DNS Resolver не пускает почту из частной сети

arifideon

Всем привет!
Частная сеть, в ней веб-сервер и postfix.
DNS resolver включен, в нем же переопределены Host Overrides домены которые располагаются на вебсервере в этой же частной сети. Чтобы юзверь мог вводить привычные домены, а не локальные.
Теперь имеем почтовый сервер с доменом, который располагается на локальном вебсервере. А на самом деле он на mail.ru.
Письмо отправленное из частной сети с домена который располагается также на локальном вебсервере упирается в DNS resolver и соответственно попадает на локальный вебсервер. После чего естественно отбивается и все.
MX записи есть и все точно работает, как только убираю переопределение домена.
Надеюсь понятно объяснил :-) Чтобы сделать, чтобы почта проходила?

viktor_g

@arifideon DNS Resolver по-умолчанию блочит такую переадресацию (DNS Rebinding Protections), поэтому нужно добавить

server:
private-domain: "mail.ru"

в Custom Options

см. https://docs.netgate.com/pfsense/en/latest/services/dns/rebinding.html#dns-resolver-unbound

arifideon

@viktor_g Вот СПАСИБИЩЕ!!! Упустил это из виду... Жму руку!

arifideon

@viktor_g Что-то у меня не то...
В Custom options:

server:include: /var/unbound/pfb_dnsbl.*conf
private-domain: "domain1.ru"
private-domain: "domain2.ru"

А в Host Overrides алиасы на локальный веб-сервер domain1.ru, domain2.ru. Но почту этих доменов обрабатывает mail.ru.

Как только из DNS Resolver убираю алиасы на 2 домена - почта начинает проходить.
Что-то не так настраиваю?

werter

@arifideon
DNS Rebinding Protection откл прямо в вебке пф. Попробуйте.

werter

@arifideon

Письмо отправленное из частной сети с домена который располагается также на локальном вебсервере упирается в DNS resolver и соответственно попадает на локальный вебсервер. После чего естественно отбивается и все.

На postfix-е transport_maps сумеет 'объяснить', что при отправке письма НА СВОЙ домен следует доставить его локально (у меня через dovecot). На др. домены уйдет через smtp\relay.

cat /etc/postfix/main.cf
...
transport_maps = pcre:/etc/postfix/transport,
...

cat /etc/postfix/transport
...
/^.+@(.+.)?doma.in$/ lmtp:unix:private/dovecot-lmtp
# /.+/ relay:[x.x.x.x]:port
/.+/ smtp:[x.x.x.x]:port

postfix reload

Если я правильно понял, конечно. И у вас связка postfix+dovecot.

Теперь имеем почтовый сервер с доменом, который располагается на локальном вебсервере. А на самом деле он на mail.ru.

Немного не так.
Почтовый сервер у вас локально, но в кач-ве MX указаны серверы маил.ру, т.е. почту вашего домена обслуживает маил.ру

Зы. Можно же все почту хостить у себя, если есть постоянный IP и PTR-запись.
А в кач-ве антиспама пользовать Proxmox Mail Gateway. Собственно, почти год у нас так и работает связка postfix + dovecot + Sogo и PMG в кач-ве шлюза. Все это дело привязано к АД.

arifideon

@werter DNS Rebind Check чекбокс ставил/снимал - результата не дало.

Postfix + Dovecot верно. Попробовал изменить конфиг postfix, но результата не дал. Посмотрел логи. Вижу, что почта упирается в свой вебсервер и refused connection. Мне кажется надо проксирование делать с nginx на почтовик?

Собственно все так и сделано как вы пишете, работает уже пару лет. Cтатичные IP есть и PTR, SOGo, CalDAV все работает идеально. Спам не беспокоит, на pfSense установил pfBlockerBG. Пока с задачей хорошо справляется.
Дело в том, что осталось несколько заскорузлых проектов, которые не сторонники переноса. ИМХО перенесем их, будет проще. И надежнее :)

werter

@arifideon said in DNS Resolver не пускает почту из частной сети:

Посмотрел логи. Вижу, что почта упирается в свой вебсервер и refused connection

Покажите этот кусок логов.

arifideon

@werter Сорри за такой делай с ответом )

Feb 11 08:43:24 mail postfix/smtp[42041]: 4Dblsm4Fpwz10QRy: to=<test@домен.ru>, relay=none, delay=0.01, delays=0/0.01/0/0, dsn=4.4.1, status=deferred (connect to домен.ru[10.77.50.11]:25: Connection refused)

10.77.50.11 - это web-сервер в сети на котором сайт домен.ru, а почты на нем нет.

werter

@arifideon

Почты нет (находится в др месте) или почта есть, но не работает?

Если первое, то настройках постфикса в транспортной карте надо жестко нарисовать, что почта для домена должна уходить через сервер с таким-то именем\ip (пример давал выше )
После заставить постфикс перечитать конфиги (potsfix reload) и проверять.

arifideon

@werter
Почта не приходит на mail.ru для домена, который mail.ru обслуживает.
А на вебсервере в логе видно, что Connection refused.

Не совсем понял с transport_maps, сейчас настроено на mysql и блок выглядит так:

transport_maps =
    proxy:mysql:/etc/postfix/mysql/transport_maps_user.cf
    proxy:mysql:/etc/postfix/mysql/transport_maps_maillist.cf
    proxy:mysql:/etc/postfix/mysql/transport_maps_domain.cf

но как указать регулярное выражение?

pcre:/etc/postfix/transport

строкой ниже:

transport_maps =
    proxy:mysql:/etc/postfix/mysql/transport_maps_user.cf
    proxy:mysql:/etc/postfix/mysql/transport_maps_maillist.cf
    proxy:mysql:/etc/postfix/mysql/transport_maps_domain.cf
    pcre:/etc/postfix/transport

?

werter

@arifideon

Да, строкой ниже. И строку эту ВЫШЕ всех в transport_maps =
После ОБЯЗАТЕЛЬНО postfix reload сделать.

В гугле transport maps + postfix.