Docker-Mailserver中Fetchmail与Postfix的SMTP发件人验证问题解析

在使用Docker-Mailserver搭建邮件服务器时，许多用户会选择配合Fetchmail工具来实现邮件自动拉取功能。然而，近期一些用户发现当Fetchmail从远程邮箱拉取邮件并尝试通过本地Postfix投递时，会遇到"Sender address rejected: Domain not found"的错误，导致部分邮件无法正常接收。

问题本质分析

这个问题的根源在于Postfix的默认安全配置中启用了reject_unknown_sender_domain检查。当Fetchmail从外部服务器拉取邮件并尝试通过本地Postfix投递时，Postfix会验证邮件发件人域名的有效性。如果发件人域名不存在或无法解析（这在垃圾邮件中很常见），Postfix就会拒绝接收这些邮件。

虽然这种机制能有效阻挡垃圾邮件，但对于使用Fetchmail拉取邮件的场景却造成了困扰。用户希望即使发件人域名无效，也能先将邮件接收下来，再通过SpamAssassin等工具进行后续过滤。

解决方案探讨

方法一：调整Postfix发件人验证规则

最直接的解决方案是修改Postfix的smtpd_sender_restrictions配置，移除reject_unknown_sender_domain检查。具体操作是在postfix-main.cf配置文件中添加：

mynetworks = 127.0.0.0/8
dms_smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks

这种配置允许来自本地网络(127.0.0.1)的邮件绕过严格的发件人验证。需要注意的是，这会降低本地网络的安全性，任何运行在容器内的服务都能绕过Postfix的安全检查发送邮件。

方法二：使用SMTP认证投递

更安全的做法是配置Fetchmail使用SMTP认证方式投递邮件。这需要：

1. 在Fetchmail配置中指定SMTP主机和端口(587或465)
2. 配置有效的DMS账户凭据进行认证
3. 使用ESMTP AUTH相关参数(esmtpname/esmtppassword)

这样邮件投递会通过permit_sasl_authenticated规则，既保证了安全性，又不需要放宽Postfix的默认检查。

方法三：考虑替代方案

如果Fetchmail配置SMTP认证较为复杂，可以考虑使用getmail等替代工具。getmail可以直接将邮件投递到Dovecot的Maildir目录，完全绕过Postfix的SMTP处理流程，避免发件人验证问题。

安全建议

无论采用哪种方案，都需要权衡安全性与功能性：

1. 如果选择放宽Postfix检查，建议配合强大的垃圾邮件过滤工具
2. 定期监控邮件日志，确保没有异常投递行为
3. 考虑结合Fail2Ban等工具增强防护
4. 对于生产环境，SMTP认证方式始终是更安全的选择

总结

Docker-Mailserver与Fetchmail的组合为自建邮件服务提供了强大功能，但在配置时需要注意Postfix的安全机制可能带来的兼容性问题。通过合理调整Postfix配置或使用认证投递方式，可以在保证安全性的同时实现完整的邮件拉取功能。对于技术能力较强的用户，还可以探索getmail等替代方案，找到最适合自身需求的技术路线。