Postfix bzw Roundcube Mailversandfehler 550

L

luggie

New Member
Tagchen

Habe einen Ubuntu 14.04 Server auf dem ein Mailserver mittels funktionierendem dovecot und postfix läuft. Als Webmailclient habe ich Roundcube installiert.
Innerhalb der Mailaccounts des Servers kann ich Mails hin und her versenden und empfangen. Von Außerhalb kann ich Mails jedoch nur empfangen. Schicke ich eine Mail an einen anderen Host (zB web.de oder gmx) erhalte ich folgende mail.logs: (Das Problem ist unabhängig von Roundcube, da Mails die ich mit den Mailaccounts meines Servers über Thunderbird verschicke ebenfalls mit den selben Fehlermeldungen nicht ankommen)

Code: 
Mar 15 18:17:43 Ubuntu-1404-trusty-64-minimal postfix/pickup[12667]: E59EA460985: uid=33 from=<lukas.mueller@marketstrategy.de>
Mar 15 18:17:43 Ubuntu-1404-trusty-64-minimal postfix/cleanup[13033]: E59EA460985: message-id=<b4345b0296c773d33fc61facfbbc8ef6@marketstrategy.de>
Mar 15 18:17:43 Ubuntu-1404-trusty-64-minimal dovecot: imap-login: Login: user=<lukas.mueller@marketstrategy.de>, method=PLAIN, rip=136.243.54.13, lip=136.243.54.13, mpid=13071, secured, session=<qqNNkxkuQACI8zYN>
Mar 15 18:17:43 Ubuntu-1404-trusty-64-minimal postfix/qmgr[9591]: E59EA460985: from=<lukas.mueller@marketstrategy.de>, size=699, nrcpt=1 (queue active)
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/smtp[13072]: E59EA460985: to=<luggie@gmx.net>, relay=mx00.emig.gmx.net[212.227.15.9]:25, delay=0.16, delays=0.1/0.01/0.06/0, dsn=5.0.0, status=bounced (host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 550-Requested action not taken: mailbox unavailable 550-Reject due to policy restrictions. 550 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=136.243.54.13&c=poli)
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/cleanup[13033]: 15370460988: message-id=<20160315171744.15370460988@Ubuntu-1404-trusty-64-minimal.localdomain>
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/bounce[13073]: E59EA460985: sender non-delivery notification: 15370460988
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/qmgr[9591]: 15370460988: from=<>, size=3131, nrcpt=1 (queue active)
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/qmgr[9591]: E59EA460985: removed
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal dovecot: lmtp(13036): Connect from local
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal dovecot: imap(lukas.mueller@marketstrategy.de): Disconnected: Logged out in=671 out=982
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal dovecot: lmtp(13036, lukas.mueller@marketstrategy.de): gSx/OIFD6FbsMgAA4rfF6Q: msgid=<20160315171744.15370460988@Ubuntu-1404-trusty-64-minimal.localdomain>: saved mail to INBOX
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/lmtp[13035]: 15370460988: to=<lukas.mueller@marketstrategy.de>, relay=Ubuntu-1404-trusty-64-minimal.localdomain[private/dovecot-lmtp], delay=0.22, delays=0.07/0/0/0.15, dsn=2.0.0, status=sent (250 2.0.0 <lukas.mueller@marketstrategy.de> gSx/OIFD6FbsMgAA4rfF6Q Saved)
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal dovecot: lmtp(13036): Disconnect from local: Successful quit
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal postfix/qmgr[9591]: 15370460988: removed
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal dovecot: imap-login: Login: user=<lukas.mueller@marketstrategy.de>, method=PLAIN, rip=136.243.54.13, lip=136.243.54.13, mpid=13075, secured, session=<2ztbkxkuQgCI8zYN>
Mar 15 18:17:44 Ubuntu-1404-trusty-64-minimal dovecot: imap(lukas.mueller@marketstrategy.de): Disconnected: Logged out in=44 out=573
Mar 15 18:17:45 Ubuntu-1404-trusty-64-minimal dovecot: imap-login: Login: user=<lukas.mueller@marketstrategy.de>, method=PLAIN, rip=136.243.54.13, lip=136.243.54.13, mpid=13078, secured, session=<R/pmkxkuQwCI8zYN>
Mar 15 18:17:45 Ubuntu-1404-trusty-64-minimal dovecot: imap-login: Login: user=<lukas.mueller@marketstrategy.de>, method=PLAIN, rip=136.243.54.13, lip=136.243.54.13, mpid=13079, secured, session=<HFZnkxkuRACI8zYN>
Mar 15 18:17:45 Ubuntu-1404-trusty-64-minimal dovecot: imap(lukas.mueller@marketstrategy.de): Disconnected: Logged out in=120 out=707
Mar 15 18:17:45 Ubuntu-1404-trusty-64-minimal dovecot: imap(lukas.mueller@marketstrategy.de): Disconnected: Logged out in=308 out=21364


Die betreffenden Fehlermeldungen:
status=bounced (host mx00.emig.gmx.net[212.227.15.9] refused to talk to me: 550-Requested action not taken: mailbox unavailable 550-Reject due to policy restrictions. 550 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=136.243.54.13&c=poli
heißen entweder, das es die Mailadresse auf dem Hostserver nicht gibt (was nicht sein kann) oder dass eben Sicherheitsvorschriften nicht eingehalten wurden. Jemand eine Ahnung was es damit auf sich haben kann?
Vielen Dank schonmal & Grüße
Lukas
 
Last edited by a moderator:
Ist doch im Log zu lesen, dass dich GMX als Spammer gesperrt hat.
5xy Reject due to policy restrictions
The email has been rejected due to our current security policy. This may occur if the sender domain is known as a spam domain. To check if a domain is listed, you may use a lookup tool such as the following: Spamhaus. If you are still experiencing problems, please request your system administrator to contact us.
Click to expand...
http://postmaster.gmx.com/en/error-messages?ip=136.243.54.13&c=polic
 
Du versendest vielleicht zu viel Mails in zu kurzer Zeit and GMX oder Empfänger melde dich als Absender-Server als Spammer.
Wende dich über http://postmaster.gmx.com/en/contact/ an GMX damit du wieder freigeschaltet wirst.

Und dein Mailserver auf Port 25 meldet sich mit einem tollen Hostname:
220 Ubuntu-1404-trusty-64-minimal.localdomain ESMTP Postfix (Ubuntu)
Das will GMX auch nicht, dass so generische Domains verwendet werden.

Schau im Linux und in Postfix nach wie der Hostname gesetzt ist.

Und dein SSL-Zertifikat ist sowas von seltsam!
openssl s_client -connect 136.243.54.13:25 -starttls smtp
Loading 'screen' into random state - done
CONNECTED(00000168)
depth=0 CN = Ubuntu-1404-trusty-64-minimal
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = Ubuntu-1404-trusty-64-minimal
verify return:1
---
Certificate chain
0 s:/CN=Ubuntu-1404-trusty-64-minimal
i:/CN=Ubuntu-1404-trusty-64-minimal
---


openssl s_client -connect 136.243.54.13:993
Loading 'screen' into random state - done
CONNECTED(00000170)
depth=0 O = Dovecot mail server, OU = localhost, CN = localhost, emailAddress = root@marketstrategy.de
verify error:num=18:self signed certificate
verify return:1
depth=0 O = Dovecot mail server, OU = localhost, CN = localhost, emailAddress = root@marketstrategy.de
verify return:1
---
Certificate chain
0 s:/O=Dovecot mail server/OU=localhost/CN=localhost/emailAddress=root@marketstrategy.de
i:/O=Dovecot mail server/OU=localhost/CN=localhost/emailAddress=root@marketstrategy.de
---
 
Last edited by a moderator:
sende nicht mehr als eine Mail und es liegt nicht an gmx denke ich, weil andere Hoster den gleichen Fehler melden. Der gmx support schreibt auch leider viel zu langsam.
 
Erstelle dir bitte für Postfix und Dovecot neue Zertifikate und schreibe dort bei Common Name deine Hauptdomain rein.

Weißt du wie sowas geht?
 
1. Der bei Postfix verwendete Hostname muss zu einer IP auflösen können, und die IP muss zurück zu einem gültigen Domain auflösen können.
Das ist so nicht bei dir.
Meine Tests für deine IP zeigen:
root@s2 ~ # nc 136.243.54.13 25
220 marketstrategy.localdomain ESMTP Postfix (Ubuntu)

root@s2 ~ # nslookup marketstrategy.localdomain
Server: 213.133.99.99
Address: 213.133.99.99#53

** server can't find marketstrategy.localdomain: NXDOMAIN

root@s2 ~ # nslookup 136.243.54.13
Server: 213.133.99.99
Address: 213.133.99.99#53

Non-authoritative answer:
13.54.243.136.in-addr.arpa name = marketstrategy.

Authoritative answers can be found from:
54.243.136.in-addr.arpa nameserver = ns.second-ns.com.
54.243.136.in-addr.arpa nameserver = ns3.second-ns.de.
54.243.136.in-addr.arpa nameserver = ns1.your-server.de.

Was zeigt bei dir das:
hostname -b
hostname -f
postconf myhostname

Mögliche Abhilfe:
postconf -e "myhostname = mail.domain.tld"
hostname -f srv1.domain.tld
hostname -b srv1.domain.tld


2. Der Mail-Server sollte ein sinnvolles Zertifikat haben.
Das ist bei dir nicht so.
CN=Ubuntu-1404-trusty-64-minimal ist falsch. Da gehört eine Domain rein, kein lokaler Hostname.

Schau was bei dir ist:
root@s2 ~ # openssl s_client -connect 136.243.54.13:25 -starttls smtp
CONNECTED(00000003)
depth=0 CN = Ubuntu-1404-trusty-64-minimal
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = Ubuntu-1404-trusty-64-minimal
verify return:1
---
Certificate chain
0 s:/CN=Ubuntu-1404-trusty-64-minimal
i:/CN=Ubuntu-1404-trusty-64-minimal
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/CN=Ubuntu-1404-trusty-64-minimal
issuer=/CN=Ubuntu-1404-trusty-64-minimal
---
No client certificate CA names sent
---
SSL handshake has read 1508 bytes and written 451 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-GCM-SHA384
Session-ID: F4A82BE4DD8F60C0DC4E4F77C0F78040E9A42E920028D6E86F4C0F04A6EE81DD
Session-ID-ctx:
Master-Key: 527D558E865C90FD80FCAE553F088FF4F6F9CC9E1BE2F0C5FE37CC3BFA0EC481AF01100D7C6DD09AF660EF1152F446B3
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1458116075
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
250 DSN

Abhilfe:
openssl req -new -x509 -nodes -out server.crt -keyout server.key -days 365
cat server.key server.crt > /etc/postfix/postfix_default.pem
cat server.key server.crt > /usr/share/courier-imap/imapd.pem
cat server.key server.crt > /usr/share/courier-imap/pop3d.pem

und du startest die Mailserver dann neu.
Ich weiß ja nicht wie du dein Ubuntu installiert hast und wo deine Mail-Server-Zertifikate liegen, deswegen sind meine Angaben so.
 
Last edited by a moderator:
1. hostname = postconf hostname = marketstrategy
Die Ausgaben der nslookup commands sind unverändert. Schlecht?

2. habe die nach der Anleitung die ich zum installieren von Postfix/Dovecot benutzt habe (https://thomas-leister.de/internet/mailserver-ubuntu-server-dovecot-postfix-mysql/) eingebundenen snkeoil Certifikate erneuert. Jetzt tragen sie den CommonName marketstrategy. Genügt das?

Courier habe ich nicht installiert, weswegen die untersten beiden Zuweisungen wohl nicht wichtig sind.

Vielen Dank noch für deine Geduld und ausführliche Hilfe!
 
Nein, da marketstrategy kein vollständiger FQDN ist. Der könnte z.B. so aussehen: mail.marketstrategy.de (im Postfix konfigurieren, einen passenden A-Record anlegen, der auf die IP des Servers zeigt und auch im Zertifikat verwenden).
Statt eines selbstsignierten Zertifikats: Kostenlose Zertifkate, die von den gängien Browsern und Mailclients akzeptiert werden, gibt es z.B. bei LetsEncrypt oder StartSSL
 
marketstrategy ist KEINE Domain, kein vollqualifizierter Domainname (=FQDN).

Korrekter Hostname als Beispiel:
server1.marketstrategy.de

Postconf myhostname:
mail.marketstrategy.de

Beim Zertifkatserstellung als Common Name:
mail.marketstrategy.de

Wieso das Snakeoil-Zertifikat? Das ist zum Rumspielen gedacht.
Warum gehts du nicht so vor wie ich beschrieb.

Dass sowohl mail.marketstrategy.de als auch server1.marketstrategy.de in deinen DNS-Einstellungen auflösbar sein müssen, sollte dir klar sein.
Es muss also in der Zonendatei auch ein Eintrag vorhanden sein.
mail.marketstrategy.de. IN A 136.243.54.13
server1.marketstrategy.de. IN A 136.243.54.13


So verständlich ist mir nicht warum du nicht meine Hinweise befolgst?
Mir fehlt auch gerade die Zeit, dir Nachhilfe im Administrieren eines Linux-Server zu geben.
 
Last edited by a moderator:
GwenDragon said:
Postconf myhostname:
mail.marketstrategy.de

Beim Zertifkatserstellung als Common Name:
marketstrategy.de
Click to expand...

Nein, als Common Name für das Zertifikat des Mailservers muß es auch mail.marketstrategy.de sein, wenn es nicht gerade ein Wildcard-Zertifikat ist - sonst gibt es eine Zertifikatswarnung, dass das Zertifikat nicht zur Domain paßt. Im Mail-Client wird der SMTP/IMAP/POP3 Server dann auch als mail.marketstrategy.de eingetragen.
 
Oh ja, es ist ja kein Wildcard-Zertifikat bei dem selbsterstellten.
Ja, stimmt. Das kommt vom hastigen schreiben. Mein Fehler.

mail.marketstrategy.de muss CN sein.
 
so
habe nun hetzner.marketstrategy.de als hostname, webmail.marketstrategy.de als postconf hostname (mail.marketstrategy.de hieß der host meines alten Servers von dem ich die Mailkonten gerade übernehme. Diese waren nicht auf einem root Server sondern von Hetzner verwaltet und SSL Zertifiziert (nicht kostenlos über thawte). Um eventuelle Komplikationen zu vermeiden hab ich also webmail und nicht mail.marketstrategy.de genommen)
Die Tests von mxtoolbox.com geben grünes Licht für Reverse DNS, SMTP und MX RECORD Tests. Sollte nun stimmen oder?

Mit dem SSL Zertifikat habe ich immer noch Probleme.
Habe nun bei StartSSL ein Zertifikat bekommen und installiert und mit

Code: 
smtpd_tls_cert_file=/var/.../ssl/webmail_i.crt
smtpd_tls_key_file=/var/../ssl/webmail.key
smtpd_tls_CAfile=/var/.../ssl/webmail.crt

statt

Code: 
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

eingebunden. Als CN habe ich webmail.marketstrategy.de genommen.
(= postconf myhostname)

Mein DNS Eintrag sieht mittlerweile folgendermaßen aus:

Code: 
...
@                        IN NS      robotns3.second-ns.com.
@                        IN NS      robotns2.second-ns.de.
@                        IN NS      ns1.first-ns.de.
 
@                        IN A       136.243.54.13
hetzner.marketstrategy.de.       IN A       136.243.54.13
localhost                IN A       127.0.0.1
webmail                  IN A       136.243.54.13
webmail.marketstrategy.de.       IN A       136.243.54.13
www                      IN A       136.243.54.13
ftp                      IN CNAME   www
imap                     IN CNAME   webmail
loopback                 IN CNAME   localhost
pop                      IN CNAME   webmail
relay                    IN CNAME   webmail
smtp                     IN CNAME   webmail
@                        IN MX 10   webmail

leider folgende Ausgabe:
Code: 
CONNECTED(00000003)
140055901521568:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown proto                                                    col:s23_clnt.c:795:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 281 bytes and written 330 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
 
Solange du keine Zertifikatsbasierte Authentifizierung nutzt, ist smtpd_tls_CAfile leer (da würde das Cert deiner eigenen CA rein kommen).
Ansonsten in smtpd_tls_key_file gehört der private Schlüssel zu deinem Zertifikat, in smtpd_tls_cert_file die komplette Zertifikatskette (StartSSL verwendet Zwischenzertifikate).
Bezüglich DNS-Setup:
Code: 
webmail                  IN A       136.243.54.13
webmail.marketstrategy.de.       IN A       136.243.54.13
sind identisch, einer reicht.
 
Auch wenn es nix mit dem Titel Roundcube+ Postfix zu tun hat: wenn du deinen IMAP-Server noch richtig mit dem Zertifikat versorgst, passt es ;)
 
Das würde dann genauso funktionieren wie in Postfix oder? Also mit StartSSL und die jeweiligen .key/.crt Dateien in /etc/dovecot/conf.d/10-ssl-conf
Code: 
ssl = required
ssl_cert = </etc/dovecot/ssl/certificate.crt
ssl_key = </etc/dovecot/ssl/private.key
oder
Code: 
ssl = required
ssl_cert = </etc/dovecot/ssl/keys.pem
ssl_key = </etc/dovecot/ssl/keys.pem
ssk_
bzw könnte ich dafür die selben crt/key Dateien verwenden wie für Postfix?
könnte ich dann testen, ob das Zertifikat funktioniert mittels:
Code: 
openssl s_client -connect 136.243.54.13:143
?

Gibt es auch kostenfreie SSL Zertifikate, die länger haltbar sind als 30 Tage?
 
Last edited by a moderator:
Ja, sofern du SMTP und IMAP über den gleichen FQDN ansprichst, kannst du das gleiche Zertifikat verwenden - am besten auch die gleiche Datei verwenden, dann mußt du sie nur einmal tauschen, wenn das Zertifikat durch ein neues ersetzt werden muß.
Das Class1-Zertifikat von StartSSL ist 1 Jahr gültig. Die 30 Tage beziehen sich nur auf den Validation-Zeitraum, d.h. innerhalb von 30 Tagen kannst du für die validierte Domain weitere Zertifikate erstellen, danach mußt du sie erneut mit einer Validierungsmail validieren, falls du weitere Zertifikate brauchst. 14 Tage, bevor das Zertifikat ungültig wird, bekommst du eine Mail von StartSSL, dass es abläuft und dann kannst du dir ein neues für die jeweilige Subdomain erstellen (ohne das alte revoken zu müssen).
 
You must log in or register to reply here.
Back
Top