PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [postfix] server aktzeptiert gmx nicht o.ä.



moeff
12.10.04, 13:11
hi,

nutze postfix als mta mit tls und sasl und qpopper. ich hab bisher alle mails ordentlich erhalten, leider kann man mir seit letzter zeit keine mails mehr von gmx senden. und ich hab keine ahnung woran es liegt, denn im log steht nur nen connect und disconnect *omg* :/


Oct 12 13:04:52 Pantau postfix/smtpd[18625]: connect from mail.gmx.de[213.165.64.20]
Oct 12 13:04:52 Pantau postfix/smtpd[18625]: disconnect from mail.gmx.de[213.165.64.20]
Oct 12 13:06:01 Pantau postfix/smtpd[18625]: connect from pop.gmx.de[213.165.64.20]
Oct 12 13:06:01 Pantau postfix/smtpd[18625]: disconnect from pop.gmx.de[213.165.64.20]
Oct 12 13:07:34 Pantau postfix/smtpd[18625]: connect from pop.gmx.net[213.165.64.20]
Oct 12 13:07:34 Pantau postfix/smtpd[18625]: disconnect from pop.gmx.net[213.165.64.20]

von allen anderen anbietern scheints zu gehen...

ich warte immernoch auf die rejected mail, vielleicht kann ich daraus mehr ziehen, was hier falsch läuft!

psy
12.10.04, 13:32
schalt mal in der master.cf das logging für smtpd ein.


smtp unix - - - - - smtpd -v

moeff
12.10.04, 14:04
omg


Oct 12 14:02:38 Pantau postfix/smtpd[19399]: connect from mail.gmx.net[213.165.64.20]
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: match_list_match: mail.gmx.net: no match
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: match_list_match: 213.165.64.20: no match
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: match_list_match: mail.gmx.net: no match
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: match_list_match: 213.165.64.20: no match
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: > mail.gmx.net[213.165.64.20]: 220 nextportal.de Mailserver (Debian/GNU)
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: watchdog_pat: 0x8083b08
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: < mail.gmx.net[213.165.64.20]: HELO mail.gmx.net
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: > mail.gmx.net[213.165.64.20]: 530 Must issue a STARTTLS command first
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: watchdog_pat: 0x8083b08
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: < mail.gmx.net[213.165.64.20]: QUIT
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: > mail.gmx.net[213.165.64.20]: 221 Bye
Oct 12 14:02:38 Pantau postfix/smtpd[19399]: disconnect from mail.gmx.net[213.165.64.20]


>> [213.165.64.20]: 530 Must issue a STARTTLS command first <<

warum packen es andere server O-o und warum ist das erst seit neustem :/

moeff
12.10.04, 15:47
nochmal output kompletter connectionvorgang


Oct 12 15:46:00 Pantau postfix/smtpd[20573]: connection established
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: master_notify: status 0
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: name_mask: resource
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: name_mask: software
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: name_mask: noanonymous
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: connect from imap.gmx.net[213.165.64.20]
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: match_list_match: imap.gmx.net: no match
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: match_list_match: 213.165.64.20: no match
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: match_list_match: imap.gmx.net: no match
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: match_list_match: 213.165.64.20: no match
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: > imap.gmx.net[213.165.64.20]: 220 nextportal.de Mailserver (Debian/GNU)
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: watchdog_pat: 0x8083b08
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: < imap.gmx.net[213.165.64.20]: HELO mail.gmx.net
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: > imap.gmx.net[213.165.64.20]: 530 Must issue a STARTTLS command first
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: watchdog_pat: 0x8083b08
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: < imap.gmx.net[213.165.64.20]: QUIT
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: > imap.gmx.net[213.165.64.20]: 221 Bye
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: disconnect from imap.gmx.net[213.165.64.20]
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: master_notify: status 1
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: connection closed
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: watchdog_stop: 0x8083b08
Oct 12 15:46:00 Pantau postfix/smtpd[20573]: watchdog_start: 0x8083b08


kann man erzwingen das gmx nen EHLO statt HELO sended? O-o (dann würde er nämlich ne ssl verbindung aufbauen und würde dann so durchgelassen werden, sieht so aus als ob es daran scheitert

Jasper
12.10.04, 17:14
sieht so aus, als ob du nur connects per ssl zulässt. vermutlich hast du eine liste, in der alle server drinstehen, die kein ssl verwenden müssen. wenn bei gmx sich etwas (ip) geändert hat, matcht die liste nicht mehr und du lehnst den connect ab.


-j

Jasper
12.10.04, 17:18
kann man erzwingen das gmx nen EHLO statt HELO sended? O-o (dann würde er nämlich ne ssl verbindung aufbauen und würde dann so durchgelassen werden, sieht so aus als ob es daran scheitert

mail.gmx.net unterstützt kein ssl lt. statusmeldung:

$ telnet mail.gmx.net 25
Trying 213.165.64.20...
Connected to mail.gmx.net.
Escape character is '^]'.
220 mail.gmx.de ESMTP
EHLO TEST
250-mail.gmx.de talking to host.domain.tld
250-8BITMIME
250 ENHANCEDSTATUSCODES


-j

moeff
12.10.04, 18:41
geht doch nich um den smtp bei gmx... :D

es geht darum das sich gmx falsch authenfiziert... (wenn sie an mich was schicken)

wo soll die liste stehen für ssl authentification server

Jasper
12.10.04, 21:30
geht doch nich um den smtp bei gmx... :D


eigentlich schon.



es geht darum das sich gmx falsch authenfiziert... (wenn sie an mich was schicken)


nein, gmx authentifiziert sich nicht falsch. sie senden ein HELO, weil sie nur standard-smtp-kommandos verwenden wollen und kein SSL (daher mein hinweis auf den gmx-MTA). du allerdings akzeptierst nur SSL-verschlüsselte connections (siehe 530 auf HELO).so kommt ihr nicht zusammen.

-j

moeff
12.10.04, 22:06
wie kann ich gmx durchlassen? ohne die ssl verschlüsslung komplett rauszunehmen?

Jasper
12.10.04, 23:07
postfix-konfiguration ist zwar nicht so mein ding, aber poste mal die config (postconf verwenden).

-j

Terran Marine
12.10.04, 23:10
postfix-konfiguration ist zwar nicht so mein ding, aber poste mal die config (postconf verwenden).

-j

Am besten gleich postconf -n, das erspart uns Default-Einträge und erhöht die Lesbarkeit ;)

moeff
13.10.04, 00:10
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = yes
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_dns_lookups = no
mail_name = Mailserver
mailbox_size_limit = 0
mydestination = nextportal.de, pantau.nextportal.de, mail.nextportal.de, moeff.dyndns.org, localhost.nextportal.de, localhost
myhostname = nextportal.de
mynetworks = 127.0.0.0/8, 192.168.13.0/24 217.68.185.0/32
myorigin = /etc/mailname
recipient_delimiter =
relayhost =
smtp_sasl_auth_enable = no
smtpd_banner = $myhostname $mail_name (Debian/GNU)
smtpd_enforce_tls = Yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_maps, permit_auth_destination, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_use_tls = Yes

Terran Marine
13.10.04, 08:04
[code]
smtpd_enforce_tls = Yes


Ich verweise mal auf den Thread aus deinem eigenen Forum :

http://www.nextportal.de/viewtopic.php?p=4488

Zitat :

---
"smtpd_enforce_tls = Yes" bedeutet, dass ausschließlich Mails entgegengenommen werden, die über eine TLS-Verbindung eintreffen.
---

Dein Mailserver nimmt also nur TLS verschlüsselt an, da gmx das wohl nicht bietet, kommt es zur Fehlermeldung.

Lol und Gruß
Terran

Jasper
13.10.04, 09:20
Zitat :

---
"smtpd_enforce_tls = Yes" bedeutet, dass ausschließlich Mails entgegengenommen werden, die über eine TLS-Verbindung eintreffen.
---

Dein Mailserver nimmt also nur TLS verschlüsselt an, da gmx das wohl nicht bietet, kommt es zur Fehlermeldung.


yep, besser ist smtpd_tls_auth_only=yes und und evtl. reject_nontls_client in sender_restrictions (mit ausnahme von gmx natürlich).


-j

moeff
13.10.04, 14:09
Dein Mailserver nimmt also nur TLS verschlüsselt an, da gmx das wohl nicht bietet, kommt es zur Fehlermeldung.

darin liegt ja das problem... wenn ich tls nicht ausdrücklich verlange (mit smtpd_enforce_tls = yes) wird der server wieder open relay

außer Jaspers lösung die geht...


yep, besser ist smtpd_tls_auth_only=yes und und evtl. reject_nontls_client in sender_restrictions (mit ausnahme von gmx natürlich).

frage ist nun hier, wo ich den gmx server eintragen kann, das der ohne alles durchgelassen wird.

Terran Marine
13.10.04, 15:08
darin liegt ja das problem... wenn ich tls nicht ausdrücklich verlange (mit smtpd_enforce_tls = yes) wird der server wieder open relay


Warum Open Relay,

er nimmt standardmässig die Mails von seiner mydestination an, und mehr auch nicht, das hat doch nichts mit open Relay zutun.

Gruß
Terran

moeff
13.10.04, 15:45
es ist jeder dann im stande über den server mails zu versenden... oder hab ich zur zeit grad den durchblick verloren (telnet from everywhere to nextportal)

gibts nicht sowas wie permit_rbl_client :D (wegen gmx)

Terran Marine
13.10.04, 16:30
es ist jeder dann im stande über den server mails zu versenden... oder hab ich zur zeit grad den durchblick verloren (telnet from everywhere to nextportal)


Dürfte nicht sein, aufgrund von reject_unauth_destination.

Dieses blockt alles was nicht, an die Domains in mydestination geht.

Gruß
Terran

moeff
13.10.04, 16:54
mhhh...

brauch nen beweis ^^ kannst ja mal testen ob du ne mail abgesetzt bekommst per telnet nextportal 25

smtpd_enforce_tls = no (setted)

sowie

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_recipient_maps, reject_unauth_destination
smtpd_client_restrictions = reject_rbl_client relays.ordb.org, permit_mynetworks, reject_unknown_client


thx schonmal für hilfe... gmx sendet erfolgreich... aber frag mich ob das system nun noch sicher ist.