如何在Debian上配置邮件转发

在 Debian 上配置邮件转发的实用做法

一 方案总览与选择

• 本地用户级转发：为本机用户配置 ~/.forward，由 Postfix 投递时自动转发到指定地址，适合个人或多用户服务器。
• 系统级域转发：为整个域配置 虚拟别名域（virtual_alias_domains / virtual_alias_maps），将某域的所有收件人映射到目标邮箱，适合团队或整域托管。
• 出站中继转发：将本机作为中继，把邮件转发到上游 SMTP（relayhost），适合无公网发信条件或统一由外部网关发信的场景。

二 前置准备

• 安装 Postfix
  • 执行：sudo apt update && sudo apt install postfix
  • 安装向导中选择 Internet Site（或保持默认），并设置 系统邮件名（如：example.com）。
• 基本安全与网络
  • 建议仅监听必要接口：inet_interfaces = loopback-only（仅本地投递/转发）或 inet_interfaces = all（放行外部需配合防火墙与访问控制）。
  • 明确本地域：mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
  • 可信网络：mynetworks = 127.0.0.0/8 [::1]/128（按需扩展，避免开放为开放中继）。
  • 邮箱投递格式：home_mailbox = Maildir/（或保持系统默认 mbox）。
• 说明
  • 本机需能解析 MX 记录；若需对外发信，确保上游 SMTP 可达且允许你的源 IP 或提供认证凭据。

三 方法一 本地用户级转发（~/.forward）

• 编辑用户家目录的转发文件
  • nano ~/.forward
  • 写入目标地址（每行一个）：
    • 直接转发：user@example.com
    • 同时保留本地副本并转发：\localuser, user@example.com
• 设置权限（Postfix 要求严格权限）
  • chmod 600 ~/.forward
  • chown localuser:localuser ~/.forward
• 使配置生效
  • 若 Postfix 已运行：sudo systemctl reload postfix
• 测试
  • echo "test local forward" | mail -s "test" localuser@$(hostname -d)
  • 检查目标邮箱是否收到，或查看日志：sudo tail -n 50 /var/log/mail.log

四 方法二 系统级域转发（虚拟别名域）

• 编辑 Postfix 配置
  • sudo nano /etc/postfix/main.cf
  • 启用虚拟别名域与映射：
    • virtual_alias_domains = example.org
    • virtual_alias_maps = hash:/etc/postfix/virtual
• 创建映射文件
  • sudo nano /etc/postfix/virtual
  • 写入转发规则（支持通配）：
    • @example.org user@example.com # 整域转发
    • sales@example.org sales-team@example.com
    • info@example.org user1@example.com, user2@example.com
• 生成哈希数据库并应用
  • sudo postmap /etc/postfix/virtual
  • sudo systemctl reload postfix
• 说明
  • 该方式不要求本地存在对应的系统用户，适合将某域的邮件统一转发到一组外部邮箱。

五 方法三 出站中继转发（通过上游 SMTP）

• 编辑 Postfix 配置
  • sudo nano /etc/postfix/main.cf
  • 指定上游中继与发信域：
    • relayhost = [smtp.gmail.com]:587
    • smtp_sasl_auth_enable = yes
    • smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
    • smtp_sasl_security_options = noanonymous
    • smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
    • smtp_use_tls = yes
• 配置认证凭据
  • sudo nano /etc/postfix/sasl_passwd
  • 写入：[smtp.gmail.com]:587 your_username:your_app_password
  • 生成数据库并设置权限：
    • sudo postmap /etc/postfix/sasl_passwd
    • sudo chmod 600 /etc/postfix/sasl_passwd /etc/postfix/sasl_passwd.db
• 使配置生效
  • sudo systemctl reload postfix
• 测试
  • echo "test relay" | mail -s "relay test" external@example.com
• 安全提示
  • 仅对受控来源开放中继，谨慎设置 mynetworks；使用应用专用密码或 OAuth2 凭据，避免明文口令长期留存。

六 常见问题与排查

• 日志与实时跟踪
  • 查看队列与日志：sudo tail -f /var/log/mail.log，必要时 postqueue -p 检查滞留队列。
• 权限与路径
  • ~/.forward 必须为 600 且仅属相应用户；使用 virtual_alias_maps 时确保数据库已 postmap 并 reload。
• 中继被拒
  • 若对外发信被拒，确认上游 SMTP 允许你的 IP/网段 或凭据正确；检查 mynetworks 是否过宽或过窄。
• 域名与解析
  • 确认 MX 记录指向你的服务器（本地转发不需要公网 MX）；使用 dig MX example.com +short 验证。
• 安全加固
  • 避免成为开放中继：仅放行必要来源（mynetworks），对外发信优先走 TLS 与认证中继。