-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512
Hallo liebe Postfix User!
Wir haben in einer relativ großen Organisation folgendes LDAP-Setup:
ou=users,dc=domain,dc=de enthält alle User mit ihren Attributen. Dabei nutzen wir das `mail`-Attribut immer als finale Ziel-Adresse eines Users. Hat der User ein Postfach, ist es die Adresse des Postfachs - hat der User nur eine Mail-Weiterleitung und kein Postfach, ist die Adresse das Weiterleitungsziel. Entsprechend haben wir bei letzterem Fall im Attribut `mailForwardingAddress` die Mail-Adresse mit @domain.de, die weitergeleitet wird.
Damit Postfix weiß, wer eine Weiterleitung und wer ein Postfach hat, werden in den entsprechenden Querys unterschiedliche User genutzt und per ACL gefiltert (die Berechtigungen verwalten wir ÃŒber LDAP-Gruppen `groupOfNames`).
Das funktioniert auch hervorragend, aber vor kurzem hat jemand, der bereits ein Postfach hatte, zusätzlich zu dem Postfach eine Weiterleitung in seinem Account hinzugefügt. Das Ergebnis sah im LDAP so aus: cn=einUser,ou=users,dc=domain,dc=de mail: einUser@domain.de mail: einUser@externerAnbieter.de mailForwardingAddress: einUser@domain.de
Ihr könnt schon ahnen, was passiert ist: Als eine Mail an einUser@domain.de einging und Postfix nach Weiterleitungen für diese Adresse gesucht hat, hat der LDAP-Query einUser@externerAnbieter.de _und_ einUser@domain.de zurückgeliefert. Damit ist eine Endlosschleife entstanden, die sich nur durch einen Postfix restart abbrechen lies (vielleicht wäre es auch anders gegangen, aber ich wusste in dem Moment nicht wie).
Wir haben jetzt lange diskutiert, wie wir das Problem lösen könnten: auf Accounts mit Postfach & Weiterleitung zu verzichten, kommt leider nicht in Frage. Auch vor einer Umstrukturierung des LDAPs sträuben wir uns, weil dort sehr viele Anwendungen angeschlossen sind, die alle angepasst werden müssen. Eine Möglichkeit wäre natürlich auch einfach zwei User zu erstellen, aber da die User ihre Accounts über ein Webinterface selber verwalten, wäre das auch ziemlich aufwendig zu implementieren.
Ich habe natürlich auch schon die Suchmaschine meiner Wahl zu dem Thema befragt, konnte aber nichts gescheites finden. Daher meine Frage: Hat Postfix irgendeinen Forwarding-Loop-Schutz? So ganz unabhängig von LDAP für alle virtuellen Aliasse? Eigentlich muss Postfix doch intelligent genug sein, zu erkennen, dass Forwarding-Source und - -Destination gleich sind?
Es wäre toll, wenn ihr uns da helfen könnt!
Viele Grüße, Andreas Krischer
akbyte webentwicklung Pastor-Lüpschen-Str. 82 52351 Düren https://akbyte.com kontakt@akbyte.com +49 (0) 2421 500 332 Skype: akbyte_com