onesystems/mailrelay Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务
onesystems/mailrelayonesystems
基于Postfix的轻量级SMTP中继Docker镜像,支持TLS/SASL认证、强制发件人重写,提供清晰日志和内置交付失败告警,可选Zammad工单集成,确保安全可靠的邮件中继。
下载次数: 0状态:社区镜像维护者:onesystems仓库类型:镜像最近更新:2 个月前
Postfix SMTP Relay Docker镜像
镜像概述和主要用途
本镜像提供一个轻量级、现代化且可调试的基于Postfix的SMTP中继,打包为Docker容器。它设计作为可靠的基础设施组件,通过TLS和SASL认证将内部系统邮件中继到上游SMTP服务器。镜像专注于正确性、清晰的日志记录(通过docker logs)、可预测的发件人处理及零开放中继风险,还包含内置的交付失败和身份问题告警,并可选集成Zammad创建工单而非发送告警邮件。
核心功能和特性
- 基于Postfix的SMTP中继(无***存储功能)
- 通过TLS加密中继至上游SMTP(端口587)
- 通过Docker secrets实现SASL认证
- 强制发件人重写(防止上游服务器拒绝)
- 完整清晰的邮件日志(可通过
docker logs查看) - 安全默认配置(无开放中继风险)
- 针对交付失败和身份问题的告警功能
- 可选Zammad工单创建集成
- 专为内部基础设施使用设计
使用场景和适用范围
适用于需要将内部系统(如应用服务器、监控工具、自动化脚本等)产生的邮件可靠中继至外部SMTP服务的场景。特别适合企业内部环境,需确保邮件安全传递、避免因发件人不匹配导致的上游拒绝,并需要对邮件交付状态进行监控和告警的场景。
使用方法和配置说明
Docker Compose配置示例
yamlversion: "3.9" services: mailrelay: build: . container_name: mailrelay restart: unless-stopped ports: - "25:25" # 仅在可信/内部网络暴露 environment: HOSTNAME_FQDN: "mailrelay.example.local" # 固定发件人处理 DEFAULT_FROM: "user@example.local" FORCE_DEFAULT_FROM: "1" # 中继目标 RELAY_HOST: "smtp.example.local" RELAY_PORT: "587" RELAY_TLS: "required" # 允许的客户端网络 MYNETWORKS: "127.0.0.0/8,10.0.0.0/8,192.168.0.0/16" # SASL认证 RELAY_SASL_USER: "loginuser@example.local" RELAY_SASL_PASS_FILE: "/run/secrets/relay_sasl_pass" # 告警配置 ALERT_ENABLED: "1" ALERT_MATCH: "invalid_user,sendas_denied,postfix_bounced,postfix_deferred" # Zammad集成 ALERT_ZAMMAD_ENABLED: "1" ZAMMAD_BASE_URL: "https://zammad.example.com" ZAMMAD_TOKEN_FILE: "/run/secrets/zammad_token" ZAMMAD_GROUP: "Support" ZAMMAD_STATE: "new" ZAMMAD_PRIORITY_ID: "2" # 1=低, 2=正常, 3=高 ZAMMAD_CUSTOMER_EMAIL: "mailrelay@example.local" ZAMMAD_TAGS: "mailrelay,postfix,alert" # 调试模式 DEBUG: "1" secrets: - relay_sasl_pass - zammad_token volumes: - postfix_spool:/var/spool/postfix - postfix_state:/var/lib/postfix - /etc/ssl/certs:/etc/ssl/certs:ro secrets: relay_sasl_pass: file: ./secrets/relay_sasl_pass.txt zammad_token: file: ./secrets/zammad_token.txt volumes: postfix_spool: postfix_state:
环境变量说明
| 环境变量 | 描述 |
|---|---|
HOSTNAME_FQDN | 容器的完全限定域名 |
DEFAULT_FROM | 默认发件人地址,用于重写本地发件人 |
FORCE_DEFAULT_FROM | 是否强制使用默认发件人(1=启用,0=禁用) |
RELAY_HOST | 上游SMTP服务器地址 |
RELAY_PORT | 上游SMTP服务器端口(通常为587) |
RELAY_TLS | TLS要求("required"表示强制TLS) |
MYNETWORKS | 允许连接的客户端网络(CIDR格式,逗号分隔) |
RELAY_SASL_USER | 上游SMTP服务器的SASL认证用户名 |
RELAY_SASL_PASS_FILE | 存储SASL密码的secret文件路径 |
ALERT_ENABLED | 是否启用告警(1=启用,0=禁用) |
ALERT_MATCH | 触发告警的错误类型(逗号分隔) |
ALERT_ZAMMAD_ENABLED | 是否启用Zammad工单集成(1=启用,0=禁用) |
ZAMMAD_BASE_URL | Zammad实例的基础URL |
ZAMMAD_TOKEN_FILE | 存储Zammad API令牌的secret文件路径 |
ZAMMAD_GROUP | 创建工单的Zammad组 |
ZAMMAD_STATE | 工单初始状态 |
ZAMMAD_PRIORITY_ID | 工单优先级ID(1=低,2=正常,3=高) |
ZAMMAD_CUSTOMER_EMAIL | 工单创建者*** |
ZAMMAD_TAGS | 工单标签(逗号分隔) |
DEBUG | 是否启用调试模式(1=启用,0=禁用) |
Secrets配置
relay_sasl_pass.txt
该secret文件仅包含密码(不含用户名):
textsuper-secret-password
用户名通过RELAY_SASL_USER配置。
zammad_token.txt
包含具有创建工单权限的Zammad API令牌:
textzammad-api-token-here
发件人处理(重要)
许多SMTP中继会拒绝发件人与认证用户不匹配的邮件。本镜像通过以下机制避免此问题:
- 若设置
DEFAULT_FROM→ 本地发件人将被重写为此地址 - 未设置则回退使用
RELAY_SASL_USER
这可避免类似以下错误:
553 5.7.1 Sender address rejected: not owned by user
发件人重写仅适用于本地/基础设施发件人(如root、daemon、基于主机的发件人)。
告警与监控
容器持续监控Postfix日志,对可操作失败触发告警,包括:
invalid_user- 上游***或身份不存在sendas_denied- 发件人不允许使用此地址发送postfix_bounced- 交付永久失败postfix_deferred- 交付暂时失败
告警检测基于正则表达式,直接作用于Postfix日志流。
告警流程
- Postfix将失败写入日志
- 内部监控程序匹配错误
- 提取上下文(队列ID、发件人、收件人、原因)
- 创建Zammad工单,包含完整诊断详情
告警会限流以避免重复失败时的告警泛滥。
Zammad工单详情
每个告警创建的内部Zammad工单包含:
- 失败类型(如
postfix_bounced、ErrorInvalidUser) - 受影响的发件人和收件人(尽可能)
- 队列ID
- Postfix完整错误原因
- 近期日志上下文
- 常见身份问题的修复提示
这使中继适合生产环境使用,避免邮件无声丢失。
测试中继
使用swaks(推荐)
bashdocker exec -it mailrelay swaks \ --to admin@example.com \ --from test@example.com \ --server 127.0.0.1 \ --port 25 \ --header "Subject: Relay test" \ --data "Hello from mailrelay"
使用sendmail
bashdocker exec -i mailrelay sendmail admin@example.com <<EOF From: test@example.com To: admin@example.com Subject: Relay test Hello from mailrelay EOF
⚠️ 除非需要接收交付状态通知,否则不要使用sendmail -v。
日志
所有Postfix日志写入文件并流式输出到stdout:
bashdocker logs -f mailrelay
这使得仅通过Docker日志即可审计交付和告警情况。
安全注意事项
- 本容器不是公共邮件服务器
- 绝不要将25端口暴露到互联网
- 始终限制
MYNETWORKS配置 - 不存储***;仅作为纯中继使用
onesystems/dockerbackup
onesystems
基于Alpine的轻量级容器,用于定时备份目录和数据库(PostgreSQL/MariaDB/MySQL),支持保留策略、清理旧备份及Nextcloud Talk Bot/邮件通知。
5万+ 次下载
5 个月前更新
onesystems/semaphore
onesystems
从semaphoreui/semaphore派生的Docker镜像,已预装WinRM,支持通过Ansible UI管理Windows主机的远程任务调度与自动化操作。
1万+ 次下载
1 个月前更新
onesystems/bookstackbackup
onesystems
为BookStack提供轻量级容器化备份解决方案,支持PDF导出、定时备份、旧备份清理,以及可选的Nextcloud WebDAV上传和多渠道错误通知(邮件、Nextcloud Talk)。
1万+ 次下载
8 个月前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"