Postfix: Relay access denied

A

agarbathi

New Member
Hallo zusammen,

ich weiß das einige jetzt bestimmt schon beim lesen der Überschrift zusammenzucken werden, aber ich habe hier im Forum lange die Beiträge zu dem Thema durchsucht und gelesen. Leider ohne einen Lösungsansatz. Deshalb poste ich mal:

Das System ist auf einem Root Server der auf Debian Lenny läuft. Postfix, Docvecot und saslauth sind installiert.

Bisher funktioniert das abholen der mails via Thunderbird über pop3. Dazu mal den Auszug aus der /var/log/mail.info:

Code: 
Mar  6 12:18:44 n112h118 dovecot: Dovecot v1.0.15 starting up
Mar  6 12:23:22 n112h118 postfix/smtpd[3273]: connect from localhost[127.0.0.1]
Mar  6 12:23:24 n112h118 postfix/smtpd[3273]: lost connection after EHLO from localhost[127.0.0.1]
Mar  6 12:23:24 n112h118 postfix/smtpd[3273]: disconnect from localhost[127.0.0.1]
Mar  6 12:26:21 n112h118 dovecot: pop3-login: Login: user=<mailuser>, method=PLAIN, rip=XXX.XXX.34.24, lip=XXX.XXX.112.118, TLS
Mar  6 12:26:21 n112h118 dovecot: POP3(mailuser): Disconnected: Logged out top=0/0, retr=0/0, del=0/0, size=0
Mar  6 12:27:32 n112h118 postfix/smtpd[3282]: connect from mail-bw0-f42.google.com[209.85.214.42]
Mar  6 12:27:33 n112h118 postfix/smtpd[3282]: 0215C5220E8: client=mail-bw0-f42.google.com[209.85.214.42]
Mar  6 12:27:33 n112h118 postfix/cleanup[3287]: 0215C5220E8: message-id=<4D736FBB.2020305@googlemail.com>
Mar  6 12:27:33 n112h118 postfix/qmgr[3006]: 0215C5220E8: from=<Absender@googlemail.com>, size=2028, nrcpt=1 (queue active)
Mar  6 12:27:33 n112h118 postfix/local[3288]: 0215C5220E8: to=<mailuser@meinedomain.de>, relay=local, delay=0.17, delays=0.07/0.01/0/0.09, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Mar  6 12:27:33 n112h118 postfix/qmgr[3006]: 0215C5220E8: removed
Mar  6 12:28:03 n112h118 postfix/smtpd[3282]: disconnect from mail-bw0-f42.google.com[209.85.214.42]
Mar  6 12:28:24 n112h118 dovecot: pop3-login: Login: user=<mailuser>, method=PLAIN, rip=XXX.XXX.34.24, lip=XXX.XXX.XXX.XXX, TLS
Mar  6 12:28:25 n112h118 dovecot: POP3(mailuser): Disconnected: Logged out top=0/0, retr=1/2166, del=0/1, size=2149
Mar  6 12:28:52 n112h118 postfix/smtpd[3282]: connect from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]
Mar  6 12:28:53 n112h118 postfix/smtpd[3282]: NOQUEUE: reject: RCPT from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]: 554 5.7.1 <Absender@googlemail.com>: Relay access denied; from=<mailuser@meinedomain.de> to=<Absender@googlemail.com> proto=ESMTP helo=<[XXX.XXX.34.24]>
Mar  6 12:29:01 n112h118 postfix/smtpd[3282]: disconnect from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]

hier kommt dann beim Beantworten bzw. senden der Mail über smtp dann der Fehler Relay acess denied.

Meine /etc/postfix/main.cf:

Code: 
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

myhostname = meinedomain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = n112h118.rs.de.inter.net, localhost.rs.de.inter.net, meinedomain.de, meinedomain.de$
relayhost =
#mynetworks = XXX.XXX.112.118
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, XXX.XXX.112.118
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all


smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = mx.meinedomain.de
smtpd_recipent_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destinat$
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

Die Ausgabe von saslfinger -s:

Code: 
saslfinger - postfix Cyrus sasl configuration So 6. Mär 12:23:21 CET 2011
version: 1.0.4
mode: server-side SMTP AUTH

-- basics --
Postfix: 2.5.5
System: Debian GNU/Linux 5.0 \n \l

-- smtpd is linked to --
        libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb74c2000)

-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = smtp.MeineDomain.de
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes


-- listing of /usr/lib/sasl2 --
insgesamt 688
drwxr-xr-x  2 root root  4096  3. Mär 16:06 .
drwxr-xr-x 52 root root 20480  3. Mär 16:07 ..
-rw-r--r--  1 root root 13476 24. Mai 2009  libanonymous.a
-rw-r--r--  1 root root   855 24. Mai 2009  libanonymous.la
-rw-r--r--  1 root root 13016 24. Mai 2009  libanonymous.so
-rw-r--r--  1 root root 13016 24. Mai 2009  libanonymous.so.2
-rw-r--r--  1 root root 13016 24. Mai 2009  libanonymous.so.2.0.22
-rw-r--r--  1 root root 15814 24. Mai 2009  libcrammd5.a
-rw-r--r--  1 root root   841 24. Mai 2009  libcrammd5.la
-rw-r--r--  1 root root 15352 24. Mai 2009  libcrammd5.so
-rw-r--r--  1 root root 15352 24. Mai 2009  libcrammd5.so.2
-rw-r--r--  1 root root 15352 24. Mai 2009  libcrammd5.so.2.0.22
-rw-r--r--  1 root root 46420 24. Mai 2009  libdigestmd5.a
-rw-r--r--  1 root root   864 24. Mai 2009  libdigestmd5.la
-rw-r--r--  1 root root 43500 24. Mai 2009  libdigestmd5.so
-rw-r--r--  1 root root 43500 24. Mai 2009  libdigestmd5.so.2
-rw-r--r--  1 root root 43500 24. Mai 2009  libdigestmd5.so.2.0.22
-rw-r--r--  1 root root 13650 24. Mai 2009  liblogin.a
-rw-r--r--  1 root root   835 24. Mai 2009  liblogin.la
-rw-r--r--  1 root root 13460 24. Mai 2009  liblogin.so
-rw-r--r--  1 root root 13460 24. Mai 2009  liblogin.so.2
-rw-r--r--  1 root root 13460 24. Mai 2009  liblogin.so.2.0.22
-rw-r--r--  1 root root 29076 24. Mai 2009  libntlm.a
-rw-r--r--  1 root root   829 24. Mai 2009  libntlm.la
-rw-r--r--  1 root root 28532 24. Mai 2009  libntlm.so
-rw-r--r--  1 root root 28532 24. Mai 2009  libntlm.so.2
-rw-r--r--  1 root root 28532 24. Mai 2009  libntlm.so.2.0.22
-rw-r--r--  1 root root 13970 24. Mai 2009  libplain.a
-rw-r--r--  1 root root   835 24. Mai 2009  libplain.la
-rw-r--r--  1 root root 14036 24. Mai 2009  libplain.so
-rw-r--r--  1 root root 14036 24. Mai 2009  libplain.so.2
-rw-r--r--  1 root root 14036 24. Mai 2009  libplain.so.2.0.22
-rw-r--r--  1 root root 21710 24. Mai 2009  libsasldb.a
-rw-r--r--  1 root root   866 24. Mai 2009  libsasldb.la
-rw-r--r--  1 root root 18080 24. Mai 2009  libsasldb.so
-rw-r--r--  1 root root 18080 24. Mai 2009  libsasldb.so.2
-rw-r--r--  1 root root 18080 24. Mai 2009  libsasldb.so.2.0.22

-- listing of /etc/postfix/sasl --
insgesamt 12
drwxr-xr-x 2 root root 4096  3. Mär 21:06 .
drwxr-xr-x 3 root root 4096  3. Mär 16:30 ..
-rw-r--r-- 1 root root  109  3. Mär 21:06 smtpd.conf




-- content of /etc/postfix/sasl/smtpd.conf --
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true


-- content of /etc/postfix/sasl/smtpd.conf --
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true



-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       -       -       -       smtpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

-- mechanisms on localhost --
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN


-- end of saslfinger output --


Was mich etwas wundert ist die Ausgabe von:

Code: 
testsaslauthd -f /var/run/saslauthd/mux -u usermail -p password
0: OK "Success."

testsaslauthd -f /var/spool/postfix/var/run/saslauthd/mux -u usermail -p password
connect() : No such file or directory

Möglicherweise ist es ein flüchtigkeitsfehler... nur manchesmal sieht man den Wald vor lauter Bäumen nicht mehr. Ich wäre euch so Dankbar für einen Hinweis wie ich dieses Problem noch in den Griff bekomme!!

Besten Dank
 
Last edited by a moderator:
hatte in der /etc/default/saslauthd noch einen kleinen Fehler gefunden.
Code: 
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

musste die Zeile noch hinzufügen.

somit ergibt:

Code: 
testsaslauthd -f /var/spool/postfix/var/run/saslauthd/mux -u usermail -p passwort
0: OK "Success."

leider bleibt das Problem weiterhin bestehen... :-(

Vielleicht hhat jemand noch eine Idee warum keine mails rausgehen?

Danke euch
 
Mar 6 12:28:53 n112h118 postfix/smtpd[3282]: NOQUEUE: reject: RCPT from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]: 554 5.7.1 <Absender@googlemail.com>: Relay access denied; from=<mailuser@meinedomain.de> to=<Absender@googlemail.com> proto=ESMTP helo=<[XXX.XXX.34.24]>
Click to expand...
Kann es sein, dass du dich nicht bei deinem Mailserver per smptauth authentifizierst?
 
Du meinst seitens des Mailclients?

hab Thunderbird 3.x ausprobiert und zusätzlichch noch FS Mail. FS Mail bietet noch die alten Einstellungsmöglichkeiten sich per smtpauth anzumelden. Leider ist es immer das selbe Problem.

Ich bin auch darüber verwundert, das wenn ich den test via Telnet mache ich nicht über die 220 Meldung hinwegkomme. bleibt einfach in der ersten Zeile stehen und ich muss dann immer abbrechen.

Ich bin wirklich restlos ratlos?!

Aber was mich noch ein bischen wundert sind diese Ausgaben:

Code: 
Server:        xxx.xxx.112.4
Address:        xxx.xxx.112.4#53

Non-authoritative answer:
*** Can't find meinedomain.de: No answer

Authoritative answers can be found from:
meineDomain
        origin = k1.kundencontroller.de
        mail addr = hostmaster.kundencontroller.de
        serial = 0
        refresh = 10800
        retry = 3600
        expire = 604800
        minimum = 3600

warum er diese Ausgaben gibt?? Es ist von mir anders in den DNS einstellungen eingestellt.

oder auch diese Ausgabe:

Code: 
dig mx.meinedomain.de

; <<>> DiG 9.6-ESV-R3 <<>> mx.meinedomain.de
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10764
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;mx.meinedomain.de.                        IN      A

;; ANSWER SECTION:
mx.meineDomain.de.         86132   IN      A      xxx.xxx.xxx.xxx

;; Query time: 0 msec
;; SERVER: xxx.xxx.112.4#53(xxx.xxx.112.4)
;; WHEN: Wed Mar  9 12:47:25 2011
;; MSG SIZE  rcvd: 48
 
Last edited by a moderator:
Supi, endlich die Lösung gefunden:

Problem war die Zeile:

Code: 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128,

hier war der Fehler schon drin... nimmt natürlich nur Mails von der lokalen Maschine an, und somit war es von anderen Netzwerken nicht möglich Mails über via Mailclient zu versenden.

Code: 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 0.0.0.0/0

brachte dann die Lösung! :-)

Noch eine Frage dazu: gibt es da eigentlich die Möglichkeit Postfix so zu konfigurieren..den Ausgang speziell an eine Domain zu binden. Also nicht von jeder IP erlaubt, dafür aber beispielsweise von nur von gmx.de oder web.de etc.??

besten Dank!
 
agarbathi said:
Code: 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 0.0.0.0/0
Click to expand...
m(

Glückwunsch zum offenen Relay. Mit den Informationen aus deinem ersten Beitrag (Hostname deines Systems) hat jetzt wirklich jeder einen SMTP-Server zur Hand, mit dem man beliebig E-Mails verschicken kann.

Code: 
$ nc n112h118.**.**.*****.net 25
220 mail.row-****.de ESMTP Postfix (Debian/GNU)
EHLO there
250-mail.row-****.de
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
MAIL FROM:<>
250 2.1.0 Ok
RCPT TO:<test@example.com>
250 2.1.5 Ok
QUIT
221 2.0.0 Bye
 
Last edited by a moderator:
ja, das ist richtig... :-( Hab den Beitrag abgeändert

Ok, dann frage ich mal welche Verbesserungen dazu führen das ich den Mailserver sicherer machen kann?
 
Last edited by a moderator:
Ist geändert!!

ok, war wirklich ein böses Foul.. ich kann jetzt nachvollziehen welche Auswirkungen das gehabt haben hätte können, wenn der Server jetzt ständig online gewesen wäre. Aber welche Möglichkeiten habe ich nun??
Kann ich beispielsweise Access Tabellen anlegen die explezit nur bestimmten Absender erlauben eine Mail über diesen Server zu verschicken...? Wie verhält sich das jetzt bei einem installierten CMS System... das sollte doch nun mails versicken, da ja wenigsten das versenden von der lokalen Maschine erlaubt ist?

Danke für eure Hilfe
 
You must log in or register to reply here.
Back
Top