PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix und Smarthost (relay)



ThyMaster
13.10.03, 17:03
Hi,

da mein Server mit einer dynamische IP arbeitet, lehnen einige ISPs (z.B. AOL) Mails, die von meinem MTA (Postfix) kommen ab.

Als Lösung hab ich nun einfach

relayhost = webmail.hansenet.de
in die /etc/postfix/main.cf eingetragen.

Leider kommen nun alle Mails, die ich versende mit
RCPT TO:<falko@sun.com> Relaying not allowed
vom HanseNet Mailserver zurück.

Was muß ich tun, damit alle Mails, die ich von meinem Netz aus versende, auch über den Hansenet-Mailserver weitergeleitet werden?

Gruß
Falko

himbeere
13.10.03, 22:35
Dich bei dem Mailserver authentifizieren?

Thomas

ThyMaster
14.10.03, 08:49
Yepp, asoweit war ich auch schon.

Aber wie mache ich das (mit Postfix)?

Gruß
Falko

...und noch ein wenig gegoogelt und:
http://postfix.state-of-mind.de/patrick.koetter/smtpauth/smtp_auth_mailservers.html

:D

Jinto
14.10.03, 15:30
Ich an deiner Stelle würde erstmal mit der Anleitung des Providers beginnen, da ich webmail.hansenet.de für eine sehr komische Adresse für ein mailrelay halte (nicht, dass es nicht möglich wäre, trotzdem ...).

HTH

ThyMaster
14.10.03, 16:02
Funzt!

Anleitung:
1. Einen speziellen Mailuser via HanseNet-Mailadmin angelegt (wozu hat man schließlich 5 Accounts ;) )

2. Dieser Mailuser wird ab sofort der Login für's Relay auf dem Mailserver von HanseNet (und ja: der FQDN ist webmail.hansenet.de

3. Eine /etc/postfix/sasl_passwd mit folgendem Inhalt erzeugt:

webmail.hansenet.de mail_user@domain.xy:login_password
und mit postmap hash:/etc/postfix/sasl_passwd in eine db gewandelt

4. In der /etc/postfix/main.cf folgende Zeilen hinzugefügt:

# Activate and define authentification for mail relay server
#
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options =
relayhost = webmail.hansenet.de

5. Postfix reloaded. Fettich!

Anm: Wer will will kann natürlich statt relayhost = webmail.hansenet.de auch mit transport maps arbeiten...

Was das obige tut:
Jede Mail die über meinen Mailserver (MTA) rausgeht wird nicht direkt zugestellt sondern an webmail.hansenet.de weitergeleitet (->relay).
Da der HanseNet-Server (natürlich) kein Open-Relay ist sondern eine Authentifizierung benötigt, gebe ich dem Relay-Request noch Login und PW mit.

Gruß
Falko

zini2001
14.10.03, 18:11
aber wozu brauchst du denn das?? es funzt offensichtlich......schön!!

bei mir verschickt postfix seine mails selber an die mailadresse die ich in meiner mail angebe! das ist das schönste daran. du bist total unabhängig von jeglichen isp!

aber das ist geschmacksache

zini

Jinto
14.10.03, 18:50
@ThyMaster
der FQDN zum versenden von mail is (siehe Hansenet FAQ): smtp.hansenet.de. Das webmail.hansenet.de funktioniert liegt daran, dass es sich um den gleichen Rechner handelt. Sollte sich das mal ändern wirst du ein Problem bekommen.

@zini2001
Du glaubst aber hoffentlich nicht, dass jede deiner Mails ankommt. Die Begründung findest du übrigens im ersten Post von ThyMaster.

HTH

zini2001
14.10.03, 20:48
dann ist der postfix nicht richtig konfiguriert!!!!!
wie glaubst du denn funzt der relay host??? das ist auch ein MTA wie postfix.
was soll denn da anders sein??? nur weil ich eine dynip hab soll das nicht klappen.....wenns so ist ist das ein grund mehr sich von AOL zu lösen!!!!!

Jinto
14.10.03, 21:13
Original geschrieben von zini2001
dann ist der postfix nicht richtig konfiguriert!!!!! Behauptest du.

was soll denn da anders sein??? nur weil ich eine dynip hab soll das nicht klappen.....wenns so ist ist das ein grund mehr sich von AOL zu lösen!!!!! [/B] Du hast es es nicht verstanden, AOL hat sich von dir verabschiedet und einige andere auch.

zini2001
14.10.03, 22:43
???

das hast du vergessen anzugeben.....ist eigentlichdas wichtigste!!!!

wie glaubst du denn funzt der relay host??? das ist auch ein MTA wie postfix.


Du glaubst aber hoffentlich nicht, dass jede deiner Mails ankommt.

ich glaub das nicht nur; jede meiner mails kommt an!!!!:cool:


ps wie gesacht ich hab keine AOL...... wozu auch gibt genug andere anbieter....!!!

[WCM]Manx
14.10.03, 22:48
... schon was von MX-Einträgen gehört?

Manx

zini2001
14.10.03, 22:50
wenn meinst du mit hören?? ich für meinen teil hab was von denen gehört..!

zini

[WCM]Manx
14.10.03, 22:56
... hat dein Mailserver einen, wenn nicht hast Du mitunter obiges Problem ...

Manx

zini2001
14.10.03, 23:15
in meiner zonen datei ist kein MX record!! wozu auch??
wie sollte denn der eintrag deiner meinung aussehen??
irgendwie raff ich eure kurz und knappen antworten nicht!!!!

wenn ich ne mail schreibe ab ich einen from und ein to eintrag!
from ist meine locale mailadresse und to ist die adresse an die die mail geschickt werden soll!!

wenn die locale mailadresse abc@zuhause.netz lautet dann setz ich in der sender_canonical diesen namen auf eine im netz (meine mailadresse von meinem isp oder gmx oder so) routebare abc@domain.de adresse um
. das macht postfix beim senden dann für mich! postfix fragt die dns server (im netz oder auch den im lan wenn der forwarded) nach ob es die domain vom to eintag überhaupt gibt! wenn es die nicht gibt schickt postfix ne mail an dich zurück mit dem eintrag ->>undeliverd mail.....

wird die from adresse nicht umgesetzt dh. man verschickt die mail mit (from) abc@zuhause.netz kommt die auch mit dem absender (abc@zuhause.netz) im header an dem ziel an!!!! das geht solange gut, bis derjenige isp wo die mail hin soll to) die mail nicht annimmt, weil es die domain @zuhause.netz gar nicht gibt, und wird rejected. der macht dann nen jonny kontrolteti mit der mail.

ich hab auch mal einen relayhost benützt, bis mir aufgegangen ist das es auch ohne recht kompfortabel geht, weil ich von dem nicht abhängig bin....

und wozu brauche ich nu den MX record?? in diesem fall nicht!!

[WCM]Manx
14.10.03, 23:29
Hi!

Wenn Du eine Mail an xyz@xx.de schickst, erkundigt sich Dein postfix, welcher MTA denn für @xx.de zuständig ist. Da postfix jetzt die IP des zuständigen Mailservers hat, verbindet er sich dorhin auf port 25.
Nun kontrolliert der Mailserver von xx.de ob dein Mailserver auch einen gültigen MX-Eintrag hat. Weil er den nicht hat, werden auch keine Mails angenommen => Spamschutz. Das machen nicht viele, aber es werden immer mehr und das ist gut so.

... ausführlich genug?

Grüße

Manx

zini2001
14.10.03, 23:36
welchen MTA prüft er denn?? den von meinem isp
wo ich meine mail adresse hab(gmx web.de etc ) oder meinen local???

mir ist diese art von spamschutz noch nicht geläufig
nach meiner erfahrung haben MX einträge ( auch ) eine andere funktion....

hast du ein quellen nachweis wo man das mal nachlesen kann??
eine howto oder readme oder so was ??? nu sach nicht auf postfix.org
irgend wo muß du dein wissen ja herhaben ...also teile es mit den anderen!!

so long

zini

ps
wenn du sachst


Nun kontrolliert der Mailserver von xx.de ob dein Mailserver auch einen gültigen MX-Eintrag hat.

wo kommt dann der eintrag in die main.cf oder master.cf?? oder wo

Jinto
15.10.03, 03:16
Original geschrieben von zini2001
ich glaub das nicht nur; jede meiner mails kommt an!!!! das glaubst aber auch nur du.

ps wie gesacht ich hab keine AOL...... wozu auch gibt genug andere anbieter....!!! Es geht nciht darum, dass du AOL verwendest, sondern der Empfänger (und AOL ist nur ein Beispiel von vielen).

Man lese dazu:
AOL Mailmaster FAQ, MAPS (http://mail-abuse.org/) und dutzend andere Seiten zum Thema SPAM.


@[WCM]Manx
Wenn der MTA tatsächlich den MX heranzieht ist er wirklich flasch konfiguriert (was einige spezialisten nicht davon abhält es trotzdem zu machen :mad: )
Das es immer mehr machen ist im übrigen alles andere als gut (zumal ein MX Eintrag nicht einmal zwingend notwendig ist).

Nachlesen kann man diese tollen konfigurationen u. A. auf der Postfix Mailingliste (eher selten), im Usenet und bestimmt häufig auf der Spamassassin ML (das ist aber eine Vermutung)

ThyMaster
15.10.03, 09:13
Geiler Thread geworden, das ;)

Aaalso:
Erst einmal Dank an Jinta!
Der FQDN Eintrag wurde geändert :)

An alle anderen:
Schaut doch einmal in Euer /etc/var/mail Logfile....

Ihr werdet (falls Ihr Mails an solche Adressen gesandt habt) feststellen das Mails an:


aol.com
.aol.com
aol.de
.aol.de
aol.co.uk
.aol.co.uk
.rr.com
compuserve.com
cs.com
earthlink.net
earthlink.com
wmconnect.com
juno.com
netscape.com
netscape.net
netzero.com
fbi.gov

keine Mails von MTAs mit dynamic IPs annehmen!

Und die Liste ist garantiert nicht vollständig, da immer mehr ISPs der festen Überzeugung sind, dass Leute mit dynamischer IP meist irgendwelche Spammer oder zumindest Hansels sind, die aus Unwissenheit ihren MTA als OPen-Relay konfiguriert haben (also als potentielle Spam-Schleuder).

Gruß
Falko

[WCM]Manx
15.10.03, 09:59
Original geschrieben von Jinto

@[WCM]Manx
Wenn der MTA tatsächlich den MX heranzieht ist er wirklich flasch konfiguriert (was einige spezialisten nicht davon abhält es trotzdem zu machen :mad: )
Das es immer mehr machen ist im übrigen alles andere als gut (zumal ein MX Eintrag nicht einmal zwingend notwendig ist).


Hi Jinto!
Mir gefiel dieser MX-Check als Maßnahme gegen Spam anfangs auch gar nicht, da es sinnvollere Methoden gibt. Das ein Mailserver natürlich auch ohne MX-Eintrag funktioniert weiß ich, Hostnamen tun's ja auch (die gute alte Zeit ;) ).
Allerdings wen behindert der Check wirklich. Wenn ich zuhaus' mit meiner dynIP ein Mailserver betreiben will (z.B mit einen eigenen IMAP) verschicke ich über meinen Provider und gut.
Eine weitere Idee, ob es wirklich ohne Probleme möglich sein soll Emails mit falscher Adresse verschicken zu können, ist der nächste Punkt.
Ich bin da eher für SMTP-Auth mit Sender-Verification.

Aber Du hast recht es muss eigentlich RETURN-MX-Check heißen, für meine Qmail-MTAs:


RETURNMXCHECK

Rejects senders if they don't have a valid return MX
Default: off
Affects: qmail-smtpd
Example: "" (any value will do)
Note: This is quite useful even though it doesn't stops many spammers
today. But it ensures that you can send an email or a bounce
back to the sender. It is also useful for your own users/customers
because if they type a nonexistent sender into their "from" field
(typos!) it'll stop them the first time instead of getting help-
desk calls when nobody can reply to them.


Grüße

Manx

zini2001
15.10.03, 10:43
das ist ja lustig.....wenn diese probs auch bei mir in erscheinung treten sollten
dann meld ich mich wieder....*gähn*

ThyMaster
15.10.03, 12:10
Sorry, Doppel-Posting :mad:

ThyMaster
15.10.03, 12:11
Original geschrieben von zini2001
das ist ja lustig.....wenn diese probs auch bei mir in erscheinung treten sollten
dann meld ich mich wieder....*gähn*

Na dann Gute Nacht :ugly:

Denn: Ich glaube nicht, dass es sooooo unwahrscheinlich ist, dass Du z.B. mal eine Mail an einen AOL Account schickst.
Und wenn Deine Domain tatsächlich eine mit einer dynamischen IP Adresse ist, dann werden Mails nie bei dem AOL Account ankommen.

Aber natürlich kannst Du gerne weiterschlafen bis das passiert (ich hoffe nur, dass Du aufwachst, wenn die Mails nach ein paar Tagen ge-bounced zurückkommen...)

Gruß
Falko

Jinto
15.10.03, 14:09
Original geschrieben von [WCM]Manx
Hi Jinto!
Mir gefiel dieser MX-Check als Maßnahme gegen Spam anfangs auch gar nicht, da es sinnvollere Methoden gibt. Das ein Mailserver natürlich auch ohne MX-Eintrag funktioniert weiß ich, Hostnamen tun's ja auch (die gute alte Zeit ;) ). korrekterweise müsste dieser Check eigentlich auf die existenz der Domain prüfen (das tun wirklich viele, wie man am aufschrei bei der Verisign Änderung sieht).

Aber es gibt noch eine Steigerung dieser MX Krankheit (an die musste ich im übrigen denken):
Überprüfung ob der sendende(!) Host einen MX-Eintrag besitzt. :D

Allerdings wen behindert der Check wirklich. Wenn ich zuhaus' mit meiner dynIP ein Mailserver betreiben will (z.B mit einen eigenen IMAP) verschicke ich über meinen Provider und gut. Alle die, die aufgrund ihrer "größe" keinen MX-Eintrag benötigen.

Eine weitere Idee, ob es wirklich ohne Probleme möglich sein soll Emails mit falscher Adresse verschicken zu können, ist der nächste Punkt.
Ich bin da eher für SMTP-Auth mit Sender-Verification. SMTP-Auth ist eine Senderüberprüfung, oder was meinst du?

ziemlich OT, PN?

Gruß