Postfix mag mails vom relay nicht..

[Domi]

Hallo Leute
Eigentlich wollte ich ja jetzt nichts mehr fragen, da fast alles läuft.. Aber ein kleines Problem gibt es dann doch noch

Es geht um folgendes, ich kann von meinem Thunderbird Client Emails an Postfix übergeben und versenden, keine Probleme. Auch Empfangen funktioniert! In der Firma steht ein Kerio Mail-Server der nur "Relay" macht, damit das Versenden von Emails mit großen Anhängen sofort am Client weg ist und die Kollegen weiter arbeiten können. Der Kerio übergibt diese Email dann an den Postfix und von dort geht die Mail dann den üblichen Weg.

Da ist nun der Knackpunkt, ich möchte das nun wieder weiter machen.. da wir im Büro nur eine kleine DSL Leitung haben. Problematik ist allerdings folgende Meldung vom Kerio...

Dies ist eine Informationsnachricht gesendet durch SERVER.xxx.local.

Der Server konnte Ihre Nachricht

Subject: Test Email
Date: Tue, 28 Feb 2012 22:28:01 +0100

nicht an folgende Adressen zustellen:

<d.wrede@eltze-info.de> (78.xx.xxx.xxx: 554 5.7.1 Service unavailable; Cli
ent host [79.239.xx.xx] blocked using zen.spamhaus.org; http://www.spamhaus
.org/query/bl?ip=79.239.xx.xx)

So, nun habe ich einfach einmal die WAN IP vom Firmen DSL Anschluss in der main.cf (mynetworks) eingetragen und alles geht. Aber woher könnte das Problem kommen, was ich da gerade habe? Zumal das nicht der erste Postfix ist, an den ich von einem anderen Mail-Server keine Mails übergeben kann

Hier mal die Passage zu den geblockten Mails...

Feb 28 22:28:03 mail01 postfix/smtpd[2446]: connect from p4FEF1xxx.dip0.t-ipconnect.de[79.239.xx.xx]
Feb 28 22:28:03 mail01 postfix/smtpd[2446]: NOQUEUE: reject: RCPT from p4FEF1xxx.dip0.t-ipconnect.de[79.239.xx.xx]: 554 5.7.1 Service unavailable; Client host [79.239.xx.xx] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.239.xx.xx; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 22:28:03 mail01 postfix/smtpd[2446]: disconnect from p4FEF12C4.dip0.t-ipconnect.de[79.239.xx.xx]

Ich habe einfach mal meine Restrictions raus gezogen aus der main.cf, und hoffe Ihr könnt mir mal sagen was daran falsch ist oder wo der Harken an der Geschichte ist...

################
# SMTPD restrictions
smtpd_recipient_restrictions =
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unknown_sender_domain,
 reject_unknown_recipient_domain,
 permit_sasl_authenticated,
 permit_mynetworks,
 reject_rbl_client zen.spamhaus.org,
 reject_rbl_client ix.dnsbl.manitu.net,
 reject_rbl_client bl.spamcop.net,
 reject_unverified_recipient,
 reject_unauth_destination,
 permit

smtpd_helo_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname

smtpd_sender_restrictions =
 reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 permit_mynetworks,
 permit_sasl_authenticated

Ich danke schon mal für die Hilfe der älteren Geschichten und ich hoffe mal, dass man mir auch hierbei noch helfen kann

Mfg. Anubis

 

[dotme]

Weiss nicht ob Du das hier bist, aber Du kannst wohl Kerio anweisen sich beim Relay zu authentifizieren (SMTP Delivery tab) und dann sollte Dein "permit_sasl_authenticated" die RBL-Prüfung gar nicht mehr auslösen.

 

[Domi]

Doch, genau der bin ich.. Und genau bei dem gleichen Problem stehe ich noch immer..

Es war sogar schon eingestellt, dass er Auth machen soll.. "POP3 vor SMTP" und auch "SMTP Auth Command" hatte ich schon mal eingestellt. Doch Postfix lehnt mich ab..

Wenn ich jetzt einfach den Submission-Port aktiviere, muss ich denn dafür auch Zertifikate anlegen? Sonst probiere ich das einmal aus.. ist aber nur eine Idee.

 

[dotme]

Wie lauteten denn die Logmeldungen als das Versenden mit "SMTP Auth Command" abgelehnt wurde?

 

[Domi]

Im Log steht bei beiden Varianten genau das gleiche..

 

[dotme]

Das kann ich fast nicht glauben und ist eigentlich auch nicht die Antwort auf meine Frage.

 

[Domi]

So, ich bin jetzt einmal die gesamte mail.log durch gegangen...

Feb 28 23:14:09 mail01 postfix/smtpd[2907]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 28 23:14:09 mail01 postfix/smtpd[2907]: connect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]
Feb 28 23:14:09 mail01 postfix/smtpd[2907]: NOQUEUE: reject: RCPT from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]: 554 5.7.1 Service unavailable; Client host [79.239.18.196] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.239.18.196; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 23:14:09 mail01 postfix/smtpd[2907]: disconnect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]

Feb 28 23:18:23 mail01 postfix/smtpd[2947]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 28 23:18:23 mail01 postfix/smtpd[2947]: connect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]
Feb 28 23:18:23 mail01 postfix/smtpd[2947]: NOQUEUE: reject: RCPT from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]: 554 5.7.1 Service unavailable; Client host [79.239.18.196] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.239.18.196; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 23:18:23 mail01 postfix/smtpd[2947]: disconnect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]

Feb 28 23:20:07 mail01 postfix/smtpd[2963]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 28 23:20:07 mail01 postfix/smtpd[2963]: connect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]
Feb 28 23:20:08 mail01 postfix/smtpd[2963]: NOQUEUE: reject: RCPT from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]: 554 5.7.1 Service unavailable; Client host [79.239.18.196] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.239.18.196; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 23:20:08 mail01 postfix/smtpd[2963]: disconnect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]

Feb 28 23:21:57 mail01 postfix/smtpd[3067]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 28 23:21:57 mail01 postfix/smtpd[3067]: connect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]
Feb 28 23:21:58 mail01 postfix/smtpd[3067]: NOQUEUE: reject: RCPT from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]: 554 5.7.1 <p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]>: Client host rejected: Access denied; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 23:21:58 mail01 postfix/smtpd[3067]: disconnect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]

Feb 28 23:23:45 mail01 postfix/smtpd[3088]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 28 23:23:45 mail01 postfix/smtpd[3088]: connect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]
Feb 28 23:23:46 mail01 postfix/smtpd[3088]: NOQUEUE: reject: RCPT from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]: 554 5.7.1 <p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]>: Client host rejected: Access denied; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 23:23:46 mail01 postfix/smtpd[3088]: disconnect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]

Feb 28 23:59:04 mail01 postfix/smtpd[3391]: warning: dict_nis_init: NIS domain name not set - NIS lookups disabled
Feb 28 23:59:04 mail01 postfix/smtpd[3391]: connect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]
Feb 28 23:59:04 mail01 postfix/smtpd[3391]: NOQUEUE: reject: RCPT from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]: 554 5.7.1 Service unavailable; Client host [79.239.18.196] blocked using zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.239.18.196; from=<service@xxx.de> to=<d.wrede@xxx.de> proto=ESMTP helo=<SERVER.xxx.local>
Feb 28 23:59:04 mail01 postfix/smtpd[3391]: disconnect from p4FEFxxxx.dip0.t-ipconnect.de[79.239.18.196]

Mir ist gerade noch eins eingefallen.. es sind zwei Anmeldungen rejected worden, mit der Meldung "Access denied" und wenn ich so meine händische Liste durch gucke, kann ich folgendes sagen...

1. Ich habe in der master.cf den submission Port aktiviert!
2. Einmal hat der Kerio gesagt das er Submission nur verwenden kann, wenn ich TLS aktiviert habe. Das tat ich dann auch und dann kam "Access denied" als Meldung zurück.

Vielleicht ist das ein Ansatz... mir persönlich sagt das schon mal, dass der Auth mit einem TLS / SSL funktioniert, aber falsch ist

Mfg. Anubis

Nachtrag1: Was mir gerade so einfällt.. Wenn das Problem am Login liegt, muss ja in meiner dovecot.conf das Problem sein. Denn dadurch das ich SASL aktiviert habe und die Anmeldung über Dovecot läuft, schließe ich einfach mal darauf. Ich habe mal den auth Teil aus der dovecot.conf raus gezogen, vielleicht fällt der Fehler ja sofort ins Auge... mir zumindest nicht

auth default {
 mechanisms = plain login digest-md5 cram-md5 ntlm rpa
 user = vmail

 passdb sql {
  args = /etc/dovecot/dovecot-sql.conf
 }
 userdb sql {
  args = /etc/dovecot/dovecot-sql.conf
 }
 socket listen {
  client {
   path = /var/spool/postfix/private/auth
   mode = 0660
   user = postfix
   group = postfix
  }
 }
 socket listen {
  master {
   path = /var/run/dovecot/auth-master
   mode = 0600
   user = vmail
   group = vmail
  }
 }
}

Nachtrag2: Als ich eben wegen TLS/SSL Zertifikat in meiner dovecot.conf drin war, ist mir noch ein Punkt ins Auge gestochen.. Aber auch nur, weil ich in der dovecot.conf.bak drin war und das dort auch gesehen hatte...

disable_plaintext_auth = no

könnte der Teil auch Probleme machen? Testen kann ich leider immer erst am Abend, wenn über diese Domain nicht mehr gearbeitet wird.

Nachtrag3: Ich glaube ich hab es.. weiß aber noch nicht genau, wie ich es löse. Ich habe mir Zertifikate angelegt für die Anmeldung. Dann habe ich auf STARTSSL bei der Übertragung eingestellt und alles läuft. Jetzt habe ich "verschlüsseltes Passwort" eingetragen, und im mail.log steht folgendes drin...

Feb 29 16:14:39 mail01 dovecot: imap-login: Disconnected (auth failed, 2 attempts): user=<d.wrede@xxx.de>, method=CRAM-MD5, rip=79.xxx.18.xxx, lip=78.xx.xx.xx, TLS

es scheint mit den verschlüsselten Kennwörter Probleme zu geben.. Jetzt kommt die Frage aller Fragen.. wie löse ich das Problem?

 

[Domi]

Yes... über den Submission-Port und einem erstellten Zertifikat konnte ich die Emails versenden. Ich weiß zwar noch nicht, wieso ich nicht verschlüsselte Kennwörter übertragen kann, aber Kerio nimmt es nun an. Wobei ich noch nicht weiß, ob noch etwas an den Einstellungen fehlt...

submission inet n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING

Sonst bin ich zufrieden... gibt es noch ein oder zwei RBLs die man verwenden kann, neben zen.spamhaus.org, ix.dnsbl.manitu.net, bl.spamcop.net??

Gruß, Domi

 

[danton]

Verschlüsselte Kennwörter brauchst du eigentlich nur, wenn du eben kein SSL/TLS einsetzt. Allerdings setzt beispielsweise CRAM-MD5 auch voraus, daß das Passwort auf dem Server im Klartext gespeichert ist. Da aber die meisten Howtos darüf sorgen, daß Passwörter als Hash auf dem Server gespeichert werden, gehe ich mal davon aus, daß es bei dir auch so sein wird. Du kannst dann in der Konfig von Dovecot alle Auth-Methoden mit Ausnahme von plain und login raus nehmen.

 

[Domi]

Allerdings setzt beispielsweise CRAM-MD5 auch voraus, daß das Passwort auf dem Server im Klartext gespeichert ist. Da aber die meisten Howtos darüf sorgen, daß Passwörter als Hash auf dem Server gespeichert werden...

Okay, dass war mir nicht bewusst mit dem CRAM-MD5, aber gut zu wissen... und ja, ich bin nach How-To gegangen und habe bewusst auf MD5 gestellt, denn wenn ich mir selbst ein Webinterface bauen will, kann ich einfach md5(); verwenden

Und was die verschlüsselten Kennwörter angeht, dann stelle ich auf "password, normal" im Thunderbird und an den anderen Clients und gut. Bis jetzt läuft alles problemlos, submission funktioniert und im Moment bin ich zufrieden.

Ich denke mal, den Server kann ich so laufen lassen...
Gruß, Domi

Nachtrag1: Ich habe etwas herausgefunden.. das glaubt man nicht. Ich habe damals bei der Einrichtung vom Kerio einen Fehler gemacht (glaube ich), die Lokale Domain im Kerio ist die gleiche die auch wirklich unsere Domain ist. Und es gibt eine Einstellung die Emails an einen Server nur weiterleitet, wenn die Postfächer nicht in der Domäne existieren. Und dafür gibt es in unserer Kerio Version kein Auth! Dass ist das Problem.. im Prinzip müsste ich nun die Lokale Domain auf "domain.local" umstellen, und dann sollte es problemlos mit dem Relaying funktionieren

Nachtrag2: Ich habe jetzt mal einen Screenshot von der Option beigefügt die mir das Problem bereitet. Da leitet er nämlich nur an einen anderen MX weiter.. mehr nicht.. Daher auch die Probleme.