[Gelöst] Reverse-DNS-Eintrag - was muss ich tun?

[kk.operator]

Hallo, ich verzweifle gerade am Revese-DNS-Eintrag!

Laut Internet muss ich einen setzen, sonst funktioniert der EMail-Versand nicht. Aber was muss da rein?

Folgende Fehlermeldung erhalte ich bei EMails:

host www0815.meinhost.tld[ipv6-adresse] said:
550-Verification failed for <meine@email.adresse> 550-Unrouteable address
550 Sender verify failed (in reply to MAIL FROM command)

In meiner Postfix-Konfiguration scheint auch was zu fehlen:

myhostname = hostname.domain.tld
mynetworks =
relayhost =
myorigin = /etc/mailname (in dieser Datei steht der gleiche Hostname wie oben bei myhostname)

Beim Provider ist der Hostname beim Reverse-DNS-Eintrag der gleiche wie hier bei myhostname und mailname

Ich drehe durch :-(

 

[danton]

Das sieht mir eher danach aus, als wenn dein Server ein Problem hat, den MX für den Zielserver zu ermitteln. Könnte also ein Problem in der DNS-Konfiguration sein oder du versuchst über IPv6 zu senden und der Zielserver kann nur IPv4.

 

[kk.operator]

Das sieht mir eher danach aus, als wenn dein Server ein Problem hat, den MX für den Zielserver zu ermitteln. Könnte also ein Problem in der DNS-Konfiguration sein oder du versuchst über IPv6 zu senden und der Zielserver kann nur IPv4.

Wie finde ich das raus?

Laut DNS-Einträge ist der MXrecord eine IPv4 Adresse…

 

[danton]

Kannst du die MX-Records für den Server, an den du Mails senden willst, auf deinem Server mit nslookup oder dig auflösen? Wenn ja, kannst du die IP, die dabei ermittelt wurde, vom Server aus anpingen. Was hast du in Postfix konfiguriert (Ausgabe von postconf -n).

 

[Thunderbyte]

Unabhängig von allem anderen kann ein rDNS Eintrag nur vom Vewalter der IP Adresse gesetzt werden. Ergo vom Serveranbieter (wenn der Server bei einem entsprechenden Anbieter steht) oder vom Internetzugangsprovider (wenn der Server an einem DSL/Kabel/Glasfaseranschluß hängt). Ersteres ist meist im Verwaltungsinterface des Serverproviders möglich, letzteres meist gar nicht. Zudem werden Mailserver aus Dialup IP Adressbereichen meist als Spamquelle angesehen, weswegen sich in einem solchen Fall die Verwendung eines Smarthosts empfiehlt.

Davon abgesehen gilt:
Ein A Record, der von z.B. mail.domain.tld auf die IP XX.XX.XX.XX des Mailservers verweist.
Ein MX Record, der auf einen Domainnamen mail.domain.tld verweisen MUSS. Eine IP als Ziel eines MX Records ist nicht zulässig.

ping mail.domain.tld muss somit auf die Mailserver IP auflösen und
tracert / traceroute XX.XX.XX.XX (IP Adresse des Mail Servers) muss als Ziel den DNS Namen mail.domain.tld zeigen.

 

[kk.operator]

Hier die postfix-Konfiguration:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases
append_dot_mydomain = no
authorized_flush_users =
authorized_mailq_users =
biff = no
compatibility_level = 2
disable_vrfy_command = yes
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
mailman_destination_recipient_limit = 1
message_size_limit = 10240000
mydestination = localhost.meinedomain.tld, localhost, localhost.localdomain
myhostname = hostname.meinedomain.tld
mynetworks =
myorigin = /etc/mailname
plesk_virtual_destination_recipient_limit = 1
readme_directory = no
recipient_canonical_classes = envelope_recipient,header_recipient
recipient_canonical_maps = tcp:127.0.0.1:12346
recipient_delimiter = +
relayhost =
sender_dependent_default_transport_maps = hash:/var/spool/postfix/plesk/sdd_transport_maps
smtp_send_xforward_command = yes
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = no
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated
smtpd_milters = , inet:127.0.0.1:12768
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated
smtpd_tls_cert_file = /etc/postfix/postfix.pem
smtpd_tls_ciphers = medium
smtpd_tls_dh1024_param_file = /opt/psa/etc/dhparams2048.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_mandatory_protocols = TLSv1.2
smtpd_tls_protocols = TLSv1.2
smtpd_tls_security_level = may
smtpd_use_tls = yes
smtputf8_enable = no
tls_medium_cipherlist = EECDH+AESGCM+AES128:EECDH+AESGCM+AES256:EECDH+CHACHA20:EDH+AESGCM+AES128:EDH+AESGCM+AES256:EDH+CHACHA20:EECDH+SHA256+AES128:EECDH+SHA384+AES256:EDH+SHA256+AES128:EDH+SHA256+AES256:EECDH+SHA1+AES128:EECDH+SHA1+AES256:EDH+SHA1+AES128:EDH+SHA1+AES256:EECDH+HIGH:EDH+HIGH:AESGCM+AES128:AESGCM+AES256:CHACHA20:SHA256+AES128:SHA256+AES256:SHA1+AES128:SHA1+AES256:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK:!KRB5:!aECDH:!kDH
tls_preempt_cipherlist = yes
tls_server_sni_maps = hash:/var/spool/postfix/plesk/certs
transport_maps = , hash:/var/spool/postfix/plesk/transport
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_gid_maps = static:31
virtual_mailbox_base = /var/qmail/mailnames
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_mailbox_limit = 0
virtual_mailbox_maps = , hash:/var/spool/postfix/plesk/vmailbox
virtual_transport = plesk_virtual
virtual_uid_maps = static:30

und DNS-Einträge

$ORIGIN domainname.tld.
$TTL 86400
; SOA Records
@ IN SOA anbieterserver.tld. dns.anbieter.tld. 2021112900 86400 10800 3600000 3600
; NS Records
@ IN NS ersterserver.anbieter.ltd.
@ IN NS zweiterserver.anbieter.tld.
@ IN NS dritterserver.anbieter.tld.
; MX Records
@ IN MX 10 mail
; A Records
@ IN A IPv4-Adresse (Beispiel 192.168...)
mail IN A IPv4-Adresse (Beispiel 192.168...)
webmail IN A IPv4-Adresse (Beispiel 192.168...)
www IN A IPv4-Adresse (Beispiel 192.168...)
; AAAA Records
@ IN AAAA IPv6-Adresse (Beispiel 2b03:5b7...)

Beim Anbieter ist hostname.meinedomain.tld als Reverse-Eintrag hinterlegt...

 

[danton]

Für hostname.meinedomain.tld benötigst du auch einen A-Record, ggfl. auch für IPv6 und der PTR für IPv6 muss auch gesetzt sein.
Ansonsten scheinst du Plesk zu verwenden, da kann ich dir nicht sagen, was das evtl. noch so treibt.

 

[kk.operator]

Für hostname.meinedomain.tld benötigst du auch einen A-Record, ggfl. auch für IPv6 und der PTR für IPv6 muss auch gesetzt sein.
Ansonsten scheinst du Plesk zu verwenden, da kann ich dir nicht sagen, was das evtl. noch so treibt.

Ersteres ist bereits gesetzt im DNS.

IPv6 dann auch als A-Record, welche dann auch auf hostname.meinedomain.tld verweist?

Plesk meckert wenn ich einen AAAA-Record mit der IPv6Adresse im DNS habe

 

[danton]

Laut deinen DNS-Einträgen oben gibt es keinen A-Record für hostname.domain.tld, nur für die Domain selber und Subdomains www, mail und webmail. Für die IPv6-Adressen müssen AAAA-Records verwendet werden, A-Records sind für IPv4. Wenn ich deine DNS-Einträge ober auf Grund deiner Anonymisierung richtig interpretiere, liegen diese nicht auf deinem Server, sondern auf den DNS-Servern deines Server-Anbieters und dann auch nicht bei dir im Plesk sondern wie auch der PTR bei deinem Anbieter gepflegt werden. Außerdem bist du immer noch die Antwort schuldig, ob du den MX-Record des Mailservers, an den du Mails senden willst, auf deinem Server auflösen kannst und ob du die sich daraus ergebende IP auch vom Server aus anpingen kannst.

 

[kk.operator]

Unabhängig von allem anderen kann ein rDNS Eintrag nur vom Vewalter der IP Adresse gesetzt werden. Ergo vom Serveranbieter (wenn der Server bei einem entsprechenden Anbieter steht) oder vom Internetzugangsprovider (wenn der Server an einem DSL/Kabel/Glasfaseranschluß hängt). Ersteres ist meist im Verwaltungsinterface des Serverproviders möglich, letzteres meist gar nicht. Zudem werden Mailserver aus Dialup IP Adressbereichen meist als Spamquelle angesehen, weswegen sich in einem solchen Fall die Verwendung eines Smarthosts empfiehlt.

Davon abgesehen gilt:
Ein A Record, der von z.B. mail.domain.tld auf die IP XX.XX.XX.XX des Mailservers verweist.
Ein MX Record, der auf einen Domainnamen mail.domain.tld verweisen MUSS. Eine IP als Ziel eines MX Records ist nicht zulässig.

ping mail.domain.tld muss somit auf die Mailserver IP auflösen und
tracert / traceroute XX.XX.XX.XX (IP Adresse des Mail Servers) muss als Ziel den DNS Namen mail.domain.tld zeigen.

Passt alles wie beschrieben…

 

[kk.operator]

Laut deinen DNS-Einträgen oben gibt es keinen A-Record für hostname.domain.tld, nur für die Domain selber und Subdomains www, mail und webmail. Für die IPv6-Adressen müssen AAAA-Records verwendet werden, A-Records sind für IPv4. Wenn ich deine DNS-Einträge ober auf Grund deiner Anonymisierung richtig interpretiere, liegen diese nicht auf deinem Server, sondern auf den DNS-Servern deines Server-Anbieters und dann auch nicht bei dir im Plesk sondern wie auch der PTR bei deinem Anbieter gepflegt werden. Außerdem bist du immer noch die Antwort schuldig, ob du den MX-Record des Mailservers, an den du Mails senden willst, auf deinem Server auflösen kannst und ob du die sich daraus ergebende IP auch vom Server aus anpingen kannst.

Ich nutze die DNS-Einstellungen extern beim Anbieter und nicht in Plesk.

Ja ich kann die Zieldomain auflösen und die IPv4 auch anpingen.

 

[kk.operator]

Laut deinen DNS-Einträgen oben gibt es keinen A-Record für hostname.domain.tld, nur für die Domain selber und Subdomains www, mail und webmail. Für die IPv6-Adressen müssen AAAA-Records verwendet werden, A-Records sind für IPv4. Wenn ich deine DNS-Einträge ober auf Grund deiner Anonymisierung richtig interpretiere, liegen diese nicht auf deinem Server, sondern auf den DNS-Servern deines Server-Anbieters und dann auch nicht bei dir im Plesk sondern wie auch der PTR bei deinem Anbieter gepflegt werden. Außerdem bist du immer noch die Antwort schuldig, ob du den MX-Record des Mailservers, an den du Mails senden willst, auf deinem Server auflösen kannst und ob du die sich daraus ergebende IP auch vom Server aus anpingen kannst.

Wie setze ich denn PTR?

 

[Thunderbyte]

Wie setze ich denn PTR?

Ausschließlich im Interface des Serveranbieters. Dein Server kann da nichts machen. Das muss beim Verwalter der IP eingestellt werden.

 

[kk.operator]

Ausschließlich im Interface des Serveranbieters. Dein Server kann da nichts machen. Das muss beim Verwalter der IP eingestellt werden.

Der Eintrag (ReverseDNS) ist korrekt gesetzt „hostname.meinedomain.tld“

 

[kk.operator]

Wenn ich hier alles richtig interpretiere, dann sind alle Einträge richtig gesetzt (ausser ipv6, also AAAA)…

Fehlt also noch was in Plesk (DNS Template) oder…?

 

[danton]

Wenn du deine DNS-Einstellungen beim Anbieter vornimmst, ist bezüglich der DNS-Einträge egal, was du dort einträgst. Ich arbeite selber nicht mit Plesk aber du solltest die Möglichkeit haben, die DNS-Verwaltung im Plesk abzuschalten. Was funktioniert denn konkret bei dir und was nicht? Kannst du Mails von extern empfangen? Kannst du Mails gar nicht an externe Adressen versenden, oder nur nicht an bestimmte Domains? Kannst du Mails innerhalb deines Servers verwenden, also wenn Sender und Empfänger auf deinem Server liegen?
Da dein Mailserver eine IPv6-Adresse zu haben scheint, benötigst du für diese einen AAAA-Record für hostname.domain.tld und auch einen PTR/ReverseDNS, da dein Mailserver auch über IPv6 Mails versendet, wenn der Zielserver ebenfalls IPv6-fähig ist.

 

[kk.operator]

Alsooo...

Ich kann an verschiedene EMail-Adressen schicken, nur nicht an die, die beim gleichen Anbieter liegen (Serverunabhängig). Hier bekomme ich ich eine Rück-EMail mit:

host ipv4-adresse [ipv4-adresse]
SMTP error from remote mail server after RCPT TO:<empfaenger@email.adresse>:
550 Unrouteable address

Die ipv4-adresse ist die Empfänger-IP des Servers auf dem die Empfänger-Domain liegt (beim gleichen Anbieter).

 

[danton]

Das sieht jetzt aber danach aus, als wenn der Mailserver des Empfängers das Problem ist. Was meinst du mit "Beim gleichen Anbieter"? Andere Server, die bei deinem Server-Anbieter stehen oder einfach nur verschiedene Domains, die auf unterschiedlichen Servers genau eines anderen Anbieters liegen? Vielleicht steht auch deine IP auf irgendeiner internen Blacklist dieses anderen Anbieters (das kann nur der dir sagen)? Ansonsten gibt dir auch https://mxtoolbox.com/SuperTool.aspx evtl. schon ein paar Hinweise, das auf deiner Seite nicht stimmen könnte (auch wenn es nicht perfekt ist).

 

[kk.operator]

Ich habe verschiedene Server beim gleichen Anbieter mit unterschiedlichen Domains…

Das werde ich mal Fragen (interne Blacklist).

Habe das ausgeführt und scheint alles OK.

Habe jetzt noch einen DNS Eintrag gemacht mit TXT und v=spf1 a mx -all

 

[Joe User]

Nun mach mal Butter bei die Fische und nenne endlich die exakten betroffenen IPs und DNS/Hostnamen, sonst drehen wir uns hier Ostern noch im Kreis.

IP-Adressen und DNS-Rekords sind keine Geheimnisse, sie sind öffentlich! Willkommen im Internet...