<div dir="ltr"><div dir="ltr">On Tue, Aug 4, 2020 at 6:19 PM Patrick Ben Koetter <<a href="mailto:p@sys4.de">p@sys4.de</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Ian,<br>
<br>
* Ian Evans <<a href="mailto:dheianevans@gmail.com" target="_blank">dheianevans@gmail.com</a>>:<br>
> On Tue, Aug 4, 2020 at 3:38 PM Matus UHLAR - fantomas <<a href="mailto:uhlar@fantomas.sk" target="_blank">uhlar@fantomas.sk</a>><br>
> wrote:<br>
> <br>
> > >Open relay? Nonlocal recips but not originating: [person I'm emailing]<br>
> ><br>
> > this happens when 'originating' flag is not set and recipient is not local.<br>
> > maybe you don't have $mynetworks amavis variable set<br>
> ><br>
> <br>
> Okay bizarre. Just did a grep on my conf.d dir and 'originating' and<br>
> '$mynetworks' don't appear in any of these files:<br>[snip]> <br>
> Again except for these outgoing notices in the logs, the server has worked<br>
> fine for years. Amavis, Postfix and Dovecot are all on the same server.<br>
<br>
for any domain/recipient that amavis should feel responsible for add its name<br>
to @local_domains_maps or let amavis read it from a file, e.g.<br>
/etc/postfix/relay_domains:<br>
<br>
@local_domains_maps = (<br>
    ".$mydomain",<br>
    read_hash('/etc/postfix/relay_domains')<br>
);<br>
<br>
This will tell amavis what it should classify as "incoming".<br>
<br>
For any IP address/network that is internal add it to @mynetworks. This will<br>
tell amavis which sources are internal:<br>
<br>
@mynetworks = qw(<br>
    <a href="http://127.0.0.0/8" rel="noreferrer" target="_blank">127.0.0.0/8</a><br>
);<br>
<br>
In reverse conclusion all other senders not listed in @mynetworks are<br>
considered to be "outside".<br>
<br>
If your authenticated senders submit messages via Port 465 or 587 then route<br>
their messages into a dedicated port into amavis and assign that port to a<br>
policy bank, where you declare everything in that policy bank as originating:<br>
<br>
# Claim the port:<br>
@listen_sockets = (<br>
    # Release<br>
    '[::1]:9998',<br>
    # Post-Queue, Submission<br>
    '[::1]:10024',<br>
    # Pre-Queue, MTA zu MTA<br>
    "$MYHOME/amavisd.sock"<br>
    );<br>
<br>
# Assign the port to a $policy_bank:<br>
$interface_policy{'10024'}  = 'SUBMISSION';<br>
<br>
# Tag everything as $originating in that policy_bank:<br>
$policy_bank{'SUBMISSION'} = {<br>
    originating => 1,<br>
    bypass_spam_checks_maps => [1],<br>
    final_virus_destiny => D_BOUNCE,<br>
    final_banned_destiny=> D_PASS,<br>
    final_bad_header_destiny => D_PASS,<br>
    banned_filename_maps => ['MYNETS-DEFAULT'],<br>
    warnbadhsender => 0,<br>
    forward_method => 'smtp:<a href="http://127.0.0.1:10025" rel="noreferrer" target="_blank">127.0.0.1:10025</a>',<br>
    notify_method => 'smtp:<a href="http://127.0.0.1:10025" rel="noreferrer" target="_blank">127.0.0.1:10025</a>',<br>
    undecipherable_subject_tag => undef,<br>
};<br>
<br>
<br>
> Just so I don't upset the apple cart, what do I need to add and to which<br>
> file do I need to add it?<br>
<br>
I suggest you copy over 50-user to 60-mysystem and add your local config<br>
there. It will never be overwritten by an update.<br>
<br></blockquote><div> </div><div> Patrick, thanks for the detailed notes. I wanted to respond when I had time to look at my setup. A few questions:</div><div><br></div><div>I only handle email for my domain so I'm assuming this is okay?</div><div><br></div><div>  @local_domains_maps = (<br>
    ".$mydomain"<br>
);<br></div><div>@mynetworks = qw(<br>    <a href="http://127.0.0.0/8" rel="noreferrer" target="_blank">127.0.0.0/8</a><br>); </div><div><br></div><div>My biggest question and config I don't want to foul up is the submission section for the amavis config.</div><div><br></div><div>Here's what's in my <a href="http://master.cf">master.cf</a> in Postfix:</div><div><br></div>submission inet n       -       -       -       -       smtpd<br>  -o syslog_name=postfix/submission<br>  -o smtpd_tls_security_level=encrypt<br>  -o smtpd_sasl_auth_enable=yes<br>  -o smtpd_reject_unlisted_recipient=no<br>  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject<br>  -o milter_macro_daemon_name=ORIGINATING</div><div class="gmail_quote">#OpenDKIM signing<br>  -o smtpd_milters=inet:localhost:12345</div><div class="gmail_quote"><br></div><div class="gmail_quote">So the email is sent to port 587 and processed through OpenDKIM. Being coffee and sleep-deprived I don't want to FUBAR anything in the amavis config? Your example said to claim the port:</div><div class="gmail_quote"><br></div><div class="gmail_quote">  # Claim the port:<br>
@listen_sockets = (<br>
    # Release<br>
    '[::1]:9998',<br>
    # Post-Queue, Submission<br>
    '[::1]:10024',<br>
    # Pre-Queue, MTA zu MTA<br>
    "$MYHOME/amavisd.sock"<br>
    ); </div><div class="gmail_quote"><br></div><div class="gmail_quote">So which one do I change? And will that interfere with the <a href="http://master.cf">master.cf</a> submission interfacing with OpenDKIM.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Thanks again. If I was feeling better I'm sure this would be clearer to me.</div><div class="gmail_quote"><br></div><div class="gmail_quote">Take care. </div></div>