zimbra 8 policyd 失败 SMTP 登录增加配额计数器

介绍

Zimbra 是电子邮件和协作套装。它使用 postfix 作为 MTA。您可以选择启用 policyd 来提供限制功能，例如配额或节流。

每个配置都可以通过 Web 界面或 CLI 进行更改。不应直接编辑配置文件/数据库。Zimbra 可能会在升级或重启时覆盖它。

启用 policyd

根据这一页，我们只需执行两个命令行即可启用policyd。

在后台，zimbra 将更改 postfix 配置。以下是postconf -n启用 policyd 之前和之后的输出。

smtpd_client_restrictions = reject_unauth_pipelining
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions =
smtpd_etrn_restrictions =
smtpd_helo_restrictions =
smtpd_recipient_restrictions = yreject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_invalid_helo_hostname,  reject_non_fqdn_sender, permit
smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_restriction_classes =
smtpd_sender_restrictions =

后

smtpd_client_restrictions = reject_unauth_pipelining
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_end_of_data_restrictions = check_policy_services 127.0.0.1:10031
smtpd_etrn_restrictions =
smtpd_helo_restrictions =
smtpd_recipient_restrictions = check_policy_services 127.0.0.1:10031, reject_non_fqdn_recipient, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_invalid_helo_hostname,  reject_non_fqdn_sender, permit
smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_restriction_classes =
smtpd_sender_restrictions = check_policy_services 127.0.0.1:10031

分析

分析输出后，可以解释您的 zimbra 中发生的行为postconf -n。在 smtpd_sender_restrictions 阶段，zimbra 已经联系 policyd（通过 check_policy_services）。在该阶段，计数器已开始增加。在 smtpd_relay_restrictions 阶段，postfix 通过发出错误消息“授权失败”来拒绝电子邮件。

解决方案

根据以上分析，可以通过删除 smtpd_sender_restrictions 中的 check_policy_services 来阻止此行为。Postfix 仍然会调用 smptd_recipient_restrictions 中的 check_policy_services。

免责声明：

• 这适用于 zimbra 版本 8.0.7。其他版本可能不会出现此错误。
• 如上所述，直接编辑配置文件不受官方支持。也许出于设计原因，Zimbra 较早地引入了策略，而直接编辑可能会破坏它。为了安全起见，您可以在 zimbra 支持中发布它并与 zimbra 开发人员讨论。