Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
tachtler:postfix_centos_7_-_migration_von_version_2.x_auf_3.x [2019/05/21 10:07] – [relay_domains] klaus | tachtler:postfix_centos_7_-_migration_von_version_2.x_auf_3.x [2019/05/21 11:04] – klaus |
---|
^ Parameter ^ Beschreibung ^ | ^ Parameter ^ Beschreibung ^ |
| **''relay_domains ''** | Standard: Postfix ≥ 3.0: **''leer''**, Postfix < 3.0: ''$mydestination'' \\ \\ Definiert an welche Zieldomänen (und Subdomänen davon) dieses System E-Mails weiterleiten soll. Einzelheiten zur Verwendung des Wertes ''relay_domains'' sind in der Beschreibung der SMTP-Empfängerbeschränkungen ''permit_auth_destination'' und ''reject_unauth_destination'' zu finden. \\ \\ Domänen, die mit ''$relay_domains'' übereinstimmen, werden mit dem ''$relay_transport'' Mail Delivery Transport ausgeliefert. Der SMTP-Server validiert Empfängeradressen mit ''$relay_recipient_maps'' und lehnt nicht vorhandene Empfänger ab. Siehe auch die Adressklasse der Relaiy-Domänen in [[http://www.postfix.org/ADDRESS_CLASS_README.html]]. \\ \\ **Hinweis** - [[http://www.postfix.org/|Postfix]] leitet E-Mails nicht automatisch an Domänen weiter, die dieses System als primären oder Backup-MX-Host angeben. Siehe auch ''permit_mx_backup'' Einschränkung in der ''postconf''-Manualseite - ''man postfconf''. \\ \\ Es können auch eine Liste von Host- oder Domänennamen, im ''/file/name''-Mustern oder ''type:table''-Suchtabellen, getrennt durch Kommas und/oder Leerzeichen angegeben werden. Lange Zeilen können fortgesetzt werden, indem die nächste Zeile mit Leerzeichen beginnen. Ein ''/file/name''-Muster wird durch seinen Inhalt ersetzt; eine ''type:table''-Suchtabelle wird verglichen, wenn eine (übergeordnete) Domäne als Nachschlagewerk erscheint. Es kann auch eine negation mit ''!pattern'' angegeben werden, um eine Domain aus der Liste auszuschließen. Das Definition ''!/file/name'' wird nur in [[http://www.postfix.org/|Postfix]] **ab Version 2.4** und höher unterstützt. \\ \\ Der Musterabgleich von Domänennamen wird durch das Vorhandensein oder Fehlen von ''relay_domains'' im Parameterwert ''parent_domain_matches_subdomains'' gesteuert. \\ \\ Siehe auch: http://www.postfix.org/postconf.5.html#relay_domains | | | **''relay_domains ''** | Standard: Postfix ≥ 3.0: **''leer''**, Postfix < 3.0: ''$mydestination'' \\ \\ Definiert an welche Zieldomänen (und Subdomänen davon) dieses System E-Mails weiterleiten soll. Einzelheiten zur Verwendung des Wertes ''relay_domains'' sind in der Beschreibung der SMTP-Empfängerbeschränkungen ''permit_auth_destination'' und ''reject_unauth_destination'' zu finden. \\ \\ Domänen, die mit ''$relay_domains'' übereinstimmen, werden mit dem ''$relay_transport'' Mail Delivery Transport ausgeliefert. Der SMTP-Server validiert Empfängeradressen mit ''$relay_recipient_maps'' und lehnt nicht vorhandene Empfänger ab. Siehe auch die Adressklasse der Relaiy-Domänen in [[http://www.postfix.org/ADDRESS_CLASS_README.html]]. \\ \\ **Hinweis** - [[http://www.postfix.org/|Postfix]] leitet E-Mails nicht automatisch an Domänen weiter, die dieses System als primären oder Backup-MX-Host angeben. Siehe auch ''permit_mx_backup'' Einschränkung in der ''postconf''-Manualseite - ''man postfconf''. \\ \\ Es können auch eine Liste von Host- oder Domänennamen, im ''/file/name''-Mustern oder ''type:table''-Suchtabellen, getrennt durch Kommas und/oder Leerzeichen angegeben werden. Lange Zeilen können fortgesetzt werden, indem die nächste Zeile mit Leerzeichen beginnen. Ein ''/file/name''-Muster wird durch seinen Inhalt ersetzt; eine ''type:table''-Suchtabelle wird verglichen, wenn eine (übergeordnete) Domäne als Nachschlagewerk erscheint. Es kann auch eine negation mit ''!pattern'' angegeben werden, um eine Domain aus der Liste auszuschließen. Das Definition ''!/file/name'' wird nur in [[http://www.postfix.org/|Postfix]] **ab Version 2.4** und höher unterstützt. \\ \\ Der Musterabgleich von Domänennamen wird durch das Vorhandensein oder Fehlen von ''relay_domains'' im Parameterwert ''parent_domain_matches_subdomains'' gesteuert. \\ \\ Siehe auch: http://www.postfix.org/postconf.5.html#relay_domains | |
| |
| Dies kann zu unerwarteten Fehlern **''Relay access denied''** oder **ETRN**-Fehlern führen, nachdem [[http://www.postfix.org/|Postfix]] von einer älteren Version aktualisiert wurde. Das abwärts "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" soll solche Überraschungen verhindern. |
| |
| Solange der Parameter ''relay_domains'' auf seinem impliziten Standardwert belassen wird und die Einstellung "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" **kleiner als 2** ist, kann [[http://www.postfix.org/|Postfix]] eine der folgenden Meldungen protokollieren. |
| |
| * **Meldungen über das Akzeptieren von E-Mails für eine entfernte Domäne:** |
| |
| <code> |
| postfix/smtpd[19052]: using backwards-compatible default setting |
| relay_domains=$mydestination to accept mail for domain |
| "foo.example.com" |
| |
| postfix/smtpd[19052]: using backwards-compatible default setting |
| relay_domains=$mydestination to accept mail for address |
| "user@foo.example.com" |
| </code> |
| |
| * **Meldungen über die Bereitstellung des ETRN-Dienstes für eine entfernte Domäne:** |
| |
| <code> |
| postfix/smtpd[19138]: using backwards-compatible default setting |
| relay_domains=$mydestination to flush mail for domain |
| "bar.example.com" |
| |
| postfix/smtp[13945]: using backwards-compatible default setting |
| relay_domains=$mydestination to update fast-flush logfile for |
| domain "bar.example.com" |
| </code> |
| |
| Wenn [[http://www.postfix.org/|Postfix]] weiterhin E-Mails für diese Domäne annehmen oder weiterhin ETRN-Dienst für diese Domäne bereitstellen soll, dann sollte die Abwärtskompatibilät in der Konfigurationsdatei |
| * ''/etc/postfic/main.cf'' |
| auf |
| * **''relay_domains = $mydestination''** |
| mit nachfolgendem Befehl, dauerhaft eingestellt werden. |
| <code> |
| # postconf 'relay_domains=$mydestination' |
| </code> |
| __oder__ |
| <code> |
| # The relay_domains parameter restricts what destinations this system will relay mail to. |
| relay_domains = $mydestination |
| </code> |
| |
| Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden: |
| <code> |
| # systemctl reload postfix.service |
| </code> |
| |
| :!: **HINWEIS** - **Hochkomma sind wie oben angegeben erforderlich!** |
| |
| === /etc/postfix/relay_domains === |
| |
| Anstelle von ''$mydestination'' ist es **__besser__**, eine explizite Liste von Domainnamen anzugeben, **__auch__ wenn diese __leer__ ist oder sein sollte**, wie nachfolgendes Beispiel zeigt: |
| <code bash> |
| # Tachtler |
| relay_domains = btree:/etc/postfix/relay_domains |
| </code> |
| |
| :!: **WICHTIG** - Zum Abschluss muss die **Konfigurationsdatei** in ein **Datenbank-Format**, z.B. das Format ''btree'' mithilfe des [[http://www.postfix.org|Postfix]] eigenen Befehls ''postmap'' umgewandelt werden, **__auch__ wenn diese __leer__ ist oder sein sollte**, wie nachfolgender Beispiel und Befehl zeigt: |
| <code> |
| # postmap btree:/etc/postfix/relay_domains |
| </code> |
| |
| Anschließend sollte eine neue Datei mit dem Namen ''/etc/postfix/relay_domains.db'' entstanden sein, was mit nachfolgendem Befehl überprüft werden: |
| <code> |
| # ls -l /etc/postfix/relay_domains* |
| -rw-r--r-- 1 root root 0 Sep 28 2015 /etc/postfix/relay_domains |
| -rw-r--r-- 1 root root 8192 Sep 28 2015 /etc/postfix/relay_domains.db |
| </code> |
| |
==== smtputf8_enable ==== | ==== smtputf8_enable ==== |
| |
| :!: **ACHTUNG** - Der Standardwert von **''smtputf8_enable''** wurde von ''no'' auf **''yes''** geändert! |
| |
| :!: **HINWEIS** - **Diese Funktion ist __erst__ ab [[http://www.postfix.org/|Postfix]] Version 3.0 verfügbar.** |
| |
| ^ Parameter ^ Beschreibung ^ |
| | **''smtputf8_enable''** | Standard: **''ja''** \\ \\ Aktivieren Sie die vorläufige SMTPUTF8-Unterstützung für die in RFC 6531...6533 beschriebenen Protokolle. Dies setzt voraus, dass [[http://www.postfix.org/|Postfix]] zur Unterstützung dieser Protokolle entwickelt wurde. \\ \\ Siehe auch: [[http://www.postfix.org/postconf.5.html#smtputf8_enable]] | |
| |
| Mit der neuen Einstellung ''yes'' lehnt der [[http://www.postfix.org/|Postfix]] SMTP-Server Nicht-ASCII-Adressen von Clients ab, die keine SMTPUTF8-Unterstützung anfordern, nachdem [[http://www.postfix.org/|Postfix]] von einer älteren Version aktualisiert wurde. Das abwärts "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" soll solche Überraschungen verhindern. |
| |
| Solange der Parameter ''smtputf8_enable'' auf seinem impliziten Standardwert belassen wird und die Einstellung "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" **kleiner als 1** ist, protokolliert [[http://www.postfix.org/|Postfix]] jedes Mal eine Warnung, wenn ein SMTP-Befehl einen lokalen Teil der Nicht-ASCII-Adresse verwendet, ohne die Unterstützung von SMTPUTF8 anzufordern: |
| |
| <code> |
| postfix/smtpd[27560]: using backwards-compatible default setting |
| smtputf8_enable=no to accept non-ASCII sender address |
| "??@example.org" from localhost[127.0.0.1] |
| |
| postfix/smtpd[27560]: using backwards-compatible default setting |
| smtputf8_enable=no to accept non-ASCII recipient address |
| "??@example.com" from localhost[127.0.0.1] |
| </code> |
| |
| Wenn die Adresse nicht abgelehnt werden soll und der Client nicht für die Verwendung von SMTPUTF8 aktualisiert werden kann, dann sollte die Abwärtskompatibilät in der Konfigurationsdatei |
| * ''/etc/postfic/main.cf'' |
| auf |
| * **''smtputf8_enable = no''** |
| mit nachfolgendem Befehl, dauerhaft eingestellt werden. |
| <code> |
| # postconf smtputf8_enable=no |
| </code> |
| __oder__ |
| <code> |
| # Do NOT reject non-ASCII addresses from clients that don't request SMTPUTF8 support. |
| smtputf8_enable = no |
| </code> |
| |
| Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden: |
| <code> |
| # systemctl reload postfix.service |
| </code> |
| |
==== chroot ==== | ==== chroot ==== |
| |
| :!: **ACHTUNG** - Der Standardwert in der **''master.cf''** - **Spalte: ''chroot''** wurde von ''y"'' (ja) auf **''n''** (nein) geändert! |
| |
| :!: **HINWEIS** - **Die Spalte: ''chroot'' war unter [[https://www.centos.org/|CentOS-7]] bereits __komplett__ auf **''n''** (nein) gesetzt!** |
| |
| Der neue Standard vermeidet das Kopieren von Systemdateien unter dem [[http://www.postfix.org/|Postfix]]-Warteschlangenverzeichnis. Server mit strengen Sicherheitsanforderungen können jedoch die Chroot-Funktion nach dem Update von [[http://www.postfix.org/|Postfix]] von einer älteren Version aktiviert lassen. Das abwärts "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" ist so konzipiert, dass gewählt werden kann, ob er das alte Verhalten beibehalten werden soll. |
| |
| Solange die **Spalte: ''chroot''** in der ''master.cf'' auf seinem impliziten Standardwert belassen wird und die Einstellung "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" **kleiner als 1** ist, kann [[http://www.postfix.org/|Postfix]] die folgende Meldung protokollieren, während dieser die Konfigurationsdatei ''master.cf'' einliest: |
| |
| <code> |
| postfix/master[27664]: /etc/postfix/master.cf: line 72: using |
| backwards-compatible default setting chroot=y |
| </code> |
| |
| Wenn der jeweilige Dienst ''chroot'' bleiben soll, dann sollte die abwärts kompatible Einstellung ''chroot = y'' in der Konfigurationsdatei ''master.cf'' dauerhaft gesetzte werden. Nachfolgendes Beispiel zeigt, wie die ''chroot''-Einstellung für den Dienst ''smtp inet'' zu aktivieren wären: |
| |
| Für die Konfigurationsdatei |
| * ''/etc/postfic/master.cf'' |
| kann mit nachfolgendem Befehl, dies dauerhaft eingestellt werden. |
| <code> |
| # postconf -F smtp/inet/chroot=y |
| </code> |
| __oder__ |
| <code bash> |
| smtp inet n - y - - smtpd |
| </code> |
| |
| Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden: |
| <code> |
| # systemctl reload postfix.service |
| </code> |
| |
==== backwards-compatibility safety net ==== | ==== backwards-compatibility safety net ==== |
| |
| :!: **HINWEIS** - **Diese Funktion ist __erst__ ab [[http://www.postfix.org/|Postfix]] Version 3.0 verfügbar.** |
| |
| ^ Parameter ^ Beschreibung ^ |
| | **''compatibility_level''** | Standard: **''0''** \\ \\ Ein Sicherheitsnetz, das [[http://www.postfix.org/|Postfix]] nach einem Upgrade auf eine neuere [[http://www.postfix.org/|Postfix]]-Version mit abwärts kompatiblen Standardeinstellungen laufen lässt. \\ \\ Siehe auch: [[http://www.postfix.org/postconf.5.html#compatibility_level]]| |
| |
| Die Abwärtskompatibilität wird durch Aktualisieren der Einstellung **''compatibility_level''** in der Konfigurationsdatei |
| * ''/etc/postfic/main.cf'' |
| auf |
| * **''compatibility_level=N''** |
| mit nachfolgendem Befehl, dauerhaft eingestellt. |
| <code> |
| # postconf compatibility_level=N |
| </code> |
| __oder__ |
| <code> |
| # The level below is what should be used with new (not upgrade) installs. |
| compatibility_level = N |
| </code> |
| |
| Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden: |
| <code> |
| # systemctl reload postfix.service |
| </code> |
| |
| Für **N** wird die Nummer angegeben, die in der ''postfix''-**Warnmeldung** ausgegeben wurde: |
| |
FIXME | <code> |
| warning: To disable backwards compatibility use "postconf compatibility_level=N" and "postfix reload" |
| </code> |
| |
:!: **Hier geht es weiter... / TO be continued...** | :!: **HINWEIS** - Server, die sich nicht um Abwärtskompatibilität kümmern (wollen), können mit''compatibility_level = 9999'' - \\ **auf eigenes Risiko** - konfiguriert werden!. |
| |