Назад | Перейти на главную страницу

Проблемы с доступом к порту 25 на экземпляре EC2

Похоже, я не могу получить доступ к порту 25 в инстансе Amazon EC2. Я открыл порт в группе безопасности и в брандмауэре iptables. Я открыл другие порты (включая 22 и 80) таким же образом, и они работают.

В данном случае я могу подключиться по telnet к порту 25 и увидеть вывод postfix. Из-за пределов EC2 я могу подключиться по telnet к порту 22 или порту 80 и увидеть вывод SSH-сервера и веб-сервера. Но когда я подключаюсь к порту 25 извне EC2, он просто сидит и ждет.

Я заполнил форма для отправки электронной почты и получил подтверждение того, что это было сделано. И я проверил, и исходящая почта работает нормально. (Все через реле, чтобы избежать черных списков IP).

Так по-разному ли Amazon обрабатывает входящий трафик на порт 25? У других это нормально работает? Любая помощь приветствуется.

В качестве альтернативного источника проблем я использую postfix в SUSE Linux (SLES 10), и мне интересно, есть ли у кого-то из них какие-то скрытые настройки, которые означают, что они не будут отвечать на порт 25 с машины. Я проверил настройки iptables с помощью iptables -L -nvv и iptables -t nat -L -nvv и я не вижу никаких правил, которые могли бы помешать. И postfix действительно отвечает на telnet на локальном хосте.

Редактировать: Когда я полностью выключаю iptables, telnet немедленно возвращается с

telnet: Unable to connect to remote host: Connection refused

Согласно ответу, содержимое master.cf являются:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#submission inet n      -       n       -       -       smtpd
#       -o smtpd_etrn_restrictions=reject
#       -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps    inet  n       -       n       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
#submission   inet    n       -       n       -       -       smtpd
#  -o smtpd_etrn_restrictions=reject
#  -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
#628      inet  n       -       n       -       -       qmqpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       n       300     1       oqmgr
#tlsmgr    unix  -       -       n       1000?   1       tlsmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       n       -       -       smtp
        -o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
#localhost:10025 inet   n       -       n       -       -       smtpd -o content_filter=
scache    unix  -       -       n       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus     unix  -       n       n       -       -       pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} {recipient}

и grep -v '#' /etc/sysconfig/postfix:

POSTFIX_RELAYHOST="[mail.domain.com]"
POSTFIX_MASQUERADE_DOMAIN=""
POSTFIX_LOCALDOMAINS="\$myhostname"
POSTFIX_NULLCLIENT="no"
POSTFIX_DIALUP="no"
POSTFIX_NODNS="no"
POSTFIX_CHROOT="no"
POSTFIX_UPDATE_CHROOT_JAIL=no
POSTFIX_LAPTOP=no
POSTFIX_UPDATE_MAPS=yes
POSTFIX_MAP_LIST="virtual transport access canonical sender_canonical relocated sasl_passwd:600 relay_ccerts"
POSTFIX_RBL_HOSTS=""
POSTFIX_BASIC_SPAM_PREVENTION=off
POSTFIX_MDA=local
POSTFIX_SMTP_AUTH_SERVER=no
POSTFIX_SMTP_AUTH=no
POSTFIX_SMTP_AUTH_OPTIONS=""
POSTFIX_SMTP_TLS_SERVER=no
POSTFIX_SMTP_TLS_CLIENT="no"
POSTFIX_SSL_PATH="/etc/postfix/ssl"
POSTFIX_TLS_CAFILE="cacert.pem"
POSTFIX_TLS_CERTFILE="certs/postfixcert.pem"
POSTFIX_TLS_KEYFILE="certs/postfixkey.pem"
POSTFIX_SSL_COUNTRY="XX"
POSTFIX_SSL_STATE="Some state"
POSTFIX_SSL_LOCALITY="Some locality"
POSTFIX_SSL_ORGANIZATION="Some Organization"
POSTFIX_SSL_ORGANIZATIONAL_UNIT="Some Organizational Unit"
POSTFIX_SSL_COMMON_NAME="A common name"
POSTFIX_SSL_EMAIL_ADDRESS="postmaster"
POSTFIX_ADD_MAILBOX_SIZE_LIMIT=0
POSTFIX_ADD_MESSAGE_SIZE_LIMIT=10240000
POSTFIX_REGISTER_SLP="yes"
POSTFIX_ADD_MYNETWORKS_STYLE="subnet"

Я изменил домен вверху, но в остальном он такой же.

Когда вы меняете группу безопасности экземпляра, который уже запущен, может пройти буквально много времени, прежде чем изменения вступят в силу. Возраст означает что-нибудь между мгновенно и часы!

Я бы дважды проверил вашу настройку iptables:

iptables iptables -nL -v --line-numbers -t filter
iptables iptables -nL -v --line-numbers -t nat
iptables iptables -nL -v --line-numbers -t mangle
iptables iptables -nL -v --line-numbers -t raw

Если все в порядке и по-прежнему не работает, просто перезапустите экземпляр.

Сейчас это работает, но спасибо Тиллю и sandroid за их ответы. Для других, интересующихся, у amazon нет ничего особенного в порте 25. Похоже, что postfix не слушает внешние адреса. Я до сих пор не понял почему, но в итоге установил другой MTA, и он работал нормально.

Я бы посоветовал полностью отключить iptables на несколько минут и снова протестировать - чтобы исключить это из уравнения. Таким образом, вы либо будете знать наверняка, что это не имеет ничего общего с фильтрацией пакетов, либо это определенно часть фильтрации пакетов.

Можете ли вы также поделиться с нами соответствующим содержанием /etc/postfix/master.cf? (или где бы то ни было в SUSE linux). Возможно, он был настроен не прослушивать что-либо, кроме localhost.

Я считаю, что строка для smtp должна выглядеть так для smtpd с выходом в Интернет:

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd