>[оверквотинг удален]
>суть в чём, когда запрос приходит на внешний ИП, то подставляетс адрес
>назначения, а адрес отправителя не меняется и твой почтовик видит адрес
>клиента локальной сети и пытается отправить ответ прямо в локалку вместо
>того, чтоб отправить его на шлюз по умолчанию
>в результате пакет не проходит обратного действия ДНАТа
>
>на шлюзе для запросов из локалки по почтовым портам нуна делать SHAT
>тогда пакеты пойдут куда надо, но здесь есть другие грабли, в
>логах почтовика все обращения из локалки будут выглядет как от одного
>клиента, а именно с того ИП который подставишь в SHATе Я еще раз спрошу
А не поэтому ли он лезет в DNS?
relayhost = $mydomain
mydomain = xxxx.ru (внешний домен)
А далее начинается поиск MX для xxxx.ru (внешний домен)
И естественно попадает на внешний ip маршрутизатора
Зачем это нужно, лишнее кольцо на себя, я бы понял если бы на внешнем ip висел еще один MTA, другой, а здесь идет возврат через DNAT
Локальная почта при нормальной настройке должна сразу оседать на машине, и никуда не лезть, тем более на внешние ip
Если вот это посмотреть
Метод доставки: прямой или не прямой
По умолчанию, Postfix пытается посылать почту в Internet напрямую. В зависимости от окружения, в котором функционирует Ваш почтовый сервер, это может быть невозможно или нежелательно. Например, Ваша машина может быть отключена от Internet-а в нерабочее время, она может быть закрыта файрволлом, Ваш провайдер может запрещать пересылку почты в Internet напрямую. В таких случаях Вам необходимо настроить Postfix на пересылку писем через другой почтовый сервер (relay host).
Примеры (укажите только один вариант из следующих):
/etc/postfix/main.cf:
relayhost = (по умолчанию: посылать в Internet напрямую)
relayhost = mydomain (пересылать через локальный почтовый сервер)
relayhost = mydomain (пересылать через локальный почтовый сервер)
relayhost = [mail.isp.tld] (пересылать через почтовый сервер провайдера)
А если сделать так
relayhost = (по умолчанию: посылать в Internet напрямую)
У вас может почтовик сразу наружу выбрасывать по 25 порту?
relayhost это хост на котором стоит другой MTA и разрешен релей для вашего домена (подсети)через него, тут как правило имеет смысл указывать релей провайдера, если не можете швырять напрямую почту (фильтруется 25 порт)