Docker-Mailserver 中 DEFAULT_RELAY_HOST 认证失败问题解析

在使用 Docker-Mailserver 时，配置默认中继主机（DEFAULT_RELAY_HOST）是一个常见需求，特别是在需要通过第三方邮件服务（如 AWS SES）转发邮件的情况下。然而，在较旧版本的 Docker-Mailserver（v14 之前）中，用户可能会遇到认证失败的问题。

问题现象

当用户尝试通过 AWS SES 作为默认中继主机时，Postfix 会返回"530 Authentication required"错误。这表明虽然连接到了中继服务器，但未能成功完成认证过程。错误日志中通常会显示类似以下内容：

postfix/smtp[54905]: 2C0A14087210: to=<xxxx@xxxxx.es>, relay=email-smtp.eu-west-1.amazonaws.com[52.18.165.220]:587, delay=0.53, delays=0.02/0.06/0.43/0.03, dsn=5.0.0, status=bounced (host email-smtp.eu-west-1.amazonaws.com[52.18.165.220] said: 530 Authentication required (in reply to MAIL FROM command))

根本原因

这个问题的根源在于 Docker-Mailserver v14 之前的版本中，DEFAULT_RELAY_HOST 配置的实现存在缺陷。虽然环境变量允许用户指定中继主机，但相关的认证机制配置并不完整，导致无法正确传递认证凭据给中继服务器。

解决方案

对于遇到此问题的用户，有以下几种解决途径：

1. 升级到 Docker-Mailserver v14 或更高版本：这是最推荐的解决方案。从 v14 开始，项目团队已经修复了中继主机认证相关的问题，使配置更加可靠和直观。

2. 使用替代配置方法：如果暂时无法升级，可以考虑：

   • 使用单独的 RELAY_HOST 和 RELAY_USER/RELAY_PASSWORD 环境变量组合
   • 手动配置 Postfix 的 SASL 认证设置

3. 检查 AWS SES 配置：确保：

   • SMTP 凭据已正确生成
   • 区域设置与中继主机地址匹配
   • SES 账户已脱离沙盒模式

技术细节

在 Postfix 中，完整的中继主机配置需要以下几个关键部分：

1. 中继主机定义：指定 SMTP 服务器的地址和端口
2. 认证机制：配置 SASL 认证方法和凭据
3. 传输映射：定义哪些邮件需要通过中继转发

在 Docker-Mailserver 的早期版本中，DEFAULT_RELAY_HOST 只完成了第一部分，而缺少了对认证机制的正确配置，导致认证失败。

最佳实践

对于使用外部邮件中继服务的用户，建议：

1. 始终使用最新稳定版的 Docker-Mailserver
2. 将敏感凭据通过安全方式注入（如 secrets 或环境变量文件）
3. 测试配置时使用低限制的邮件账户
4. 监控邮件队列和日志，及时发现投递问题

通过理解这些配置背后的原理和解决方案，用户可以更有效地搭建和维护基于 Docker-Mailserver 的邮件系统。