Problem mit Einlieferung von email

classic Classic list List threaded Threaded
30 messages Options
12
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Michael Grundmann-2
Am 18.12.18 um 17:45 schrieb Winfried Neessen:

>>> dig -x 37.120.166.21
>>> ;; ANSWER SECTION:
>>> 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de.

btw wird der mx explizit abgefragt - vllt. hilft das für das
Verständnisproblem

dig bitcorner.de mx


> Domains Du benutzt oder nicht. Fertig und alles funktioniert wie es soll.

und ja, wenn Winne hier was lostritt, hat das schon Hand und Fuß

Achte einfach darauf welcher MX im DNS steht - ist echt simple


--
Gruß Michael

Wenn du verstehst, was du tust, wirst du nichts lernen
BTW: Produktionsbremsen sind immer die Bürokraten
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Andreas Meyer-3
In reply to this post by Ralph Meyer
Ralph Meyer <[hidden email]> schrieb am 18.12.18 um 18:14:27 Uhr:

> > Aber genau das ist doch gemacht, die Vor- und Rückwärtsauflösungen
> > passen auf jeden helonamen und für jede Domain.
> >  
>
> Also entweder, wir reden alle komplett aneinander vorbei, oder du hast was unnötig kompliziertes mit "IP pro Domain" oder sowas vor.

Ich habe den Eindruck, als ob ich hier komplett missverstanden werde, denn der MTA
läuft seit Jahren mit ständigen Verbesserungen einwandfrei ohne dass ihn irgendjemand
irgendwann einmal geblockt hätte. Und ja, ich habe zu jeder IP eine Domaine online.

> > Die Problematik ist vor meinem Rumspielen mit postscreen gar nicht aufgetreten.  
>
> postscreen ist da völlig außen vor. Komplett andere Baustelle.

Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf geschaltet
hatte. Deaktiviert und alles war wieder im grünen Bereich, ohne dass mich ein MTA
geblockt hätte.

>
> Ralph

  Andreas

--
PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A

attachment0 (220 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Alexander Stoll
Am 18.12.2018 um 18:49 schrieb Andreas Meyer:
> Ralph Meyer <[hidden email]> schrieb am 18.12.18 um 18:14:27 Uhr:

> Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf geschaltet
> hatte. Deaktiviert und alles war wieder im grünen Bereich, ohne dass mich ein MTA
> geblockt hätte.

<Orakel an> Dann wurde die konsistente Konfiguration bei diesem Versuch
offensichtlich verändert. </Orakel aus>

Du hast eine Fehlermeldung eines fremden Systems von einer gescheiterten
Zustellung präsentiert, die Ursache wurde erklärt und die Lösung ebenso.

Korrelation ist nicht gleich Ursache... ;-))))

So fern Du nichts handfestes für einen überaus exotischen Bug
präsentierst, würde ich die Ursache erst mal vor der Tastatur suchen... ;-)
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Andreas Meyer-3
In reply to this post by Michael Grundmann-2
Michael Grundmann <[hidden email]> schrieb am 18.12.18 um 18:48:12 Uhr:

> Am 18.12.18 um 17:45 schrieb Winfried Neessen:
>
> >>> dig -x 37.120.166.21
> >>> ;; ANSWER SECTION:
> >>> 21.166.120.37.in-addr.arpa. 86400 IN PTR mail.bitcorner.de.  
>
> btw wird der mx explizit abgefragt - vllt. hilft das für das
> Verständnisproblem
>
> dig bitcorner.de mx
>
>
> > Domains Du benutzt oder nicht. Fertig und alles funktioniert wie es soll.  
>
> und ja, wenn Winne hier was lostritt, hat das schon Hand und Fuß
>
> Achte einfach darauf welcher MX im DNS steht - ist echt simple
Aber das passt doch alles. Der MTA hat eben nur einen hostnamen und
die virtuellen Domains empfangen und senden alle unter ihrer eigenen Kennung.
Und es gibt keine Probleme mit dem DNS, nur eines mit einem MTA, der auf
hostname und ehloname checkt.

  Andreas

--
PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A

attachment0 (220 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Andreas Meyer-3
In reply to this post by Alexander Stoll
Alexander Stoll <[hidden email]> schrieb am 18.12.18 um 19:00:44 Uhr:

> Am 18.12.2018 um 18:49 schrieb Andreas Meyer:
> > Ralph Meyer <[hidden email]> schrieb am 18.12.18 um 18:14:27 Uhr:  
>
> > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf geschaltet
> > hatte. Deaktiviert und alles war wieder im grünen Bereich, ohne dass mich ein MTA
> > geblockt hätte.  
>
> <Orakel an> Dann wurde die konsistente Konfiguration bei diesem Versuch
> offensichtlich verändert. </Orakel aus>
>
> Du hast eine Fehlermeldung eines fremden Systems von einer gescheiterten
> Zustellung präsentiert, die Ursache wurde erklärt und die Lösung ebenso.
>
> Korrelation ist nicht gleich Ursache... ;-))))
>
> So fern Du nichts handfestes für einen überaus exotischen Bug
> präsentierst, würde ich die Ursache erst mal vor der Tastatur suchen... ;-)
Es gibt keinen Bug. Und hör' auf, dich auf meine Kosten zu profilieren.
Ansonsten schätze ich deine Ratschläge sehr.

  Andreas

--
PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A

attachment0 (220 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: Problem mit Einlieferung von email

Uwe Drießen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

Im Auftrag von Andreas Meyer
> > Am 18.12.2018 um 18:49 schrieb Andreas Meyer:
> > > Ralph Meyer <[hidden email]> schrieb am 18.12.18 um 18:14:27
> Uhr:
> >
> > > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf
> geschaltet

> Einer meiner Mailserver ist für verschiedene Domains zuständig. In der
> master.cf
> habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und
> smtp_bind_address
> angelegt.

Wie hast du denn Postscreen für eine virtuelle Domain scharf geschaltet?


> Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern.
>
> Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09:
> to=<[hidden email]>,
> relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6,
> delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host
> mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1
> <[hidden email]>: Recipient address rejected: Mail appeared to be
> SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS
> MX settings or to get removed from DNSBLs; MTA
>>>   helo: mail.nimmini.de,

Wohin löst der Name mail.nimmini.de denn auf ?
mail.nimmini.de has address 46.38.231.143
143.231.38.46.in-addr.arpa domain name pointer mail.nimmini.de

IPv6 eintrag fehlt

Und der ist eine ganz andere IP und NETZWERK als die unter der sich der Mailserver gemeldet hat

> MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001]
> (helo/hostname mismatch) (in reply to RCPT TO command))
== der obige Fehler  


host mail.bitcorner.de
mail.bitcorner.de has address 37.120.166.21
mail.bitcorner.de has IPv6 address 2a03:4000:6:4123::1

der stimmt !

- -------

Die Meldung kommt doch vom Policyd-weight wenn mich nicht alles täuscht :-)

       if(($helo_ok != 1) && ($helo_untrusted_ok != 1))
        {
            my $EREJECTMSG = $my_REJECTMSG .
                             '; MTA helo: '.$helo.', MTA hostname: ' .
                             $client_name.'['.$ip.'] (helo/hostname mismatch)';

            return($EREJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG);
        }
        return($my_REJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG);
    }
    Else

Die grauen funzen noch.

Bei der Prüfung geht es darum zu schauen ob die Absenderadresse auch nur ungefähr in den Netzbereich passt aus dem gerade gesendet wird ...

Ich mach das mal mit Fragezeichen ich hab den code nicht studiert (ich muss ihn ja nicht schreiben nur wissen das es sowas gibt ) :-))
 
Also gar nicht so exotisch die Prüfung.


Mit freundlichen Grüßen

Uwe Drießen
- --
Software & Computer

Netzwerke, Server.
Wir vernetzen Sie und Ihre Rechner !

Uwe Drießen
Lembergstraße 33
67824 Feilbingert

Tel.: 06708660045


-----BEGIN PGP SIGNATURE-----

iQEzBAEBCAAdFiEEkT5V0950pM80Xu3sur3LxV3cLvwFAlwZapEACgkQur3LxV3c
LvyMzwf/f83czA5KN+cwsSl1UdJKb7zAnvW6+AaeMQVrAMJAT7IapuZvrCLfQ9Oo
Rhjxvx6qUb9GtnjZSAJieSCtVuuCqUtNyVEFscJdkOIpD3i4qqBw7ppsrSP98hjP
ArA60670t61HmWAb4/Hl6vNzlkpFR6Fi1qT1GowjENj0oRiQCGe4VWdziQE3Jlw1
nwdbf2IKTEjV3mxgSP79swWb+EDXa5p5Ok50J0vBWiInicF2++q/KAu8tzJm0CLL
J9cb2qOw2d0RCsL5kMAnvRP0MZQHhBKG/QRIGx1orDx1Ea5+HbDYa1b0AbiZqBkY
qBAH849D52WwmzLkG208mrb33AfgFg==
=h3ae
-----END PGP SIGNATURE-----

Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Andreas Meyer-3
Uwe Drießen <[hidden email]> schrieb am 18.12.18 um 22:46:00 Uhr:

> > > > Das Problem trat auf, als ich postscreen für eine virtuelle Domain scharf  
> > geschaltet  
>
> > Einer meiner Mailserver ist für verschiedene Domains zuständig. In der
> > master.cf
> > habe ich deshalb eigene Transportparameter wie z.B smtp_helo_name und
> > smtp_bind_address
> > angelegt.  
>
> Wie hast du denn Postscreen für eine virtuelle Domain scharf geschaltet?
Ich konnte das jetzt so lösen, dass ich alle postscreen-Dienste an die IP-Adresse
gebunden habe:

46.38.231.143:smtpd  pass   -   -   n   -   -   smtpd
    -o smtpd_proxy_filter=127.0.0.1:10024
    -o content_filter=
    -o receive_override_options=no_address_mappings
    -o smtpd_proxy_options=speed_adjust
    -o smtpd_use_tls=yes
    -o smtpd_tls_security_level=may
.....

46.38.231.143:smtp       inet  n      -       n       -       1       postscreen
46.38.231.143:tlsproxy   unix  -      -       n       -       0       tlsproxy
46.83.231.143:dnsblog    unix  -      -       n       -       0       dnsblog

> > Neuerdings kann ich damit nicht mehr bei mailbox.org einliefern.
> >
> > Dec 18 15:02:37 bitmachine1 nimmini/smtp[4720]: 2029B181D09:
> > to=<[hidden email]>,
> > relay=mx1.mailbox.org[2001:67c:2050:104:0:1:25:1]:25, delay=1.6,
> > delays=0.07/0.06/0.96/0.55, dsn=5.7.1, status=bounced (host
> > mx1.mailbox.org[2001:67c:2050:104:0:1:25:1] said: 550 5.7.1
> > <[hidden email]>: Recipient address rejected: Mail appeared to be
> > SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS
> > MX settings or to get removed from DNSBLs; MTA  
> >>>   helo: mail.nimmini.de,  
>
> Wohin löst der Name mail.nimmini.de denn auf ?
> mail.nimmini.de has address 46.38.231.143
> 143.231.38.46.in-addr.arpa domain name pointer mail.nimmini.de
>
> IPv6 eintrag fehlt
Wird gerade geprüft, ob für die IPv4-Adresse auch eine IPv6-Adresse angebunden
werden kann. Die IPv4-Adressen sind zusätzlich an die Netzwerkkarte angebunden.

> Und der ist eine ganz andere IP und NETZWERK als die unter der sich der Mailserver gemeldet hat
>
> > MTA hostname: mail.bitcorner.de[2a03:4000:0006:4123:0000:0000:0000:0001]
> > (helo/hostname mismatch) (in reply to RCPT TO command))  
> == der obige Fehler  

Genau da lag der Hase im Pfeffer, weil nach der fehlerhaften Anbindung von postscreen
postifx nicht mehr auf port 25 für 46.38.231.143 gelauscht hat, sondern nur noch auf
submission. Und somit auch ein falscher hostname zurückgeliefert wurde.

> host mail.bitcorner.de
> mail.bitcorner.de has address 37.120.166.21
> mail.bitcorner.de has IPv6 address 2a03:4000:6:4123::1
>
> der stimmt !
>
> - -------
>
> Die Meldung kommt doch vom Policyd-weight wenn mich nicht alles täuscht :-)
>
>        if(($helo_ok != 1) && ($helo_untrusted_ok != 1))
>         {
>             my $EREJECTMSG = $my_REJECTMSG .
>                              '; MTA helo: '.$helo.', MTA hostname: ' .
>                              $client_name.'['.$ip.'] (helo/hostname mismatch)';
>
>             return($EREJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG);
>         }
>         return($my_REJECTMSG.$RHSBLMSG.$RELAYMSG.$DYN_DNS_MSG);
>     }
>     Else
>
> Die grauen funzen noch.
>
> Bei der Prüfung geht es darum zu schauen ob die Absenderadresse auch nur ungefähr in den Netzbereich passt aus dem gerade gesendet wird ...
>
> Ich mach das mal mit Fragezeichen ich hab den code nicht studiert (ich muss ihn ja nicht schreiben nur wissen das es sowas gibt ) :-))
>  
> Also gar nicht so exotisch die Prüfung.
Ok, das wird es wohl gewesen sein. Ich kenne den Policyd-weight nicht.

> Mit freundlichen Grüßen
>
> Uwe Drießen

  Andreas

--
PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A

attachment0 (220 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Christian Schmidt
Moin,

Andreas Meyer, 19.12.18:
> Ich konnte das jetzt so lösen, dass ich alle postscreen-Dienste an die IP-Adresse
> gebunden habe:

Wenn Dein postfix Mails bei einem anderen MX einwerfen möchte, agiert er
als SMTP-Client. Mit postscreen bist Du quasi bei einem anderen Kapitel,
nämlich D(ein)em SMTP-Server.

Dein (wie ich vermute) Verständnisproblem betrifft aber postfix als
SMTP-Client: Wenn Dein Server anderswo via SMTP eine Mail abladen
möchte, muss er sich im HELO mit genau demjenigen Hostnamen (nicht
Domainnamen) melden, der zu seiner IP-Adresse passt. Und umgekehrt muss
auch die Rückwärtsauflösung der IP-Adresse wieder den Hostnamen ergeben.

Ich sehe keinen Sinn darin, das "domainspezifisch" zu konfigurieren.

Sorge einfach dafür, dass postfix sich als Client gegenüber anderen
Servern mit seinem "wahren" Hostnamen im HELO meldet.

Alles andere (postscreen etc.) betrifft den Server-Teil von postfix, der
aber bei Deinem initialen Problem gar nicht mit im Spiel war.

Mit freundlichen Grüßen
Christian Schmidt

--
No signature available.


smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Andreas Meyer-3
Christian Schmidt <[hidden email]> schrieb am 21.12.18 um 17:04:43 Uhr:

> > Ich konnte das jetzt so lösen, dass ich alle postscreen-Dienste an die IP-Adresse
> > gebunden habe:  
>
> Wenn Dein postfix Mails bei einem anderen MX einwerfen möchte, agiert er
> als SMTP-Client. Mit postscreen bist Du quasi bei einem anderen Kapitel,
> nämlich D(ein)em SMTP-Server.
>
> Dein (wie ich vermute) Verständnisproblem betrifft aber postfix als
> SMTP-Client: Wenn Dein Server anderswo via SMTP eine Mail abladen
> möchte, muss er sich im HELO mit genau demjenigen Hostnamen (nicht
> Domainnamen) melden, der zu seiner IP-Adresse passt. Und umgekehrt muss
> auch die Rückwärtsauflösung der IP-Adresse wieder den Hostnamen ergeben.
Ich kann deinen Ausführungen durchaus zustimmen, jedoch trat das Problem
mit der Zustellung erst auf, als ich postscreen falsch konfiguriert hatte.

> Ich sehe keinen Sinn darin, das "domainspezifisch" zu konfigurieren.

Das macht durchaus Sinn und lief vor der fehlerhaften config auch problemlos.
Da war kein Unterschied zwischen ehlo und hostname.

Hier meldet sich der client bei postscreen:
smtp       inet  n      -       n       -       1       postscreen

und hier wird dann mittels pass wieder an postfix abgegeben:
smtpd      pass  -       -       n       -       -       smtpd

Es scheint so zu sein, dass postscreen den ehlo_name durchreicht, ich aber
smtpd      pass  -       -       n       -       -       smtpd
nicht an die richtige IP gebunden hatte, nämlich so:
46.38.231.143:smtpd  pass   -   -   n   -   -   smtpd
    -o myhostname=mail.nimmini.de
    -o smtpd_banner=mail.nimmini.de
    -o syslog_name=nimmini

Dadurch wurde der hostname des Hauptservers übermittelt und policy-weightd
hat zugeschlagen.

> Sorge einfach dafür, dass postfix sich als Client gegenüber anderen
> Servern mit seinem "wahren" Hostnamen im HELO meldet.
>
> Alles andere (postscreen etc.) betrifft den Server-Teil von postfix, der
> aber bei Deinem initialen Problem gar nicht mit im Spiel war.

Hier noch ein thread zum Thema und wichtige Hinweise dazu vom Meister persönlich:

http://postfix.1071664.n5.nabble.com/multiple-IPs-and-postscreen-td80034.html

Grüße

  Andreas

--
PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A

attachment0 (220 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Problem mit Einlieferung von email

Andreas Meyer-3
In reply to this post by Christian Schmidt
Christian Schmidt <[hidden email]> schrieb am 21.12.18 um 17:04:43 Uhr:

> Sorge einfach dafür, dass postfix sich als Client gegenüber anderen
> Servern mit seinem "wahren" Hostnamen im HELO meldet.

Ich vergaß:

smtp-nimi   unix  -       -       n       -       -       smtp
  -o smtp_bind_address=46.38.231.143
  -o smtp_helo_name=mail.nimmini.de
  -o syslog_name=nimmini
  -o smtp_use_tls=yes

> Alles andere (postscreen etc.) betrifft den Server-Teil von postfix, der
> aber bei Deinem initialen Problem gar nicht mit im Spiel war.

Naja, der smtpd war da durchaus im Spiel, nur falsch angebunden.

  Andreas

--
PGP-Fingerprint: F004 8EEE 5E54 F2EA 566E B939 22E5 85DD AA14 AC0A

attachment0 (220 bytes) Download Attachment
12