Como corrigir o 'Acesso de retransmissão negado' do Postfix?

Esta manhã, para corrigir um problema com uma incompatibilidade de nome no certificado de segurança, segui as etapas recomendadas em Como corrigir o SSL do servidor de email? , mas agora, ao tentar enviar um email de um cliente (nesse caso, o cliente é o Windows Mail), recebo o seguinte erro.

O endereço de email rejeitado era 'email@gmail.com'. Assunto 'Este é um teste. ', Conta:' mail.domínio.com ', Servidor:' mail.domínio.com ', Protocolo: SMTP, Resposta do servidor:' 554 5.7.1: Acesso de retransmissão negado ', Porta: 25, Seguro (SSL): Não , Erro no servidor: 554, Número do erro: 0x800CCC79

Editar : ainda posso recuperar e-mails desta conta e enviar e-mails para outras contas no mesmo domínio. Não consigo enviar e-mails para destinatários fora do nosso domínio.

Tentei desabilitar o TLS completamente, mas sem dados, ainda recebo o mesmo erro.

Quando verifico o arquivo mail.log, vejo o seguinte.

Jul 18 08:24:41 company imapd: LOGIN, user=user_name@domain.com, ip=[::ffff:111.111.11.11], protocol=IMAP
Jul 18 08:24:42 company imapd: DISCONNECTED, user=user_name@domain.com, ip=[::ffff:111.111.11.11], headers=0, body=0, rcvd=83, sent=409, time=1
Jul 18 08:25:19 company postfix/smtpd[29282]: connect from company.university.edu[111.111.11.11]
Jul 18 08:25:19 company postfix/smtpd[29282]: NOQUEUE: reject: RCPT from company.university.edu[111.111.11.11]: 554 5.7.1 <email@gmail.com>: Relay access denied; from=<user_name@domain.com> to=<email@gmail.com> proto=ESMTP helo=<UserPC>
Jul 18 08:25:19 company postfix/smtpd[29282]: disconnect from company.university.edu[111.111.11.11]
Jul 18 08:25:22 company imapd: DISCONNECTED, user=user_name@domain.com, ip=[::ffff:111.111.11.11], headers=13, body=142579, rcvd=3289, sent=215892, time=79

O arquivo main.cffica assim:

#
# Postfix MTA Manager Main Configuration File;
#
# Please do NOT edit this file manually;
#

#
# Postfix directory settings; These are critical for normal Postfix MTA functionallity;
#

command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix

#
# Some common configuration parameters;
#

inet_interfaces = all
mynetworks = 127.0.0.0/8
mynetworks_style = host

myhostname = mail.domain.com
mydomain = domain.com
myorigin = $mydomain

smtpd_banner = $myhostname ESMTP 2.4.7.1 (Debian/GNU)
setgid_group = postdrop

#
# Receiving messages parameters;
#

mydestination = localhost, company 
append_dot_mydomain = no
append_at_myorigin = yes
transport_maps = mysql:/etc/postfix/transport.cf

#
# Delivering local messages parameters;
#

mail_spool_directory = /var/spool/mail
mailbox_size_limit = 0
mailbox_command = procmail -a "$EXTENSION"

biff = no

alias_database = hash:/etc/aliases

local_recipient_maps =

#
# Delivering virtual messages parameters;
#
virtual_mailbox_maps=mysql:/etc/postfix/mysql_virt.cf
virtual_uid_maps=mysql:/etc/postfix/uids.cf
virtual_gid_maps=mysql:/etc/postfix/gids.cf
virtual_mailbox_base=/usr/local/virtual
virtual_maps=mysql:/etc/postfix/virtual.cf
virtual_mailbox_domains=mysql:/etc/postfix/virtual_domains.cf


#
# SASL paramters;
#
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s

smtp_tls_CAfile = /etc/postfix/ssl/smptd.pem
smtp_tls_cert_file = /etc/postfix/ssl/smptd.crt
smtp_tls_key_file = /etc/postfix/ssl/smptd.key

smtpd_tls_CAfile = /etc/postfix/ssl/smptd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smptd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smptd.key

smtpd_sasl_auth_enable = yes

smtpd_sasl_security_options = noanonymous

smtpd_sasl_local_domain =

broken_sasl_auth_clients = yes

smtpd_sender_restrictions =
        permit_sasl_authenticated
        permit_mynetworks

smtpd_recipient_restrictions =
        permit_sasl_authenticated
        check_recipient_access hash:/etc/postfix/filtered_domains
        permit_mynetworks
        reject_unauth_destination

Como observação lateral, meu empregador deseja poder enviar e-mails de clientes (Thunderbird e Outlook) de dentro da nossa rede local e fora dela.

O TLS apenas habilita a criptografia na sessão smtp e não afeta diretamente se o Postfix poderá ou não retransmitir uma mensagem.

A mensagem de retransmissão negada ocorre porque as regras smtpd_recipient_restrictions não foram correspondidas. Uma dessas condições deve ser cumprida para permitir que a mensagem passe:

smtpd_recipient_restrictions =
    permit_sasl_authenticated
    check_recipient_access hash:/etc/postfix/filtered_domains
    permit_mynetworks
    reject_unauth_destination

Para explicar essas regras:

permit_sasl_authenticated

permite remetentes autenticados através do SASL. Isso será necessário para autenticar usuários fora da sua rede que normalmente estão bloqueados.

check_recipient_access

Isso fará com que o postfix procure em / etc / postfix / filtrado_domínios por regras com base no endereço do destinatário. (A julgar pelo nome do arquivo, provavelmente está apenas bloqueando domínios específicos ... Verifique se o gmail.com está listado lá?)

permit_mynetworks

Isso permitirá hosts por endereço IP que correspondam aos intervalos de IP especificados em $ mynetworks. No main.cf que você postou, $ mynetworks foi definido como 127.0.0.1, portanto, somente retransmitirá os e-mails gerados pelo próprio servidor.

Com base nessa configuração, seu cliente de email precisará usar a autenticação SMTP antes de poder retransmitir mensagens. Não tenho certeza de qual banco de dados SASL está usando. Isso é especificado em /usr/lib/sasl2/smtpd.conf Presumivelmente, ele também usa o mesmo banco de dados que suas caixas de correio virtuais; portanto, você deve habilitar a autenticação SMTP no seu cliente de email e estar pronto.

smtpd_use_tls = no

Você desabilitou o TLS e, agora, precisa autorizar sua rede local adicionando-a mynetworks. Por exemplo,

mynetworks = 192.168.1.0/24 127.0.0.0/8

Isso corrigirá o envio apenas da sua rede local. Para enviar email de fora da rede local, você precisará obter a autenticação TLS funcionando.

Eu acho que você sente falta de você domain.com no meu destino, porque o padrão relay_domains=$mydestination, então você pode anexar sua configuração da linha:

mydestinations = $mydomain, $myhostname, localhost, localhost.localdomain

ou:

relay_domains = $mydomain

Não se esqueça de reiniciar o servidor postfix ( service postfix restart) toda vez que você editar o arquivo conf postfix.

Eu tive o mesmo problema no Outlook (com backend dovecote e postfix) e passei dois dias procurando solução e aprimorando meus arquivos de configuração. Tudo o que eu precisava fazer era verificar "O servidor requer autenticação" na guia Saída nas configurações de email do Outlook e minhas mensagens agora são enviadas para o Gmail. Consulte as instruções detalhadas sobre como encontrar a configuração aqui http://support.bluetie.com/node/440 .

Esse problema estava me incomodando por um tempo. Eu estava tentando conectar do server1.domain.com ao server2.domain.com.

Aqui está como eu consertei isso -

#/etc/postfix/main.cf
mydomain = server1.domain.com
myhostname = $mydomain
virtual_alias_maps = hash:/etc/postfix/virtual
alias_database = hash:/etc/postfix/virtual
myorigin = /etc/mailname
mydestination = localhost.localdomain localhost $mydomain
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

Você também precisa certificar-se de ter configurado o / etc / hosts e / etc / hostname corretamente e executar o seguinte após as alterações na rede -

sudo service networking restart

e o seguinte após as alterações na configuração do postfix

sudo service postfix reload

Para mim: eu tive que adicionar localhostà mynetworksindependentemente do fato 127.0.0.0/8já estava lá. Então, agora parece:

mynetworks = 1.1.1.1/32, 127.0.0.0/8, localhost