Virtuelle User und postfix-konf - Zusammenhänge noch nicht klar

[jahlives]

hat denn die DS resp der Postfix einen DNS Server zur Verfügung? Die Meldung mit dem Hostname deutet für mich Richtung DNS Problem.
freenet hat dir eigentlich sehr genau gesagt, warum die Mail abgelehnt wurde. Da scheint was mit dem DNS PTR für deine IP ned zu stimmen. Solche Einträge sind dafür da, dass man eine IP Adresse zu einem Hostnamen zurück auflösen kann (Reverse DNS). Im Web gibt es Seiten die den DNS prüfen können. Speziell für Mailsachen z.B. http://www.mxtoolbox.com/

 

[NASe]

Ich habe bei selfhost.de eine statische Domain vom Typ A. Diese Domain lässt sich auflösen und zeigt meine externe IP-Adresse.
Sowohl bei www.meinedomain.tld als auch nur meinedomain.tld. Dann habe ich eine Sub-Domain namens mail vom Typ MX10-Record angelegt und als Content meinedomain.tld (mein Host) angegeben.
Also lautet mein MX10-Record mail.meinedomain.tld. Bei MX-Tool kann ich auf meinedomain.tld einen DNS-Lookup machen und da wird meine externe IP aufgelöst.
Mache ich auf meinedomain.tld einen MX-Lookup dann erhalte ich "No Records found." Das ist mir unlogisch. Ich habe gerade noch mal alle Einstellungen geprüft.

 

[jahlives]

Es sollte nicht sein, dass der MX Lookup nichts zurückgibt. Allerdings hat dies nichts mit der Fehlermeldung von freenet zu tun. Denn die haben sie klar auf DNS PTR bezogen (http://de.wikipedia.org/wiki/PTR_Resource_Record). Irgendwas stimmt bei dir damit nicht und das ist "schlimmer" als der fehlende MX. Denn bei fehlenden MX versuchen Mailserver meist einfach den A-Record der Domain. Frag mal deinen ReverseDNS deiner externen fixen IP ab, irgendwas ist dort faul

 

[NASe]

Du hast recht, da stimmt was nicht. Unter http://www.check-tools.net/dns-check/ habe ich meine externe IP angegeben und als Name wird nicht meine Domain
zurückgegeben sondern meine externe IP. Meine Domain kann ich pingen und bekomme dann meine externe IP aufgelöst. DNS ist also i.O..
Das muss ich erst mal mit meinem Provider klären. Sicher wurde da vergessen eine Reverse-Lookup einzurichten bzw. nicht für nötig erachtet.

 

[jahlives]

Interessanterweise kann ich meine Domain pingen und bekomme dann meine externe IP aufgelöst. Ich komme ja auch über meine Domain auf meine DS rauf.

das wäre dann "Forward"-DNS, nicht dasselbe ;-) Es muss bei einem ReverseDNS nicht unbedingt deine Domain zurückkommen, das kann auch irgendetwas mit deinem Provider im Namen sein. Wenn aber dein Provider für dich angepasste Einträge machen kann, dann wäre es bei einem Mailserver sinnvoll wenn dieser ReverseDNS gleich wäre wie der HELO Name, den Postfix verwendet

 

[NASe]

Es kommt ja wie gesagt kein Name zurück. Also liegt da noch was im argen.

Ich habe mal bei selfhost.de in den FAQ's geschaut.

"Frage: Kann Selfhost einen Reverse Lookup auf meine IP Adresse setzen?

Antwort: Nein, das ist technisch nicht möglich. Zuständig für Reverse Lookups Ihrer IP-Adresse ist nur Ihr Provider, denn ihm gehört das IP-Netz, aus dem Ihre IP-Adresse stammt.
Nur er kann definieren, welcher Hostname im Reverse Lookup steht."

D.h. also ich muss bei meinem örtlichen Internetanbieter meine Domain zu meiner IP-Adresse eintragen lassen. Dann würde sich in der main.cf auch folgendes ändern da sich unter $myhostname ja meine lokale Domain
verbirgt. In meinem Fall mail.meinedomain.tld.

#smtpd_banner = $myhostname
smtpd_banner = meinedomain.tld
#smtp_helo_name = $myhostname
smtp_helo_name = meinedomain.tld

Ich werd morgen mal meinen Internetanbieter dazu anschreiben. Merkwürdig finde ich nur das Mails bei gmx ankommen. Scheinbar prüft gmx den PTR nicht ab.

 

[jahlives]

der HELO Name vom Postfix müsste in deinem Fall imho eher mail.deinedomain.tld sein.

 

[NASe]

Nur um Missverständnisse zu vermeiden.
Mein MX10-Record lautet: mail.meineDomain.tld mit Content auf meineDomain.tld
Meine lokale Domain resp $myhostname lautet: mail.meineDomain.tld
Es bleibt also doch so das im HELO des postfix mein MX-Record bzw. der Name meiner lokalen Domain steht. Ein einfaches Ja oder Nein reicht. ;-)
Dann gebe ich das morgen an meinen Provider weiter und lasse das ergänzen.

 

[jahlives]

mail.meinedomain.tld als HELO und als ReverseDNS wäre ideal für den Mailserver. So würde ich es au jeden Fall bei mir machen

 

[NASe]

Kurzes Update: Der ReverseDNS-Eintrag wird gemacht und sollte morgen aktiv sein.
Er wird folgendermaßen lauten: mail.meinedomain.tld

 

[jahlives]

Noch kurz warum es so gut ist: Das Ganze spielt v.a. beim Versand von Mails eine Rolle. Dein Postfix baut eine Verbindung zu einem entfernten Server auf und meldet sich mit dem HELO_NAME. Der empfangende Server macht einen ReverseDNS Lookup auf deine IP und erhält den gleichen Wert zurück wie dein Postfix im HELO genannt hat. Und das mögen Mailserver sehr, weil es dafür spricht, dass du (resp dein Server) wirklich derjenige bist für den du dich ausgibst.
Zudem gibt es noch einen anderen Apsekt: Viele empfangende Mailserver verweigern Mails, die ihnen direkt von einem Client mit dyn IP geschickt wurden. Um festzustellen ob ein Client dyn IP hat gibt es einerseits Listen welche die dynamischen IP Blöcke weltweit auflisten. Da diese Listen nicht immer "perfekt" sind, haben viele Mailserver Filter, die den ReverseDNS Namen zu einer IP auswerten. Und wenn dieser Name dann dynamisch ausschaut, wird die Mail verweigert. Für dyn IP sprechen Bestandteile der IP im ReverseDNS-Namen oder die massige Verwendung von '-' im ReverseDNS.

Btw: Dein Problem, dass du via Webmail ned an deinen Postfix senden konntest ist aber noch nicht gelöst, oder? ;-)

 

[NASe]

Nabend,

ich habe mal bis heute gewartet aber irgendwie ist mein ReverseDNS noch nicht aktuell. Bisher wird meine IP bei einem ReverseLookup nicht in den eingetragenen Namen umgewandelt.
Trotzdem habe ich heut mal einen MX-Lookup gemacht:


450 4.7.1 Client host rejected: cannot find your hostname, [64.20.227.133]
Reverse DNS FAILED! This is a problem.

Does not support TLS.
0 seconds - Good on Connection time
Not an open relay.
8.471 seconds - Not good! on Transaction time


Session Transcript:
EHLO please-read-policy.mxtoolbox.com
503 5.7.0 Error: access denied for unknown[64.20.227.133] [2168 ms]
MAIL FROM: <supertool@mxtoolbox.com>
503 5.7.0 Error: access denied for unknown[64.20.227.133] [2168 ms]
RCPT TO: <test@example.com>
421 4.7.0 mail.meine-domain.tld Error: too many errors [2012 ms]

Nein, das Problem das ich nicht über meinen WebClient senden kann ist noch nicht gelöst.
Deine vorgeschlagenen Änderungen in der master.cf habe ich gemacht aber trotzdem bekomm ich den SMTP-Fehler -1.
Der ReverseDNS-Fehler verursacht sicher auch das Problem das ich außerhalb meines LAN keine Mail über einen Mailclient wie TB oder mein iPhone senden kann.
Denn ich werde auch immer als "unknown hostname" abgelehnt.

Da ich in der Richtung also noch nicht weiter gekommen bis habe ich erst mal mit "getmail" weitergemacht. Da bin ich der Wiki-Anleitung gefolgt und habe auch deinen Beitrag in Bezug auf
"getmail" und "virtuelle Benutzer" gefunden http://www.synology-forum.de/showthread.html?7737-getmail-und-virtuelle-Emailbenutzer&
Im Moment doktere ich an der dieser Fehlermeldung rum:

Delivery error (command sendmail 6380 error (127, exec of command sendmail failed (refuse to invoke external commands as root or GID 0 by default)))

Die kommt für jede Mail die von meinem externen Account abgerufen wird. Warum kann nicht mal einfach was nach Anleitung klappen... ;-)

 

[jahlives]

450 4.7.1 Client host rejected: cannot find your hostname, [64.20.227.133]
Reverse DNS FAILED! This is a problem.

ist obige Ausgabe die Fehlermeldung deiner DS? Ganz sicher? Ich glaub langsam dein DNS im LAN stimmt irgendwie ned. Was hat denn die DS als DNS Server eingetragen? Wenn es die IP des Routers ist, dann probier direkt einen anderen Server z.B. 8.8.8.8 (Google DNS Server) und verwende mal diesen.

Nein, das Problem das ich nicht über meinen WebClient senden kann ist noch nicht gelöst.
Deine vorgeschlagenen Änderungen in der master.cf habe ich gemacht aber trotzdem bekomm ich den SMTP-Fehler -1.
Der ReverseDNS-Fehler verursacht sicher auch das Problem das ich außerhalb meines LAN keine Mail über einen Mailclient wie TB oder mein iPhone senden kann.
Denn ich werde auch immer als "unknown hostname" abgelehnt.

probier mal obiges und gib der DS explizit einen externen Server als DNS Server.

Delivery error (command sendmail 6380 error (127, exec of command sendmail failed (refuse to invoke external commands as root or GID 0 by default)))

Die kommt für jede Mail die von meinem externen Account abgerufen wird. Warum kann nicht mal einfach was nach Anleitung klappen... ;-)

tja ich sag jetzt nicht "ich habs ja gesagt" (vielleicht nicht dir, aber bestimmt schon x-mal im Forum): Man holt keine Mails als root ab und es hat sehr gute Gründe warum bestimmte Mailkomponenten streiken wenn sie unter root laufen. Dein getmail Script scheint als root zu laufen und damit wird versucht unter dieser Kennung sendmail zu involvieren. Und sendmail legt sich per default quer unter root zu laufen. Du musst den getmail Job unter dem User laufen lassen dem auch die Mailbox gehört (bei virtuellen Usern z.B. vmail)
Btw: Auch wenn es ginge die Mails als root abzuholen, dann könntest du sie niemals lesen. Denn die Mailfiles würden mit dem Eigentümer root und Gruppe root abgelegt und per default haben Mailfiles maximal Rechte für die Gruppe. Wenn du dich also am Webmail anmelden würdest, dann würdest du die Mails ned sehen, weil sie vmail ned lesen darf.

Probier bitte erst den Tipp mit dem DNS. Es gäbe schon noch die Möglichkeit die Prüfung des ReverseDNS im Postfix abzuschalten. Nach Möglichkeit solltest du die Prüfung ned deaktivieren. Drum probiers erst mit dem DNS

Gruss

tobi

 

[NASe]

Nabend,

die Fehlermeldung kommt vom MX-Tool bei einem SMTP-Test. Der MX-Lookup auf mail.mein-domain.tld ist erfolgreich. Der MX löst auf meine Domain auf. Beim anschließenden Klick auf SMTP-Test kommt dann diese Fehlermeldung.
Als DNS hatte ich standardmäßig die IP meines Routers eingetragen. Im Status-Fenster meines Routers (Linksys WR160N) sehe ich aber das DNS1 und DNS2 eine IP haben. Beide habe ich nacheinander als DNS auf der DS eingetragen
und anschließend einen MX-Lookup gemacht. Trotzdem kommt der Host-Fehler. Ich habe es auch mal mit der von Dir angegebenen IP 8.8.8.8 des Google-DNS Servers probiert. Selbes Ergebnis.
Ich muss noch mal bei meinem Anbieter nachfragen. Der ReverseDNS-Eintrag sollte eigentlich gemacht sein. Jedenfalls habe ich diese Info so vom Support erhalten.

getmail hat sich erledigt. Ich hatte dem User vmail noch keine Shell verpasst darum konnte ich mit dem das Shellscript nicht ausführen. Die Mails werden abgeholt und meinem virtuellen User zugeordnet. Da hab ich also alles richtig gemacht.

 

[jahlives]

getmail hat sich erledigt. Ich hatte dem User vmail noch keine Shell verpasst darum konnte ich mit dem das Shellscript nicht ausführen. Die Mails werden abgeholt und meinem virtuellen User zugeordnet. Da hab ich also alles richtig gemacht.

solange root nicht involviert wird, hast du alles korrekt gemacht
Kannst du denn wegen dem DNS mal folgendes probieren: Öffne das mail.log mittels tail -f /pfad/mail.log das hält dir das Log offen und wird dir in Echtzeit jede neue Logzeile anzeigen. Dann machst du nochmals den Test von aussen und guckst was für Meldungen in deinem Log dazugekommen sind v.a. warnings oder errors wären interessant

 

[NASe]

Hiho,

ich habe das Logging in Echtzeit mitlaufen lassen. Es ist so das die Anfrage von außen durch meinen SMTP mit dem Hinweis "unknown hostname" geblockt wird.

Mar  4 13:23:58 meineDS postfix/smtpd[3342]: warning: 64.20.227.133: address not listed for hostname recover.mxtoolbox.com
Mar  4 13:23:58 meineDS postfix/smtpd[3342]: connect from unknown[64.20.227.133]
Mar  4 13:23:59 meineDS postfix/smtpd[3342]: NOQUEUE: reject: CONNECT from unknown[64.20.227.133]: 450 4.7.1 Client host rejected: cannot find your hostname, [64.20.227.133]; proto=SMTP
Mar  4 13:24:05 meineDS postfix/smtpd[3342]: too many errors after CONNECT from unknown[64.20.227.133]
Mar  4 13:24:05 meineDS postfix/cleanup[3346]: 9E4C01BE002: message-id=<20120304122405.9E4C01BE002@mail.meine-domain.tld>
Mar  4 13:24:05 meineDS postfix/smtpd[3342]: disconnect from unknown[64.20.227.133]
Mar  4 13:24:05 meineDS postfix/qmgr[2824]: 9E4C01BE002: from=<double-bounce@mail.meine-domain.tld>, size=843, nrcpt=1 (queue active)
Mar  4 13:24:06 meineDS postfix/cleanup[3346]: 2ECD31BE003: message-id=<20120304122405.9E4C01BE002@mail.meine-domain.tld>
Mar  4 13:24:06 meineDS postfix/qmgr[2824]: 2ECD31BE003: from=<double-bounce@mail.meine-domain.tld>, size=993, nrcpt=1 (queue active)
Mar  4 13:24:06 meineDS postfix/local[3348]: 9E4C01BE002: to=<postmaster@mail.meine-domain.tld>, orig_to=<postmaster>, relay=local, delay=0.84, delays=0.56/0.19/0/0.08, dsn=2.0.0, status=sent (forwarded as 2ECD31BE003)
Mar  4 13:24:06 meineDS postfix/qmgr[2824]: 9E4C01BE002: removed
Mar  4 13:24:06 meineDS deliver(mein.name@meine-domain.tld): msgid=<20120304122405.9E4C01BE002@mail.meine-domain.tld>: saved mail to INBOX
Mar  4 13:24:06 meineDS postfix/pipe[3349]: 2ECD31BE003: to=<mein.name@meine-domain.tld>, orig_to=<postmaster>, relay=dovecot, delay=0.65, delays=0.03/0.18/0/0.44, dsn=2.0.0, status=sent (delivered via dovecot service)
Mar  4 13:24:06 meineDS postfix/qmgr[2824]: 2ECD31BE003: removed

Und diese Meldung kommt beim Postmaster an:

"Transcript of session follows.

Out: 450 4.7.1 Client host rejected: cannot find your hostname,
[64.20.227.133]
In: EHLO please-read-policy.mxtoolbox.com
Out: 503 5.7.0 Error: access denied for unknown[64.20.227.133]
In: MAIL FROM: <supertool@mxtoolbox.com>
Out: 503 5.7.0 Error: access denied for unknown[64.20.227.133]
Out: 421 4.7.0 mail.meine-domain.tld Error: too many errors

Session aborted, reason: too many errors"

 

[jahlives]

Was passiert denn wenn du auf der Konsole der DS mal

nslookup 64.20.227.133

machst?​

 

[NASe]

Das sieht eigentlich gut aus:

meineDS> nslookup 64.20.227.133
Server:    meineExterneDNS-IP
Address 1: meineExterneDNS-IP

Name:      64.20.227.133
Address 1: 64.20.227.133 recover.mxtoolbox.com

 

[jahlives]

eigentlich sollte bei Name: keine IP kommen. Kommt denn ein anderes Resultat wenn du den Server explizit angibst? z.B.

nslookup [LEFT][COLOR=#333333]64.20.227.133 8.8.8.8
[/COLOR][/LEFT]

ergibt bei mir
​

nslookup 64.20.227.133 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53
Non-authoritative answer:
133.227.20.64.in-addr.arpa      name = recover.mxtoolbox.com.

 

[NASe]

Bei mir steht bei "Name:" trotzdem eine IP.

meineDS> nslookup 64.20.227.133 8.8.8.8
Server:    8.8.8.8
Address 1: 8.8.8.8 google-public-dns-a.google.com

Name:      64.20.227.133
Address 1: 64.20.227.133 recover.mxtoolbox.com