ru.

              Немного не так.
              Почтовый сервер у вас локально, но в кач-ве MX указаны серверы маил.ру, т.е. почту вашего домена обслуживает маил.ру

              Зы. Можно же все почту хостить у себя, если есть постоянный IP и PTR-запись.
              А в кач-ве антиспама пользовать Proxmox Mail Gateway. Собственно, почти год у нас так и работает связка postfix + dovecot + Sogo и PMG в кач-ве шлюза. Все это дело привязано к АД.

              1 Reply Last reply Reply Quote 0
              • A
                arifideon
                last edited by

                @werter DNS Rebind Check чекбокс ставил/снимал - результата не дало.

                Postfix + Dovecot верно. Попробовал изменить конфиг postfix, но результата не дал. Посмотрел логи. Вижу, что почта упирается в свой вебсервер и refused connection. Мне кажется надо проксирование делать с nginx на почтовик?

                Собственно все так и сделано как вы пишете, работает уже пару лет. Cтатичные IP есть и PTR, SOGo, CalDAV все работает идеально. Спам не беспокоит, на pfSense установил pfBlockerBG. Пока с задачей хорошо справляется.
                Дело в том, что осталось несколько заскорузлых проектов, которые не сторонники переноса. ИМХО перенесем их, будет проще. И надежнее :)

                werterW 1 Reply Last reply Reply Quote 0
                • werterW
                  werter @arifideon
                  last edited by

                  @arifideon said in DNS Resolver не пускает почту из частной сети:

                  Посмотрел логи. Вижу, что почта упирается в свой вебсервер и refused connection

                  Покажите этот кусок логов.

                  A 1 Reply Last reply Reply Quote 0
                  • A
                    arifideon @werter
                    last edited by arifideon

                    @werter Сорри за такой делай с ответом )

                    Feb 11 08:43:24 mail postfix/smtp[42041]: 4Dblsm4Fpwz10QRy: to=<test@домен.ru>, relay=none, delay=0.01, delays=0/0.01/0/0, dsn=4.4.1, status=deferred (connect to домен.ru[10.77.50.11]:25: Connection refused)
                    

                    10.77.50.11 - это web-сервер в сети на котором сайт домен.ru, а почты на нем нет.

                    werterW 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @arifideon
                      last edited by werter

                      @arifideon

                      Почты нет (находится в др месте) или почта есть, но не работает?

                      Если первое, то настройках постфикса в транспортной карте надо жестко нарисовать, что почта для домена должна уходить через сервер с таким-то именем\ip (пример давал выше )
                      После заставить постфикс перечитать конфиги (potsfix reload) и проверять.

                      A 1 Reply Last reply Reply Quote 0
                      • A
                        arifideon @werter
                        last edited by

                        @werter
                        Почта не приходит на mail.ru для домена, который mail.ru обслуживает.
                        А на вебсервере в логе видно, что Connection refused.

                        Не совсем понял с transport_maps, сейчас настроено на mysql и блок выглядит так:

                        transport_maps =
                            proxy:mysql:/etc/postfix/mysql/transport_maps_user.cf
                            proxy:mysql:/etc/postfix/mysql/transport_maps_maillist.cf
                            proxy:mysql:/etc/postfix/mysql/transport_maps_domain.cf
                        

                        но как указать регулярное выражение?

                        pcre:/etc/postfix/transport
                        

                        строкой ниже:

                        transport_maps =
                            proxy:mysql:/etc/postfix/mysql/transport_maps_user.cf
                            proxy:mysql:/etc/postfix/mysql/transport_maps_maillist.cf
                            proxy:mysql:/etc/postfix/mysql/transport_maps_domain.cf
                            pcre:/etc/postfix/transport
                        

                        ?

                        werterW 1 Reply Last reply Reply Quote 0
                        • werterW
                          werter @arifideon
                          last edited by werter

                          @arifideon

                          Да, строкой ниже. И строку эту ВЫШЕ всех в transport_maps =
                          После ОБЯЗАТЕЛЬНО postfix reload сделать.

                          В гугле transport maps + postfix.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.