Benutzer-Werkzeuge

Webseiten-Werkzeuge


tachtler:postfix_centos_7_-_migration_von_version_2.x_auf_3.x

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
tachtler:postfix_centos_7_-_migration_von_version_2.x_auf_3.x [2019/05/21 10:07] – [relay_domains] klaustachtler:postfix_centos_7_-_migration_von_version_2.x_auf_3.x [2019/05/21 14:09] (aktuell) – [/etc/yum.repos.d/mailserver.guru.repo] klaus
Zeile 130: Zeile 130:
 baseurl=http://repo.mailserver.guru/7/testing/$basearch/ baseurl=http://repo.mailserver.guru/7/testing/$basearch/
 priority=50 priority=50
-enabled=0+enabled=1
 gpgcheck=1 gpgcheck=1
 gpgkey=file:///etc/pki/rpm-gpg/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7 gpgkey=file:///etc/pki/rpm-gpg/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
Zeile 758: Zeile 758:
 ==== relay_domains ==== ==== relay_domains ====
  
-:!: **ACHTUNG** - Der Standardwert von **''relay_domains''** wurde von ''$mydestination'' auf einen **leeren Wert'' geändert"+:!: **ACHTUNG** - Der Standardwert von **''relay_domains''** wurde von ''$mydestination'' auf einen **leeren Wert** geändert!
  
 ^ Parameter              ^ Beschreibung ^ ^ Parameter              ^ Beschreibung ^
 | **''relay_domains ''** | Standard: Postfix ≥ 3.0: **''leer''**, Postfix < 3.0: ''$mydestination'' \\ \\ Definiert an welche Zieldomänen (und Subdomänen davon) dieses System E-Mails weiterleiten soll. Einzelheiten zur Verwendung des Wertes ''relay_domains'' sind in der Beschreibung der SMTP-Empfängerbeschränkungen ''permit_auth_destination'' und ''reject_unauth_destination'' zu finden. \\ \\ Domänen, die mit ''$relay_domains'' übereinstimmen, werden mit dem ''$relay_transport'' Mail Delivery Transport ausgeliefert. Der SMTP-Server validiert Empfängeradressen mit ''$relay_recipient_maps'' und lehnt nicht vorhandene Empfänger ab. Siehe auch die Adressklasse der Relaiy-Domänen in [[http://www.postfix.org/ADDRESS_CLASS_README.html]]. \\ \\ **Hinweis** - [[http://www.postfix.org/|Postfix]] leitet E-Mails nicht automatisch an Domänen weiter, die dieses System als primären oder Backup-MX-Host angeben. Siehe auch ''permit_mx_backup'' Einschränkung in der ''postconf''-Manualseite - ''man postfconf''. \\ \\ Es können auch eine Liste von Host- oder Domänennamen, im ''/file/name''-Mustern oder ''type:table''-Suchtabellen, getrennt durch Kommas und/oder Leerzeichen angegeben werden. Lange Zeilen können fortgesetzt werden, indem die nächste Zeile mit Leerzeichen beginnen. Ein ''/file/name''-Muster wird durch seinen Inhalt ersetzt; eine ''type:table''-Suchtabelle wird verglichen, wenn eine (übergeordnete) Domäne als Nachschlagewerk erscheint. Es kann auch eine negation mit ''!pattern'' angegeben werden, um eine Domain aus der Liste auszuschließen. Das Definition ''!/file/name'' wird nur in [[http://www.postfix.org/|Postfix]] **ab Version 2.4** und höher unterstützt. \\ \\ Der Musterabgleich von Domänennamen wird durch das Vorhandensein oder Fehlen von ''relay_domains'' im Parameterwert ''parent_domain_matches_subdomains'' gesteuert. \\ \\ Siehe auch: http://www.postfix.org/postconf.5.html#relay_domains | | **''relay_domains ''** | Standard: Postfix ≥ 3.0: **''leer''**, Postfix < 3.0: ''$mydestination'' \\ \\ Definiert an welche Zieldomänen (und Subdomänen davon) dieses System E-Mails weiterleiten soll. Einzelheiten zur Verwendung des Wertes ''relay_domains'' sind in der Beschreibung der SMTP-Empfängerbeschränkungen ''permit_auth_destination'' und ''reject_unauth_destination'' zu finden. \\ \\ Domänen, die mit ''$relay_domains'' übereinstimmen, werden mit dem ''$relay_transport'' Mail Delivery Transport ausgeliefert. Der SMTP-Server validiert Empfängeradressen mit ''$relay_recipient_maps'' und lehnt nicht vorhandene Empfänger ab. Siehe auch die Adressklasse der Relaiy-Domänen in [[http://www.postfix.org/ADDRESS_CLASS_README.html]]. \\ \\ **Hinweis** - [[http://www.postfix.org/|Postfix]] leitet E-Mails nicht automatisch an Domänen weiter, die dieses System als primären oder Backup-MX-Host angeben. Siehe auch ''permit_mx_backup'' Einschränkung in der ''postconf''-Manualseite - ''man postfconf''. \\ \\ Es können auch eine Liste von Host- oder Domänennamen, im ''/file/name''-Mustern oder ''type:table''-Suchtabellen, getrennt durch Kommas und/oder Leerzeichen angegeben werden. Lange Zeilen können fortgesetzt werden, indem die nächste Zeile mit Leerzeichen beginnen. Ein ''/file/name''-Muster wird durch seinen Inhalt ersetzt; eine ''type:table''-Suchtabelle wird verglichen, wenn eine (übergeordnete) Domäne als Nachschlagewerk erscheint. Es kann auch eine negation mit ''!pattern'' angegeben werden, um eine Domain aus der Liste auszuschließen. Das Definition ''!/file/name'' wird nur in [[http://www.postfix.org/|Postfix]] **ab Version 2.4** und höher unterstützt. \\ \\ Der Musterabgleich von Domänennamen wird durch das Vorhandensein oder Fehlen von ''relay_domains'' im Parameterwert ''parent_domain_matches_subdomains'' gesteuert. \\ \\ Siehe auch: http://www.postfix.org/postconf.5.html#relay_domains |
 +
 +Dies kann zu unerwarteten Fehlern **''Relay access denied''** oder **ETRN**-Fehlern führen, nachdem [[http://www.postfix.org/|Postfix]] von einer älteren Version aktualisiert wurde. Das abwärts "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" soll solche Überraschungen verhindern.
 +
 +Solange der Parameter ''relay_domains'' auf seinem impliziten Standardwert belassen wird und die Einstellung "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" **kleiner als 2** ist, kann [[http://www.postfix.org/|Postfix]] eine der folgenden Meldungen protokollieren.
 +
 +  * **Meldungen über das Akzeptieren von E-Mails für eine entfernte Domäne:**
 +
 +<code>
 +    postfix/smtpd[19052]: using backwards-compatible default setting
 +        relay_domains=$mydestination to accept mail for domain
 +        "foo.example.com"
 +
 +    postfix/smtpd[19052]: using backwards-compatible default setting
 +        relay_domains=$mydestination to accept mail for address
 +        "user@foo.example.com"
 +</code>
 +
 +  * **Meldungen über die Bereitstellung des ETRN-Dienstes für eine entfernte Domäne:**
 +
 +<code>
 +    postfix/smtpd[19138]: using backwards-compatible default setting
 +        relay_domains=$mydestination to flush mail for domain
 +        "bar.example.com"
 +
 +    postfix/smtp[13945]: using backwards-compatible default setting
 +        relay_domains=$mydestination to update fast-flush logfile for
 +        domain "bar.example.com"
 +</code>
 +    
 +Wenn [[http://www.postfix.org/|Postfix]] weiterhin E-Mails für diese Domäne annehmen oder weiterhin ETRN-Dienst für diese Domäne bereitstellen soll, dann sollte die Abwärtskompatibilät in der Konfigurationsdatei 
 +  * ''/etc/postfic/main.cf''
 +auf
 +  * **''relay_domains = $mydestination''**
 +mit nachfolgendem Befehl, dauerhaft eingestellt werden.
 +<code>
 +# postconf 'relay_domains=$mydestination'
 +</code>
 +__oder__
 +<code>
 +# The relay_domains parameter restricts what destinations this system will relay mail to.
 +relay_domains = $mydestination
 +</code>
 +
 +Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden:
 +<code>
 +# systemctl reload postfix.service
 +</code>
 +
 +:!: **HINWEIS** - **Hochkomma sind wie oben angegeben erforderlich!**
 +
 +=== /etc/postfix/relay_domains ===
 +
 +Anstelle von ''$mydestination'' ist es **__besser__**, eine explizite Liste von Domainnamen anzugeben, **__auch__ wenn diese __leer__ ist oder sein sollte**, wie nachfolgendes Beispiel zeigt:
 +<code bash>
 +# Tachtler
 +relay_domains = btree:/etc/postfix/relay_domains
 +</code>
 +
 +:!: **WICHTIG** - Zum Abschluss muss die **Konfigurationsdatei** in ein **Datenbank-Format**, z.B. das Format ''btree'' mithilfe des [[http://www.postfix.org|Postfix]] eigenen Befehls ''postmap'' umgewandelt werden, **__auch__ wenn diese __leer__ ist oder sein sollte**, wie nachfolgender Beispiel und Befehl zeigt:
 +<code>
 +# postmap btree:/etc/postfix/relay_domains
 +</code>
 +
 +Anschließend sollte eine neue Datei mit dem Namen ''/etc/postfix/relay_domains.db'' entstanden sein, was mit nachfolgendem Befehl überprüft werden:
 +<code>
 +# ls -l /etc/postfix/relay_domains*
 +-rw-r--r-- 1 root root    0 Sep 28  2015 /etc/postfix/relay_domains
 +-rw-r--r-- 1 root root 8192 Sep 28  2015 /etc/postfix/relay_domains.db
 +</code>
  
 ==== smtputf8_enable ==== ==== smtputf8_enable ====
 +
 +:!: **ACHTUNG** - Der Standardwert von **''smtputf8_enable''** wurde von ''no'' auf **''yes''** geändert!
 +
 +:!: **HINWEIS** - **Diese Funktion ist __erst__ ab [[http://www.postfix.org/|Postfix]] Version 3.0 verfügbar.**
 +
 +^ Parameter               ^ Beschreibung ^
 +| **''smtputf8_enable''** | Standard: **''ja''** \\ \\ Aktivieren Sie die vorläufige SMTPUTF8-Unterstützung für die in RFC 6531...6533 beschriebenen Protokolle. Dies setzt voraus, dass [[http://www.postfix.org/|Postfix]] zur Unterstützung dieser Protokolle entwickelt wurde. \\ \\ Siehe auch: [[http://www.postfix.org/postconf.5.html#smtputf8_enable]] |
 +
 +Mit der neuen Einstellung ''yes'' lehnt der [[http://www.postfix.org/|Postfix]] SMTP-Server Nicht-ASCII-Adressen von Clients ab, die keine SMTPUTF8-Unterstützung anfordern, nachdem [[http://www.postfix.org/|Postfix]] von einer älteren Version aktualisiert wurde. Das abwärts "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" soll solche Überraschungen verhindern.
 +
 +Solange der Parameter ''smtputf8_enable'' auf seinem impliziten Standardwert belassen wird und die Einstellung "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" **kleiner als 1** ist, protokolliert [[http://www.postfix.org/|Postfix]] jedes Mal eine Warnung, wenn ein SMTP-Befehl einen lokalen Teil der Nicht-ASCII-Adresse verwendet, ohne die Unterstützung von SMTPUTF8 anzufordern:
 +
 +<code>
 +    postfix/smtpd[27560]: using backwards-compatible default setting
 +        smtputf8_enable=no to accept non-ASCII sender address
 +        "??@example.org" from localhost[127.0.0.1]
 +
 +    postfix/smtpd[27560]: using backwards-compatible default setting
 +        smtputf8_enable=no to accept non-ASCII recipient address
 +        "??@example.com" from localhost[127.0.0.1]
 +</code>
 +
 +Wenn die Adresse nicht abgelehnt werden soll und der Client nicht für die Verwendung von SMTPUTF8 aktualisiert werden kann, dann sollte die Abwärtskompatibilät in der Konfigurationsdatei 
 +  * ''/etc/postfic/main.cf''
 +auf
 +  * **''smtputf8_enable = no''**
 +mit nachfolgendem Befehl, dauerhaft eingestellt werden.
 +<code>
 +# postconf smtputf8_enable=no
 +</code>
 +__oder__
 +<code>
 +# Do NOT reject non-ASCII addresses from clients that don't request SMTPUTF8 support.
 +smtputf8_enable = no
 +</code>
 +
 +Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden:
 +<code>
 +# systemctl reload postfix.service
 +</code>
  
 ==== chroot ==== ==== chroot ====
 +
 +:!: **ACHTUNG** - Der Standardwert in der  **''master.cf''** - **Spalte: ''chroot''** wurde von ''y"'' (ja) auf **''n''** (nein) geändert!
 +
 +:!: **HINWEIS** - **Die Spalte: ''chroot'' war unter [[https://www.centos.org/|CentOS-7]] bereits __komplett__ auf **''n''** (nein) gesetzt!**
 +
 +Der neue Standard vermeidet das Kopieren von Systemdateien unter dem [[http://www.postfix.org/|Postfix]]-Warteschlangenverzeichnis. Server mit strengen Sicherheitsanforderungen können jedoch die Chroot-Funktion nach dem Update von [[http://www.postfix.org/|Postfix]] von einer älteren Version aktiviert lassen. Das abwärts "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" ist so konzipiert, dass gewählt werden kann, ob er das alte Verhalten beibehalten werden soll.
 +
 +Solange die **Spalte: ''chroot''** in der ''master.cf'' auf seinem impliziten Standardwert belassen wird und die Einstellung "[[http://www.postfix.org/postconf.5.html#compatibility_level|compatibility_level]]" **kleiner als 1** ist, kann [[http://www.postfix.org/|Postfix]] die folgende Meldung protokollieren, während dieser die Konfigurationsdatei ''master.cf'' einliest:
 +
 +<code>
 +    postfix/master[27664]: /etc/postfix/master.cf: line 72: using
 +        backwards-compatible default setting chroot=y
 +</code>
 +
 +Wenn der jeweilige Dienst ''chroot'' bleiben soll, dann sollte  die abwärts kompatible Einstellung ''chroot = y'' in der Konfigurationsdatei ''master.cf'' dauerhaft gesetzte werden. Nachfolgendes Beispiel zeigt, wie die ''chroot''-Einstellung für den Dienst ''smtp inet'' zu aktivieren wären:
 +
 +Für die Konfigurationsdatei 
 +  * ''/etc/postfic/master.cf''
 +kann mit nachfolgendem Befehl, dies dauerhaft eingestellt werden.
 +<code>
 +# postconf -F smtp/inet/chroot=y
 +</code>
 +__oder__
 +<code bash>
 +smtp      inet  n                               smtpd
 +</code>
 +
 +Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden:
 +<code>
 +# systemctl reload postfix.service
 +</code>
  
 ==== backwards-compatibility safety net ==== ==== backwards-compatibility safety net ====
  
 +:!: **HINWEIS** - **Diese Funktion ist __erst__ ab [[http://www.postfix.org/|Postfix]] Version 3.0 verfügbar.**
  
 +^ Parameter                   ^ Beschreibung ^
 +| **''compatibility_level''** | Standard: **''0''** \\ \\ Ein Sicherheitsnetz, das [[http://www.postfix.org/|Postfix]] nach einem Upgrade auf eine neuere [[http://www.postfix.org/|Postfix]]-Version mit abwärts kompatiblen Standardeinstellungen laufen lässt. \\ \\ Siehe auch: [[http://www.postfix.org/postconf.5.html#compatibility_level]]| 
  
-FIXME+Die Abwärtskompatibilität wird durch Aktualisieren der Einstellung **''compatibility_level''** in der Konfigurationsdatei 
 +  * ''/etc/postfic/main.cf'' 
 +auf 
 +  * **''compatibility_level=N''** 
 +mit nachfolgendem Befehl, dauerhaft eingestellt. 
 +<code> 
 +# postconf compatibility_level=N 
 +</code> 
 +__oder__ 
 +<code> 
 +# The level below is what should be used with new (not upgrade) installs. 
 +compatibility_level = N 
 +</code> 
 + 
 +Anschließend muss die geänderte Konfiguration mit nachfolgendem Befehl neu eingelesen werden: 
 +<code> 
 +# systemctl reload postfix.service 
 +</code> 
 + 
 +Für **N** wird die Nummer angegeben, die in der ''postfix''-**Warnmeldung** ausgegeben wurde: 
 + 
 +<code> 
 +    warning: To disable backwards compatibility use "postconf compatibility_level=N" and "postfix reload" 
 +</code>
  
-:!: **Hier geht es weiter... / TO be continued...**+:!: **HINWEIS** - Server, die sich nicht um Abwärtskompatibilität kümmern (wollen), können mit''compatibility_level = 9999'' - \\ **auf eigenes Risiko** - konfiguriert werden!. 
  
tachtler/postfix_centos_7_-_migration_von_version_2.x_auf_3.x.1558426065.txt.gz · Zuletzt geändert: 2019/05/21 10:07 von klaus