Не уходит почта на внешний адрес

[deminart@yandex.ru]

Коллеги, помогите пожалуйста с проблемой.
Есть доменная почта на Яндексе, условно обозначим именем yagroup.ru
С таким же именем yagroup.ru внутренний домен.
Подняли почтовый сервер Debian 11, postfix 3.5.18 на втором уровне домена с именем gkgroup.ru
Ситуация следующая, при отправке на внешнюю почту яндекса, с таким же доменным именем как и внутренний домен (yagroup.ru ) сервер стучится на кд, в итоге получаю Connection refused, status=deferred и висящее в очереди письмо.
Во всех остальных случаях всё прекрасно работает…

mail.log

May 23 13:17:22 mail postfix/submission/smtpd[3036]: connect from localhost[127.0.0.1]
May 23 13:17:22 mail postfix/submission/smtpd[3036]: Anonymous TLS connection established from localhost[127.0.0.1]: TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits) key-exchange X25519 server-signa>
May 23 13:17:22 mail postfix/submission/smtpd[3036]: 4QQTH65NNZz3cq6H: client=localhost[127.0.0.1], sasl_method=LOGIN, sasl_username=petrov@gkgroup.ru
May 23 13:17:22 mail postfix/cleanup[3052]: 4QQTH65NNZz3cq6H: message-id=<30b74af0cab6e948c7a51a2d1b307d9e@gkgroup.ru>
May 23 13:17:22 mail postfix/qmgr[2057]: 4QQTH65NNZz3cq6H: from=<petrov@gkgroup.ru>, size=659, nrcpt=1 (queue active)
May 23 13:17:22 mail roundcube: <tl39kq6a> User petrov@gkgroup.ru [192.168.0.50]; Message <30b74af0cab6e948c7a51a2d1b307d9e@gkgroup.ru> for petrov@yagroup.ru; 250: 2.0.0 Ok: queued as 4QQTH65NNZz3cq6H
May 23 13:17:22 mail postfix/submission/smtpd[3036]: disconnect from localhost[127.0.0.1] ehlo=2 starttls=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=8
May 23 13:17:23 mail postfix/10025/smtpd[3063]: connect from localhost[127.0.0.1]
May 23 13:17:23 mail postfix/10025/smtpd[3063]: 4QQTH72QbLz3cqfS: client=localhost[127.0.0.1]
May 23 13:17:23 mail postfix/cleanup[3052]: 4QQTH72QbLz3cqfS: message-id=<30b74af0cab6e948c7a51a2d1b307d9e@gkgroup.ru>
May 23 13:17:23 mail postfix/10025/smtpd[3063]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
May 23 13:17:23 mail postfix/qmgr[2057]: 4QQTH72QbLz3cqfS: from=<petrov@gkgroup.ru>, size=1954, nrcpt=1 (queue active)
May 23 13:17:23 mail amavis[2179]: (02179-01) Passed CLEAN {RelayedInternal}, ORIGINATING/MYNETS LOCAL [127.0.0.1]:49942 ESMTP/ESMTP <petrov@gkgroup.ru> -> <petrov@yagroup.ru>, (), Queue-ID: 4QQTH65NNZz3cq6H,>
May 23 13:17:23 mail postfix/amavis/smtp[3057]: 4QQTH65NNZz3cq6H: to=<petrov@yagroup.ru>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.76, delays=0.2/0.03/0.02/0.51, dsn=2.0.0, status=sent (250 2.0.0 from MTA>
May 23 13:17:23 mail postfix/smtp[3064]: connect to yagroup.ru[192.168.0.2]:25: Connection refused
May 23 13:17:23 mail postfix/smtp[3064]: connect to yagroup.ru[192.168.0.3]:25: Connection refused
May 23 13:17:23 mail postfix/smtp[3064]: connect to yagroup.ru[192.168.0.4]:25: Connection refused
May 23 13:17:23 mail postfix/qmgr[2057]: 4QQTH65NNZz3cq6H: removed
May 23 13:17:23 mail postfix/smtp[3064]: 4QQTH72QbLz3cqfS: to=<petrov@yagroup.ru>, relay=none, delay=0.05, delays=0.01/0.03/0/0, dsn=4.4.1, status=deferred (connect to yagroup.ru[192.168.0.4]:25: Connect>
May 23 13:18:33 mail postfix/postsuper[3147]: Deleted: 1 message

dig gkgroup.ru MX

; <<>> DiG 9.16.37-Debian <<>> gkgroup.ru MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18341
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;gkgroup.ru. IN MX

;; AUTHORITY SECTION:
gkgroup.ru. 3600 IN SOA dc2.yagroup.ru.ru. hostmaster.yagroup.ru 25 900 600 86400 3600

;; Query time: 0 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Tue May 23 13:48:24 +04 2023
;; MSG SIZE rcvd: 97

digdig mail.gkgroup.ru MX

; <<>> DiG 9.16.37-Debian <<>> mail.gkgroup.ru MX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56903
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4000
;; QUESTION SECTION:
;mail.gkgroup.ru. IN MX

;; ANSWER SECTION:
mail.gkgroup.ru. 3600 IN MX 10 mail.gkgroup.ru.

;; ADDITIONAL SECTION:
mail.gkgroup.ru. 3600 IN A 192.168.0.200
mail.gkgroup.ru. 3600 IN A 11.1.111.11

;; Query time: 0 msec
;; SERVER: 192.168.0.6#53(192.168.0.6)
;; WHEN: Tue May 23 13:50:49 +04 2023
;; MSG SIZE rcvd: 90

Spoiler

Spoiler

[Aliech]

Ну добавьте на локальном ДНС корректную MX запись для этого домена, чтобы он перестал заставлять почтарь стучаться на внутрисетевую машину.

Что там Яндекс требует указать в MX-записях домена, чтобы почту привязать? +/- тоже вам стоит указать и на локальном домене, коль скоро ваш почтарь резволвится через него.

[deminart@yandex.ru]

На локальном dns есть mx запись вида mail.gkgroup.ru

[Aliech]

На локальном dns есть mx запись вида mail.gkgroup.ru

Что-то мне кажется, что в этой истории про почту яндекса есть ещё днс'ы яндекса. И тогда вас копировать надо не только и не столько саму MX запись, сколько то, во что она резолвится.

Добавлено (15:24):

Товарищи админы! Верните, пожалуйста, первое сообщение в тему. А то фигня получилась какая-то!

[deminart@yandex.ru]

Да вроде нет их нигде... В resolv.conf указано только два сервера, оба локальные КД, к которым собственно в ошибке происходит подключение...

[Aliech]

Да вроде нет их нигде... В resolv.conf указано только два сервера, оба локальные КД, к которым собственно в ошибке происходит подключение...

Ну как нет то, когда есть?)

Ситуация следующая, при отправке на внешнюю почту яндекса, с таким же доменным именем как и внутренний домен (yagroup.ru ) сервер стучится на кд, в итоге получаю Connection refused, status=deferred и висящее в очереди письмо.

И такое происходит именно потому, что почтарь стучится к dns'ам (которые ваши КД), те отдают ему сначала что-то в MX'е, потом резолвят это в свои собственные адреса, и почтарь идёт вручать им письма. Всё просто. Решайте вопрос с dns'ами.

[deminart@yandex.ru]

И такое происходит именно потому, что почтарь стучится к dns'ам (которые ваши КД), те отдают ему сначала что-то в MX'е, потом резолвят это в свои собственные адреса, и почтарь идёт вручать им письма. Всё просто. Решайте вопрос с dns'ами.

Так почему тогда подобного не происходит когда отправляю на любую другую почту? Ну т.е. почтарь в любом случае при отправке стучится в днс на кд, но на другую почту отправляет нормально...Да было бы просто не написал бы Мне не понятно что именно ему не хватает в днсах...
Cейчас у меня в зоне вторичного домена, стандартные записи (soa, сервера имён ns) ну и те что я ручками создавал, A-записи и MX, вот собственно и всё...
Каких ему ещё записи то нужны, в панели хостинга так же прописаны аналогичные записи, ну и + dkim, spf и пр.
Ещё момент, в локальном dns нужно две А-записи с именем почтовика, с внешним и внутренним ip или только с внутренним?

[Aliech]

Так почему тогда подобного не происходит когда отправляю на любую другую почту?

На любую другую почту В ДРУГОМ ДОМЕНЕ? (вопрос содержит ответ)

Ещё момент, в локальном dns нужно две А-записи с именем почтовика, с внешним и внутренним ip или только с внутренним?

Имею мнение, что просто надо заменить MX на корректный, который будет направлять почтарь сразу к серверам yandex'а.

Так, если у вас сейчас для домена yagroup.ru (с таким доменом почта к яндексу привзяана?) на dns'е, который обслуживает локальный домен yagroup.ru указан mx как "yagroup.ru. IN MX 10 mail.yagroup.ru", то, конечно же, вас ждёт провал, потому что следующим запросом, когда почтарь будет искать A-запись его местный dns'пошлёт на локальный mail (если есть в зоне). А вам надо почту доставить вовне.

Так может надо тогда изменить MX на dns'ах, обслуживающих локальный домен? Ну там сразу сделать его "yagroup.ru IN MX 10 mx.yandex.net"? И тогда сервер сразу пойдёт ТУДА почту доставлять для домена.

[deminart@yandex.ru]

В общем решил таким образом. 

nano /etc/postfix/transport_map
yagroup.ru smtp:[mx.yandex.ru]
postmap /etc/postfix/transport_map
systemctl restart postfix