Postfix 错误地检查已通过身份验证的提交邮件客户端的 SPF 策略

我在 Ubuntu 23.10 上运行 Postfix 3.8.1。Postfix 使用端口 25 接收来自其他 MTA 的来信，使用端口 587 接收经过身份验证的 MUA。

Postfix 应该通过 SPF 检查端口 25 上来自其他 MTA 的邮件，但不会通过 SPF 检查端口 587 上来自经过身份验证的 MUA 的邮件。但是，Postfix 错误地对经过身份验证的 MUA 进行了此操作，导致 SPF 失败（因为 MUA 未被列为允许的邮件服务器）。

我感觉好像 Postfix 只是忽略了 MUA 的特殊规则，但我没有发现我的配置错误。

我的master.cnf

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (no)    (never) (100)
# ==========================================================================
smtp      inet  n       -       y       -       -       smtpd
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o cleanup_service_name=header_cleanup
  -o smtpd_client_restrictions=$mua_client_restrictions
  -o smtpd_helo_restrictions=$mua_helo_restrictions
  -o smtpd_sender_restrictions=$mua_sender_restrictions
  -o smtpd_relay_restrictions=$mua_relay_restrictions
header_cleanup unix n   -       -       -       0       cleanup
  -o header_checks=regexp:/etc/postfix/submission_header_cleanup.cf

上述配置的想法是smtpd在端口 587（submission）上应该使用一些特殊配置。

我的main.cf

smtpd_delay_reject = yes

smtpd_client_restrictions =
  reject_unauth_pipelining,
  reject_unknown_client_hostname
mua_client_restrictions =
  reject_unauth_pipelining

smtpd_helo_required = yes

smtpd_helo_restrictions =
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  reject_unknown_helo_hostname
mua_helo_restrictions =
  reject_invalid_helo_hostname

strict_rfc821_envelopes = yes

smtpd_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain
mua_sender_restrictions =
  reject_non_fqdn_sender,
  reject_unknown_sender_domain
  reject_plaintext_session,
  reject_sender_login_mismatch

smtpd_relay_restrictions =
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  reject_unauth_destination
mua_relay_restrictions =
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit_sasl_authenticated,
  reject

smtpd_recipient_restrictions =
  check_policy_service unix:private/policyd-spf,
  permit

policyd-spf_time_limit = 3600

smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_auth_enable=no

这个想法是，在步骤 1 中，经过身份验证的客户端将无条件被允许，而其他客户端将被拒绝。这意味着对于经过身份验证的客户端，访问控制应该到此为止。这也是为什么只有端口 25 上的客户端mua_relay_restrictions才有 而没有相应的 的原因，因为 Postfix 永远不应该达到这一点。smtpd_recipient_restrictionsmua_recipient_restriction

但是，如果我使用邮件客户端通过我的 Postfix 邮件服务器向我的另一个邮箱（外部托管）发送邮件，我会在我的邮件服务器上看到以下日志：

postfix/submission/smtpd[515502]: Anonymous TLS connection established from pd9ecf27b.dip0.t-ipconnect.de[217.236.242.123]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-sign>
policyd-spf[515508]: : prepend Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=217.236.242.123; helo=my-touchpad.localnet; [email protected]; receiver=other-domain.tld

SPF 必定会失败，这是显而易见的。MUA 是拨号线路 (pd9ecf27b.dip0.t-ipconnect.de[217.236.242.123]) 上的客户端 (my-touchpad.localnet)，该线路未列入 SPF 策略中my-domain.tld。当然，这不是因为 SPF 策略只列出了邮件服务器本身。

不过，我很奇怪 Postfix 为什么要执行该检查。SPF 检查只是其中的一部分，smtpd_recipient_restrictions不应该应用于经过身份验证的 MUA。