Versand & Empfang: Error 550

[Chris122]

Liebe Synogemeinschaft!

Ich bitte um euren Rat, da ich mit folgendem Problem schon einige Tage kämpfe:


Fehler:

Der Empfang und der Versand von Mails ist mittels MailPlus 2.0 und eigener Domain nicht möglich.

Fehler beim Senden:

Reporting-MTA: dns; mail.himbeerstrauch.com
X-Postfix-Queue-ID: xxxxxxxxxx
X-Postfix-Sender: rfc822; admin@himbeerstrauch.com
Arrival-Date: Thu, 20 Jun 2019 22:23:03 +0200 (CEST)

Final-Recipient: rfc822; testempfaenger@hotmail.com
Original-Recipient: rfc822;testempfaenger@hotmail.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mail.gmx.net
Diagnostic-Code: smtp; 550-Requested action not taken: mailbox unavailable 550
    Sender address is not allowed.

Fehler an den Versender, beim Zustellversuch an admin[at]himbeerstrauch.com:

mwl01.world4you.com hat diesen Fehler ausgegeben:
Remote server returned not permitted to relay -> 550 relay not permitted

Diagnoseinformationen für Administratoren:

Generierender Server: DB5EUR01HT085.mail.protection.outlook.com
Empfangender Server: himbeerstrauch.com (123.45.678.900)

admin@himbeerstrauch.com
mwl01.world4you.com
6/20/2019 5:51:43 PM - Server at himbeerstrauch.com (123.45.678.900) returned '450 4.4.316 Connection refused [Message=Socket error code 10061] [LastAttemptedServerName=himbeerstrauch.com] [LastAttemptedIP=123.45.678.900:25] [DB5EUR01FT044.eop-EUR01.prod.protection.outlook.com](Socket error code 10061)'

Konfiguration:

Ich sitze hinter einem miesen privaten DSL-Anschluss, hab also eine dynamische IP.

IP: 123.45.678.900 (tagesaktuell, natürlich anonymisiert)
Domain: himbeerstrauch.com (nicht wirklich, also fürs Forum anonymisiert)
DynDNS: himbeerstrauch.ddns.net (anonymisiert)
Zertifikat: himbeerstrauch.com hat ein Wildcard-SSL-Zertifikat, welches auch auf der Syno liegt

Domain:
himbeerstrauch.com MX 5 himbeerstrauch.ddns.net
mail.himbeerstrauch.com CNAME himbeerstrauch.ddns.net


Eine DNS-Watch-Abfrage von himbeerstrauch.com liefert:
himbeerstrauch.com MX 3600 5 himbeerstrauch.ddns.net

Eine DNS-Watch-Abfrage von mail.himbeerstrauch.com liefert:
mail.himbeerstrauch.com CNAME 3600 himbeerstrauch.ddns.net

Eine DNS-Watch-Abfrage von himbeerstrauch.ddns.net liefert:
himbeerstrauch.ddns.net A 240 123.45.678.900
kein MX-Host gefunden

Eine MX-Lookup-Abfrage von himbeerstrauch.com liefert:
himbeerstrauch.ddns.net 5 123.45.678.900

Eine MX-Lookup-Abfrage von himbeerstrauch.ddns.net liefert:
mail.himbeerstrauch.com 5 123.45.678.900

Router:

Alle wesentlichen Ports sind freigegeben, insb. 25, 465 und 587.
Stutzig macht mich hier nur, dass der Portscan ausgerechnet Port 25 als "gefiltert" markiert.

Synology:

Alle Ports für MailPlus sind in der Firewall offen.

MailPlus-Server-Konfig (nur die wesentlichen Elemente):
- Domain ist eingetragen
- Hostname (FQDN): mail.himbeerstrauch.com
- als Relay-Host hab ich mal GMX eingetragen
- alle Mailprotokolle aktiv, insb. SMTP mit den Ports 25, 465, 587
- in den Sicherheitseinstellungen wurden bisher keine Maßnahmen getroffen (sollte zuerst mal ohne laufen)
- Aliase wurden keine vergeben, Benutzer ist in diesem Fall Mailkonto, daher nicht erforderlich


Ich denke, dass das Problem irgendwo in den DNS-/DynDNS-Einträgen liegt, da weder der Relay-Versand, noch der Empfang funktioniert und sowohl das Senden als auch das Empfangen zum selben Fehlercode führt.

Habt ihr eine Idee wo mein Konfig-Fehler liegt?

Danke schonmal und LG


Chris

 

[Fusion]

Mindestens mal sollte der MX von himbeerstrauch.com auf mail.himbeerstrauch.com lauten, wenn letzteres der FQDN ist den du auf dem Mailserver benutzt.

Zudem weiß ich nicht, ob GMX es erlaubt nicht-gmx Adressen als Absender über deren Server zu verwenden. Bin mir eigentlich sicher, dass dies nicht erlaubt ist.

 

[TeXniXo]

Zudem weiß ich nicht, ob GMX es erlaubt mit nicht-gmx Adressen als Absender über deren Server zu verwenden. Bin mir eigentlich sicher, dass dies nicht erlaubt ist.

Das ist (leider) tatsächlich so. Aber umgekehrt (GMX in GMAIL z.B) dagegen ohne Probleme. 4YI!

 

[Chris122]

Danke für eure Antworten!

Mindestens mal sollte der MX von himbeerstrauch.com auf mail.himbeerstrauch.com lauten

Neue Konfiguration der Domain:

himbeerstrauch.com MX mail.himbeerstrauch.com
mail.himbeerstrauch.com CNAME himbeerstrauch.ddns.net

Zudem weiß ich nicht, ob GMX es erlaubt nicht-gmx Adressen als Absender über deren Server zu verwenden.

Das ist (leider) tatsächlich so.

Neue Konfiguration des Relay-Hosts:

smtp.gmail.com
Port: 587
Konto: Gmail-Mailadresse & PW
TLS & Authentifizierung aktiviert


Das führt jetzt zu folgendem Problem:

Beim Versand von Mails über admin@himbeerstrauch.com passiert gar nichts. Die Mail wird nicht zugestellt, es kommt aber auch keine Mailer-Daemon-Nachricht zurück. Beim Versuch an admin@himbeerstrauch.com zuzustellen, bekomm ich: "Requested action not taken. Mailbox unavailable invalid DNS MX or A/AAAA resource record."

Ich kapiers nicht ganz, wo das Problem sein könnte ...

Habt ihr noch Ideen?

 

[Chris122]

Ein MX-Lookup auf himbeerstrauch.com zeigt nach wie vor richtig auf meine IP.

Ein SMTP-Test liefert:

Connecting to 123.45.678.900
6/23/2019 8:51:23 AM Connection attempt #1 - Unable to connect after 15 seconds. [15.02 sec]

LookupServer 15022ms

Nun gut, alles zeigt auf den richtige Anschluss wenn ich das so richtig sehe, nur die Verbindung dorthin klappt trotzdem nicht. Ich hab versuchsweise den Router kurz komplett für alle eingehenden Verbindungen geöffnet, auch das ändert nichts am Problem.

 

[Fusion]

Ja, mein Fehler.

Das ist kein guter Stil, da doppelte DNS Auflösungen erzwungen werden.

Entweder sollte mail.himbeerstrauch.de direkt eine dynDNS sein, oder du läßt es wie vorher dass der MX direkt auf himbeerstrauch.ddns.net zeigt. Das wäre beides RFC konform.
Wofür hast du nochmal einen extra mail.himbeerstrauch.com als CNAME auf himbeerstrauch.ddns.net angelegt? Damit du in den Clients mail.himbeerstrauch.com anstatt himbeerstrauch.ddns.net als email Server angeben kannst?

 

[Chris122]

Kein Problem!

Wofür hast du nochmal einen extra mail.himbeerstrauch.com als CNAME auf himbeerstrauch.ddns.net angelegt? Damit du in den Clients mail.himbeerstrauch.com anstatt himbeerstrauch.ddns.net als email Server angeben kannst?

Der CNAME mail.himbeerstrauch.com war ursprünglich angelegt, weil meine erste Konfiguration so aussah, wie du sie vorhin vorgeschlagen hattest:

himbeerstrauch.com --> MX --> mail.himbeerstrauch.com --> CNAME --> himbeerstrauch.ddns.net ---> IP

Ich ändere jetzt die Konfig jetzt wieder wie folgt:

himbeerstrauch.com --> MX --> himbeerstrauch.ddns.net --> IP

mail.himbeerstrauch.com hat jetzt keinen MX-Bezug mehr, das heißt mein FQDN müsste im Mailserver nun mit himbeerstrauch.com angegeben werden, richtig? Mal sehen was passiert ...

... Ergebnis:

Mails lassen sich versenden, kommen aber nicht an, Mails lassen sich an die Domain himbeerstrauch.com versenden, kommen aber nie an.

Der SMTP-Test liefert weiterhin "unable to connecting".

 

[Chris122]

Ich nutze den MailPlus Server übrigens auch zum Fetching von POP3-Konten von GMX und Gmail. Das funktioniert einwandfrei, auch mein IMAP-TLS-Anschluss funktioniert über mail.himbeerstrauch.com auf Port 993 in Thunderbird absolut einwandfrei.

Dadurch das IMAP-Protokoll über die subDNS mail.himbeerstrauch.com läuft erscheint es schon so, als wären die DNS-Einträge sauber.

Das Problem muss am SMTP-Protokoll liegen. Fraglich ist, warum ein SMTP-Test zu keinem Anschluss führt. Wie gesagt, Syno-Firewall ist offen für MailPlus-Ports, SMTP-Ports am Router sind auch offen.

 

[Fusion]

Dann holen wir mal die etwas unüblicheren Verdächtigen hervor.

Machst du die Tests mit mxtoolbox.com?
Manchmal liegt es auch nur an einem Timeout von 15s, dass der Test fehlschlägt.

Welchen Router/Anschluß hast du genau?
Manche Router, z.B. Telekom Speedports, haben eingebaute Filterlisten für email Server und blockieren alle "nicht vertrauenswürdigen" Verbindungen auf Port 25. White-Listen oder Feature direkt deaktivieren.

 

[Chris122]

Mich macht noch immer der Portscan stutzig, dass bei Port 25 das Ergebnis "gefiltert" kommt:

Alle ungenutzten und nicht freigegebenen Ports werden dort dunkelgrün als "gefiltert" angezeigt. Rot und mit Status "offen" werden alle freigegeben und von der Mail Station bedienten Ports angezeigt.

Das bedeutet also:
1) Port 25 ist einfach nicht frei (glaub ich nicht, ist ja am Router von 25 auf 25 weitergeleitet)
2) Port 25 wird von der Mailstation aufgrund Konfigurationsfehler nicht genutzt (welche könnten das sein, außer dass nicht Port 25 als SMTP-Port angegeben ist?)

 

[Chris122]

Ja, ich machs mit mxtoolbox.com. Habs eben mit https://dnschecker.org/mx-lookup.php versucht, auch da kommt es zum Timeout. Die ermittelten Verbindungsdaten die noch mit ausgegeben werden stimmen aber soweit.

Ach, mein Anschluss, das trau ich mich ja gar nicht erst schreiben ... es ist ein mieser Telekom Austria VDSL2-Anschluss, der Router ist der vom Anbieter mitgelieferte, ein ZTE H268N. Ein Jahr muss ich noch aussitzen damit ...

OK, ich schau mir das mal genauer an, ob ich derartiges im Router-Setup finde.

 

[Chris122]

OK, im Router-Setup ist nichts dergleichen zu finden.

Würde es Sinn machen, den SMTP-Port im MailPlus-Server von 25 auf einen anderen Port zu ändern?

 

[Fusion]

Nein, weil externe Mailserver immer auf Port 25 die eingehenden emails an deinen Mailserver anliefern.

Dann wäre noch die Frage zum Anschluß.
IPv4 only, Dual Stack IPv4/v6, DS-Lite (public IPv6 only) ?
Und welche IPs stehen hinter dem dynDNS?
Wobei das denke zumindest bei ausgehenden emails (Client im WLAN/LAN, MailPlus server, Auslieferung an Gmail Relay) keinen Einfluss haben sollte.

 

[Chris122]

IPv4 only.

Was meinst du mit, welche IP's hinter der DynDNS stehen? Genau eine, nämlich die aktuelle meines Anschlusses.

 

[Fusion]

Ja, das meinte ich. Hätte ja sein können, dass IPv4/IPv6 aktualisiert werden, aber nur eine davon zeigt wirklich auf die DS bzw ist erreichbar. Wäre ein Kandidat für einen Timeout.
Bei IPv4 only ist ja nichts weiter zu beachten, solange du auch andere Dienste von extern erreichen kannst. Dann hast du eine öffentlich erreichbare IPv4.

 

[Chris122]

Yep, alle anderen (Syno-)Dienste sind von außen erreichbar.

Jetzt wirds aber spannend. Ich hab als zweite Domain mal localhost.local angelegt und zu meinem Benutzerkonto zusätzlich den Alias "webmaster" angelegt.

Wenn ich jetzt von Benutzer@localhost.local an webmaster@localhost.local eine Mail sende, kommt diese nicht an also eine Mail von mir an mich selbst kommt IM LAN nicht an??? WTFHell

Lt. Protokoll sollte webmaster diese interne Mail auch empfangen haben ... aber sie ist nicht in meinem Benutzerpostfach eingetroffen ... oder check da etwas bzgl. der Alias-Einstellungen nicht?

 

[Chris122]

So, ich glaub ich hab des Rätsels Lösung und will sie natürlich mit euch teilen, vielleicht hat ja noch ein armer Telekom Austria User das gleiche Problem:

Scheinbar ist es so, dass A1 (Telekom Austria, der ISP) standardmäßig einige wesentliche Ports sperrt. Da kann man dann natürlich am Router freigeben was man möchte, wenn der große ISP dahinter nein sagt, dann läuft halt nix ... das erklärt auch, warum die SMTP-Checks keine Verbindung zum MailPlus-Server herstellen konnten und der Portscan trotz offener Konfiguration den Status "gefiltert" ausgibt. Die Ports 110, 143, 465 und 995 sind übrigens auch dicht.

Warum ist das so? In den Leistungsbeschreibungen zu Privatanschlüssen ist der Betrieb von Web-, Mail-, etc. Servern untersagt, was durch die Blockierung der jeweils benötigten Ports vom ISP entsprechend exekutiert wird. Bei Business-Anschlüssen ist diese Untersagung routinemäßig nicht in den Vertragswerken enthalten, die Ports sind soweit ich das verstanden hab aber trotzdem dicht, wobei man sie auf Anfrage öffnen lassen kann.

In der Leistungsbeschreibung zu meinem (Privat-)Vertrag ist das Server-Betriebsverbot nicht enthalten. Ich versuche die MailPlus-Ports alle frei zu bekommen und halte euch am Laufenden!

Danke für die Hilfe bis hierher!

@Fusion: die Logs liegen übrigens in /volumeX/@maillog (für den MailPlus-Server gibts 2 Logdatein im Verzeichnis)

 

[Fusion]

Ärgerlich, danke für die Rückmeldung.

Nicht erlaubt ist das glaube ich bei den meisten Providern per AGB. Nur tolerieren es wohl viele noch ohne es aktiv zu sperren. Vermute weil die Privatleute die Mail-Server laufen haben nicht gerade viele sind und es noch nicht zu massiven Problemen kam. *Finger gekreuzt*
Ergänzung: bzw der kommerzielle Betrieb von Servern auf Business und statische IP beschränkt (Unitymedia). Wobei man vermutlich wieder streiten kann, ab wann es kommerziell ist.