Bekomme keine Mails von bestimmtem Absender

[chaos2oo2]

Hallo zusammen,

ich habe meinen Postfix-Server eingerichtet und soweit (bis auf den Ärger mit M$) läuft alles. Nun habe ich versucht mich bei Dominos (hab ja hunger) am Newsletter anzumelden. Allerdings bekomme ich von deren Server keinerlei Mails. An eine x-beliebige Adresse (z.B. temp-mail.org) funktioniert es. Heißt ich bekomme keine Mail mit Bestätigugnslink.

Im Mail-Log habe ich festgestellt, dass kurz nach Newsletter-Anmeldung folgende Einträge geschrieben werden:

postfix/smtpd[3273]: connect from webgridd165.emsecure.net[91.230.170.165]
postfix/smtpd[3273]: disconnect from webgridd165.emsecure.net[91.230.170.165] ehlo=1 mail=0/1 quit=1 commands=2/3

hat jemand von euch eine Idee was das ist? Bzw. was geprüft wird? Übertragen wird jedenfalls anscheinend nichts. Anscheinend antwortet mein Server (mbelz.de) hier nicht wie erwartet und es wird keine Mail verschickt.

Gruß
Michael

 

[chaos2oo2]

Ich habe mal mit Network Tools den Server getestet und da sieht alles ok aus:

SMTP Reverse DNS Mismatch	OK - 178.254.40.109 resolves to server.mbelz.de
SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname
SMTP Banner Check	OK - Reverse DNS matches SMTP Banner
SMTP TLS	OK - Supports TLS.
SMTP Connection Time	0.862 seconds - Good on Connection time
SMTP Open Relay	OK - Not an open relay.
SMTP Transaction Time	3.146 seconds - Good on Transaction Time

Connecting to 178.254.40.109

220 server.mbelz.de ESMTP Postfix (Ubuntu) [710 ms]
EHLO PWS3.mxtoolbox.com
250-server.mbelz.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [721 ms]
MAIL FROM:<supertool@mxtoolbox.com>
530 5.7.0 Must issue a STARTTLS command first [721 ms]
RCPT TO:<test@example.com>
530 5.7.0 Must issue a STARTTLS command first [720 ms]

PWS3v2 5709ms

 

[chaos2oo2]

ich hab mal noch den loglevel vom postfix hochgestellt und folgendes gefunden, was mich allerdings im moment auch nicht schlauer macht jemand ne idee?

Jul 27 12:33:43 server postfix/smtpd[4547]: connect from webgridd189.emsecure.net[91.230.170.189]
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 220 server.mbelz.de ESMTP Postfix (Ubuntu)
Jul 27 12:33:43 server postfix/smtpd[4547]: < webgridd189.emsecure.net[91.230.170.189]: EHLO webgridd189.emsecure.net
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-server.mbelz.de
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-PIPELINING
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-SIZE 10240000
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-VRFY
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-ETRN
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-STARTTLS
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-ENHANCEDSTATUSCODES
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250-8BITMIME
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 250 DSN
Jul 27 12:33:43 server postfix/smtpd[4547]: < webgridd189.emsecure.net[91.230.170.189]: MAIL FROM:<info@news.dominos.de>
Jul 27 12:33:43 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 530 5.7.0 Must issue a STARTTLS command first
Jul 27 12:34:15 server postfix/smtpd[4547]: < webgridd189.emsecure.net[91.230.170.189]: QUIT
Jul 27 12:34:15 server postfix/smtpd[4547]: > webgridd189.emsecure.net[91.230.170.189]: 221 2.0.0 Bye

 

[Joe User]

TLS incomming zu verlangen ist bei SMTP suboptimal...

 

[chaos2oo2]

ja soetwas in die richtung dachte ich mir schon. EHLO wird ja vom Sender abgesetzt, d.h. <-Einträge "kommen rein" und >-Einträge sind meine Antwort.

Heißt: der Sender sagt er hat eine Mail für mich und mein Server antwortet "Must issue a STARTTLS command first".

Soweit die Theorie... was muss ich denn an meiner Postfix-Konfiguration ändern?

 

[nexus]

was muss ich denn an meiner Postfix-Konfiguration ändern?

Wie sieht denn deine aktuelle Konfiguration (main.cf) aus?

 

[chaos2oo2]

vermutlich liegt es am SMTPD_ENFORCE_TLS, oder? Ich hatte irgendwo gelesen, dass unverschlüsselte Verbindungen zum SMTP heute idR. deaktiviert werden sollen, daher der Eintrag

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
milter_default_action = accept
milter_protocol = 2
mydestination = $myhostname, server.mbelz.de, localhost.mbelz.de, localhost
mydomain = mbelz.de
myhostname = server.mbelz.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
non_smtpd_milters = inet:localhost:12301
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_enforce_tls = yes
smtpd_milters = inet:localhost:12301
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_CAfile = /etc/postfix/ssl/rootCA.pem
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/ssl/device.crt
smtpd_tls_key_file = /etc/postfix/ssl/device.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_gid_maps = static:800
virtual_mailbox_base = /var/mail/vmailbox
virtual_mailbox_domains = mbelz.de
virtual_mailbox_maps = hash:/etc/postfix/vmailbox
virtual_minimum_uid = 800
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_uid_maps = static:800

 

[danton]

Folgendes ändern:
smtpd_use_tls = may

 

[chaos2oo2]

Folgendes ändern:
smtpd_use_tls = may

SMTP Banner Check	Reverse DNS does not match SMTP Banner	 More Info
SMTP TLS	Warning - Does not support TLS.	 More Info
SMTP Transaction Time	15.180 seconds - Not good! on Transaction Time	 More Info
SMTP Reverse DNS Mismatch	OK - 178.254.40.109 resolves to server.mbelz.de	
SMTP Valid Hostname	OK - Reverse DNS is a valid Hostname	
SMTP Connection Time	0 seconds - Good on Connection time	
SMTP Open Relay	OK - Not an open relay.

Connecting to 178.254.40.109

SendSMTPCommand: Timeout waiting for response after 15 seconds.

PWS3v2 17611ms

hab ich gemacht, damit geht der MX Tool Diagnostic Test direkt auf die Bretter und bekommt keine Verbindung mehr.


edit:
may ist scheinbar nicht erlaubt als Parameter...

postfix/smtpd[7832]: fatal: bad boolean configuration: smtpd_use_tls = may

 

[chaos2oo2]

Habs hingekriegt, hier des Rätsels Lösung:

#smtpd_use_tls = yes 
#smtpd_enforce_tls = yes
smtpd_tls_security_level = may

 

[danton]

Stimmt, ich hatte den Parameter-Namen nicht mehr richtig im Kopf, nur das der Wert may lauten muß.

 

[Lord Gurke]

vermutlich liegt es am SMTPD_ENFORCE_TLS, oder? Ich hatte irgendwo gelesen, dass unverschlüsselte Verbindungen zum SMTP heute idR. deaktiviert werden sollen, daher der Eintrag

Für Server-to-Server-Verbindungen auf Port 25 sollte man tragischerweise noch unverschlüsselte Verbindungen erlauben.
Für Submission (auf dem Submission-Port) sollte man es definitiv voraussetzen und parallel auf Port 25 die Authentifizierungsmöglichkeit verbieten - um die Nutzer auf den Submission-Port oder SMTPS zu zwingen.