Virtuelle User und postfix-konf - Zusammenhänge noch nicht klar

[jahlives]

okay sehr komisch. Wahrscheinlich habe ich eine andere nslookup Version. Ich werf mal meine DS mit Firmware an und gucke wie der nslookup dort ausschaut. Weil ich habe immer noch das Gefühl dass dein Postfix Stress mit dem DNS hat. Kannst du in der Zwischenzeit mal noch schauen ob dein Router eventuell eine Funktion hat, die alle DNS Requests abfängt und selber als DNS Server beantwortet? Das kann je nach Router unterschiedlich heissen und muss es auch nicht unbedingt geben. Dürfte was mit DNS-Relay oder so heissen

 

[jahlives]

okay beim nslookup der Firmware schaut die Antwort gleich aus wie bei dir. Trotzdem scheint dein Postfix den Namen irgendwie nicht aufgelöst zu bekommen. Postfix sollte eigentlich der Reihe nach die Server in /etc/resolv.conf abfragen für DNS. Was hast du denn in deiner main.cf bei den smtpd_*_restrictions gesetzt? * kann z.B. sender oder recipient oder helo sein

 

[NASe]

Also eine Einstellung in dieser Richtung habe ich nicht gefunden. Der Router steht aktuell auf "NAT". Ich könnte nur mal probieren den Router auf dynamisches Routing umzustellen. Das würde aber nur bewirken das der Router
Routingtabellen mit anderen Routern im LAN austauschen würde.

 

[jahlives]

NAT sollte eigentlich nicht das Problem sein, habe ich bei mir ja auch. Kannst du denn mal die main.cf nach diesen restrictions absuchen? Dann könnten wir mal schauen ob wir testweise den DNS-Lookup deaktivieren könnten

 

[NASe]

Hier noch mal die aktuellen main.cf-restrictions

smtpd_client_restrictions = check_client_access regexp:/usr/syno/mailstation/etc/check_client, permit_mynetworks,
                            reject_unknown_client,
                            reject_rbl_client,
                            reject_rhsbl_client
smtpd_helo_restrictions = check_helo_access regexp:/usr/syno/mailstation/etc/check_helo,
                          permit_mynetworks, reject_unknown_hostname, reject_invalid_hostname,
                          reject_non_fqdn_hostname
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender, reject_rhsbl_sender,
                            reject_sender_login_mismatch, warn_if_reject,
                            check_sender_access regexp:/usr/syno/mailstation/etc/sendermaps,
                            permit_mynetworks
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,
                               reject_rbl_client pbl.spamhaus.org, reject_unauth_destination

 

[jahlives]

hast du bei der client-restrictions in deinem regexp File irgendwas was den Zugriff verhindert? z.B. ein regulärer Ausdruck, der zuviel matched?

 

[NASe]

In den Dateien habe ich folgendes stehen:

check_helo

/^.*mymainserver.com$/  REJECT  You're not allowed to connect to this System!

check_client

/^.213\.76\.24\.12$/    REJECT  You're not allowed to connect to this System!

body_check

/.*(<a.*href=|http:\/\/|mailto:).*(\.cn|\.sg|\.tw).*/ REJECT Found forbidden TLD in a link in body of this email!

mime_check

/name=[^>]*\.(lnk|asd|hlp|ocx|reg|bat|c[ho]m|cmd|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh]|wmf)/ REJECT A part of this email contains a MIME type which is not allowed on this server

In "sendermaps" steht noch nichts drin. Bei den Einträgen habe ich mich nur ans Wiki gehalten. Eigene Einträge habe ich noch nicht weiter gemacht.

 

[jahlives]

mh schaut soweit eigentlich gut aus, obwohl der erste . beim check_client imho nicht nötig ist. Dann hättest du aber andere Fehlermeldungen wenn es check_client wäre. Probier mal bei den Client restirctions diese drei Zeilen auszukommentieren

reject_unknown_client,
reject_rbl_client,
reject_rhsbl_client

​

 

[NASe]

Ich habe die 3 Einträge auskommentiert und die Konf neu eingelesen.
Dann habe ich per tail -f das Logging anzeigen lassen und noch mal einen MX-Lookup gemacht.

Meldung vom SMTP-Test:

"220 mail.meine-domain.tld
Reverse DNS FAILED! This is a problem.

Supports TLS.
0 seconds - Good on Connection time
Not an open relay.
4.945 seconds - Good on Transaction time"

Das sieht schon mal vielversprechend aus. Ganz im Gegensatz zum Logging.

Mar  4 17:18:37 meineDS postfix/smtpd[3673]: warning: 64.20.227.133: address not listed for hostname recover.mxtoolbox.com
Mar  4 17:18:37 meineDS postfix/smtpd[3673]: connect from unknown[64.20.227.133]
Mar  4 17:18:38 meineDS postfix/smtpd[3673]: NOQUEUE: reject: RCPT from unknown[64.20.227.133]: 554 5.7.1 <test@example.com>: Relay access denied; from=<supertool@mxtoolbox.com> to=<test@example.com> proto=ESMTP helo=<please-read-policy.mxtoolbox.com>
Mar  4 17:18:41 meineDS postfix/cleanup[3678]: 3EE1A1BE002: message-id=<20120304161841.3EE1A1BE002@mail.meine-domain.tld>
Mar  4 17:18:41 meineDS postfix/qmgr[3671]: 3EE1A1BE002: from=<double-bounce@mail.meine-domain.tld>, size=953, nrcpt=1 (queue active)
Mar  4 17:18:41 meineDS postfix/smtpd[3673]: disconnect from unknown[64.20.227.133]
Mar  4 17:18:41 meineDS postfix/cleanup[3678]: 7F3A31BE003: message-id=<20120304161841.3EE1A1BE002@mail.meine-domain.tld>
Mar  4 17:18:41 meineDS postfix/qmgr[3671]: 7F3A31BE003: from=<double-bounce@mail.meine-domain.tld>, size=1103, nrcpt=1 (queue active)
Mar  4 17:18:41 meineDS postfix/local[3679]: 3EE1A1BE002: to=<postmaster@mail.meine-domain.tld>, orig_to=<postmaster>, relay=local, delay=0.45, delays=0.17/0.23/0/0.05, dsn=2.0.0, status=sent (forwarded as 7F3A31BE003)
Mar  4 17:18:41 meineDS postfix/qmgr[3671]: 3EE1A1BE002: removed
Mar  4 17:18:41 meineDS deliver(mein.name@meine-domain.tld): msgid=<20120304161841.3EE1A1BE002@mail.meine-domain.tld>: saved mail to INBOX
Mar  4 17:18:41 meineDS postfix/pipe[3680]: 7F3A31BE003: to=<mein.name@meine-domain.tld>, orig_to=<postmaster>, relay=dovecot, delay=0.22, delays=0.02/0.15/0/0.06, dsn=2.0.0, status=sent (delivered via dovecot service)
Mar  4 17:18:41 meineDS postfix/qmgr[3671]: 7F3A31BE003: removed

Und das ist die Mail die mein Postmaster bekommen hat:

"Transcript of session follows.

Out: 220 mail.meine-domain.tld
In: EHLO please-read-policy.mxtoolbox.com
Out: 250-mail.meine-domain.tld
Out: 250-PIPELINING
Out: 250-SIZE 10485760
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN LOGIN
Out: 250-AUTH=PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM: <supertool@mxtoolbox.com>
Out: 250 2.1.0 Ok
In: RCPT TO: <test@example.com>
Out: 554 5.7.1 <test@example.com>: Relay access denied
In: QUIT
Out: 221 2.0.0 Bye"

 

[jahlives]

doch das Log schaut ja eigentlich auch gut aus. Denn zum Test hat dir mxtoolbox eine Mail schicken wollen, die nicht für deine DS selber ist (relay). Und diese Msg wurde verweigert und es wurde eine Notification an deinen postmaster erstellt. Allerdings meint auch mxtoolbox dass was mit deinem ReverseDNS immer noch ned stimmt. Mach denselben Test mal indem du von einem deiner externen Accounts (via Webmail) eine Testmail an deine DS schickst und schau wiederum ins Log. Dann sollte die Mail durchgehen, weil sie ja für deine DS ist

 

[NASe]

Wie kommt es das diese Einträge so einen Fehler verursachen? Die Mail vom gmx-Webclient ist auf meinem Mailserver angekommen.
Ebenso konnte ich erfolgreich eine Mail vom iPhone (WLAN aus) über meinen Mailserver an meinen externen gmx-Account senden.
Ich würde mal versuchen die Einträge nacheinander wieder zu aktivieren bzw. ein paar Kombinationen probieren.
Das der RC das senden verweigert ist aber nach wie vor so. Senden über einen lokalen Mailclient funktioniert.

 

[jahlives]

diese Einträge versuchen mit DNS Abfragen verschiedene Dinge zum Client zu ermitteln und wenn dein DNS zickt (und da bin ich mir eigentlich fast sicher), dann blockieren diese Einträge Mails weil DNS ned funzt. Wenn du noch etwas Geduld hast, dann würde ich dir noch empfehlen einen DNS-Server im LAN zu installieren (z.B. ipkg dnsmasq). Und dann dem Postfix resp der DS dies als DNS Server eintragen. Nutze selber seit langem dnsmasq mit Postfix, weil ich mit dem DNS an meinem damaligen Router das Problem mit dem relay hatte. Probier auch mal nur den reject_unknown_client wegzulassen und die beiden anderen zu nutzen. Ändert sich dadurch was?

 

[NASe]

Na klar hab ich da noch Geduld. ;-)
Bin ja froh das Du mir so geduldig hilfst. Ich habe jetzt bis auf "reject_unknown_client" alles wieder einkommentiert. Senden vom iPhone per gmx-Konto an meinen Mailserver klappt.
Ebenso wie das Senden vom iPhone (WLAN aus) über meinen Mailserver an meinen gmx-Account.
dnsmasq habe ich installiert aber da muss ich mich erst mal in die Konf einlesen.

 

[NASe]

Nabend,

Ich hab mal mit dnsmasq probiert. Da ich nur den DNS-Part nutze habe ich die /etc/resolv.conf dahingehend angepasst das ich die lokale IP der DS wo dnsmasq läuft (hab ich so bei einer ubuntu-seite gelesen)
als erstes eingetragen habe, anschließend die lokale IP meines Routers, die beiden DNS meines ISP und als Fallback den google-DNS. Die lokale IP meiner DS wird aber bei starten ignoriert.
Nach dem Start des Daemon folgende Logeinträge:

Mar  6 17:42:04 meineDS dnsmasq[4590]: exiting on receipt of SIGTERM
Mar  6 17:42:06 meineDS<<< dnsmasq[4756]: started, version 2.59rc1 cachesize 150
Mar  6 17:42:06 meineDS dnsmasq[4756]: compile time options: no-IPv6 GNU-getopt no-DBus no-i18n DHCP TFTP no-conntrack no-IDN
Mar  6 17:42:06 meineDS dnsmasq[4756]: reading /etc/resolv.conf
Mar  6 17:42:06 meineDS dnsmasq[4756]: using nameserver 8.8.8.8#53
Mar  6 17:42:06 meineDS dnsmasq[4756]: using nameserver 141.1.1.1#53
Mar  6 17:42:06 meineDS dnsmasq[4756]: using nameserver 46.253.48.14#53
Mar  6 17:42:06 meineDS dnsmasq[4756]: using nameserver 192.168.1.1#53
Mar  6 17:42:06 meineDS dnsmasq[4756]: ignoring nameserver 192.168.1.251 - local interface
Mar  6 17:42:06 meineDS dnsmasq[4756]: read /etc/hosts - 4 addresses

meineDS> nslookup 8.8.8.8
Server:    192.168.1.251
Address 1: 192.168.1.251 meineDS.meinelokaleDomain.de

Name:      8.8.8.8
Address 1: 8.8.8.8 google-public-dns-a.google.com

meineDS> nslookup meine.externe.IP
Server:    192.168.1.251
Address 1: 192.168.1.251 meineDS.meinelokaleDomain.de

Name:      meine.externe.IP
Address 1: meine.externe.IP

Hinter "Address" steht aber nichts so wie bei 8.8.8.8.

Und dann dem Postfix resp der DS dies als DNS Server eintragen.

Wie soll ich dem postfix begreiflich machen das er über dnsmasq gehen soll?

 

[jahlives]

hmh für die DS selber würde ich als DNS 127.0.0.1 angeben, ist ja die DS selber die den DNS anbietet. Postfix verwendet die DNS-Server aus resolv.conf

 

[NASe]

Wenn ich in den Netzwerkeinstellungen der DS die 127.0.0.1 eintrage wird sie mir als ungültig angegeben. Sobald ich diesen Eintrag speichere wird die resolv.conf auch wieder überschieben.

 

[jahlives]

Und wenn du es direkt in resolv.conf einträgst und nicht den DSM verwendest?

 

[NASe]

Nabend,

ich habe die 127.0.0.1 in der resolv.conf nachgetragen und den Dienst neu gestartet. Ein nslookup auf meine externe IP gibt jetzt folgendes zurück:

meineDS> nslookup meineexterneIP
Server:    127.0.0.1
Address 1: 127.0.0.1 localhost

Name:      meineexterneIP
Address 1: meineexterneIP mail.meine-domain.tld

Ich habe mal von meinem Win7-Laptop ein nslookup auf meine externe IP gemacht. Dabei wird der DNS meine ISP verwendet.

Server: unknown
Address: 46.256.48.14

Name: mail.meine-domain.tld
Address: meineexterneIP

Also irgendwie ist es doch merkwürdig das der DNS meines ISP als "unknown" ausgegeben wird.
Jedenfalls, auch wenn ein nslookup von der DS gut aussieht bekomme ich vom RC nach wie vor den "SMTP -1" Fehler. Ich versteh das einfach nicht.
Ich habe auch noch mal bei meinem Anbieter bzgl. ReverseDNS nachgefragt. Die schauen sich das auch noch mal an.
Da dnsmasq nun läuft habe ich in der main.cf "reject_unknown_client" wieder aktiviert und mir über mein Mailserver-Konto vom iPhone aus eine Mail an mein gmx-Konto geschickt.
Die wurde trotzdem als "unknown hostname" abgelehnt. Den Eintrag habe ich jetzt wieder deaktiviert.

Alex

 

[jahlives]

das mit dem -1-Fehler: Kannst du mir mal posten was genau bei dir in der Variable mynetworks in main.cf steht. Dort sollte auf jeden Fall auch 127.0.0.0/8 und deine LAN-IP der DS stehen.
Wegen dem DNS: da komm ich langsam nicht mehr mit. Eigentlich sollte beim unkown Server einfach die IP des Servers angezeigt werden, wenn er keinen Namen hat (resp keinen ReverseDNS). Kannst du mal mit einem Tool gucken was ein ReverseLookup auf die IP des DNS deines Providers ergibt?

 

[NASe]

Nabend,

tut mir leid das ich immer erst so spät dazu komme mich zu melden.

Jedenfalls ist der Eintrag in der main.cf imho in Ordnung so.

mynetworks = 192.168.1.0/24, 127.0.0.0/8

Die Fehlermeldung bekomme ich auch nicht beim speichern der SMTP-Einstellungen im RC sondern nur beim Sendeversuch.


Da muss wirklich seitens meines ISP mit dem DNS etwas nicht stimmen.
Im Router stehen bei mir IP-DNS1 und IP-DNS2 meines Anbieters.

Wenn ich von meinem Laptop einen nslookup auf IP-DNS1 mache dann bekomme ich die Meldung:

Server: Unknown
Address: IP-DNS1

*** IP-DNS1 wurde von Unknown nicht gefunden: Non-existent domain.

Bei einem nslookup auf IP-DNS2 kommt folgendes:

Server: Unknown
Address: IP-DNS1

Name: Domainname vom Anbieter
Address: IP-DNS2

Bei einer ReverseDNS-Anfrage auf IP-DNS1 wird mir nicht der Name sondern wieder die IP-DNS1 ausgegeben.
Bei einer ReverseDNS-Anfrage auf IP-DNS2 wird mir ein Domainname (wie bei nslookup) zurückgegeben.
Ich muss mal schauen das ich morgen bei meinem ISP anrufe und in der Richtung mal nachfrage. Oder habe ich eine Möglichkeit die DNS-Server meines ISP auszublenden?


Danke,
Alex