Hallo,

irgendwie habe ich Probleme den Port 25 zu öffenen (OS=SuSe 9.3).

Ich habe den Port (generiert mit einem Modul unter Plesk 7.5) für eingehende und ausgehende TCP Verbindungen geöffnet. Aber nmap zeigt ihn mir nicht als offen an. Ein Verbindung mit Telnet wird abgelehnt.

Was mache ich falsch?

Wo kann ich das iptables-Skript ohne die Hilfe von Plesk 7.5 editieren?

Danke

Thomas

1) Plesk-generiertes iptables-Skript!

set -e
echo 0 > /proc/sys/net/ipv4/ip_forward
([ -f /var/lock/subsys/ipchains ] && /etc/init.d/ipchains stop) >/dev/null 2>&1 || true
(rmmod ipchains) >/dev/null 2>&1 || true
/usr/sbin/iptables -F
/usr/sbin/iptables -X
/usr/sbin/iptables -Z
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A INPUT -m state --state INVALID -j DROP
/usr/sbin/iptables -P OUTPUT DROP
/usr/sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A OUTPUT -m state --state INVALID -j DROP
/usr/sbin/iptables -P FORWARD DROP
/usr/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp ! --syn -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
/usr/sbin/iptables -A INPUT -i lo -j ACCEPT
/usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/usr/sbin/iptables -A FORWARD -i lo -o lo -j ACCEPT
/usr/sbin/iptables -t mangle -F
/usr/sbin/iptables -t mangle -X
/usr/sbin/iptables -t mangle -Z
/usr/sbin/iptables -t mangle -P PREROUTING ACCEPT
/usr/sbin/iptables -t mangle -P OUTPUT ACCEPT
/usr/sbin/iptables -t mangle -P INPUT ACCEPT
/usr/sbin/iptables -t mangle -P FORWARD ACCEPT
/usr/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -t nat -X
/usr/sbin/iptables -t nat -Z
/usr/sbin/iptables -t nat -P PREROUTING ACCEPT
/usr/sbin/iptables -t nat -P OUTPUT ACCEPT
/usr/sbin/iptables -t nat -P POSTROUTING ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 8443 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 8880 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 443 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 465 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 995 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 143 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 993 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 106 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 5432 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 9008 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 9080 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 137 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 138 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 139 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 445 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 1194 -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
/usr/sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type 8/0 -j ACCEPT
/usr/sbin/iptables -A INPUT -j ACCEPT
/usr/sbin/iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
/usr/sbin/iptables -A OUTPUT -j ACCEPT
/usr/sbin/iptables -A FORWARD -j DROP

2) Ergebnis anschl. Scan

21/tcp open ftp
22/tcp open ssh
53/tcp open domain
80/tcp open http
106/tcp open pop3pw
110/tcp open pop3
143/tcp open imap
443/tcp open https
445/tcp filtered microsoft-ds
993/tcp open imaps
995/tcp open pop3s
3306/tcp open mysql
8443/tcp open https-alt

3) Verbindungsversuch Telnet mit Port 25
Trying 85.214.X.Y...
telnet: connect to address 85.214.X.Y: Connection refused

Den MTA starten (natürlich hast du ihn vorher abgesichert)? Ohne Dienst bringt dir der beste Port nichts.

/etc/init.d/courier-imap status
imap is running
imaps is running
pop3 is running
pop3s ist running

Mein eigentliches Problem ist, dass zwar Mails versenden, aber keine emfpangen kann. Der Absender bekommt das Mail zurück mit folgender Meldung: This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

Und damit gehört dieser Thread nicht in dieses Forum ......

Hi,

tjo, nur hat weder IMAP noch POP3 was mit Port 25 zu tun:


waterloo lib # cat /etc/services | grep pop3
pop3 110/tcp pop-3 # Post Office Protocol - Version 3
pop3 110/udp pop-3

waterloo lib # cat /etc/services | grep imap
imap 143/tcp imap2 # Internet Message Access Protocol
imap 143/udp imap2

waterloo lib # cat /etc/services | grep smtp
smtp 25/tcp mail # Simple Mail

Sowohl IMAP als auch POP dienen eigentlich nur dazu, Mails abzuholen. Damit Mails überhaupt empfangen werden können, benötigst du soetwas wie Postfix oder Sendmail. Damit wäre auch der gefragte Port 25 bedient.

Hallo,

langsam kommt "Licht" in die Finsternis ...

Plesk zeigt mir einen aktiven/gestarteten QMail an. Wenn ich mich per ssh auf den Server verbinde und den Befehl /etc/init.d/qmail status absetze, erhalte ich den Status "gestoppt" zurück. Weder ein Restart, noch ein Start von QMail bewegt denselben seinen Dienst aufzunehmen :-( Ein Reboot des Servers interessiert QMail ebenfalls nicht. Der Server ist noch relativ neu und QMail ist noch nie gelaufen. Werde mich wohl intensiver mit der Konfiguration/Absicherung von QMail beschäftigen müssen.

Danke für die Anregungen!

Thomas

PS: Bin natürlich noch für Tipps dankbar ...

Wenn das ein Rootserver ist, ist Qmail ist sicher schon gelaufen, wahrscheinlich ist irgentwas verkonfiguriert. Sieh dir mal die Logfiles an.

nochmal zum verständnis:
port open: ein programm lauscht auf dem port
port closed: der port ist nicht durch die firewall geschützt (also in deinem sinne offen) aber es lauscht niemand
port filtered: firewalled oder host exstiert nicht

Qmail ist doch gestartet! Er wird nicht direkt als Dienst angesprochen, sondern über xinetd gestartet.

Inhalt smtp.psa

service smtp
{
socket_type = stream
protocol = tcp
wait = no
disable = no
user = root
instances = UNLIMITED
server = /var/qmail/bin/tcp-env
server_args = /var/qmail/bin/relaylock /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}

Auszug /etc/services


smtp 25/tcp mail # Simple Mail Transfer
smtp 25/udp mail # Simple Mail Transfer

Auszug Befehl ps

qmails 27950 0.0 0.0 1436 376 ? S 07:46 0:00 qmail-send
qmaill 27952 0.0 0.0 1396 452 ? S 07:46 0:00 splogger qmail
root 27953 0.0 0.0 1396 336 ? S 07:46 0:00 qmail-lspawn ./Maildir/
qmailr 27954 0.0 0.0 1392 332 ? S 07:46 0:00 qmail-rspawn
qmailq 27955 0.0 0.0 1384 320 ? S 07:46 0:00 qmail-clean

Auszug Befehl pstree -h

|-qmail-send-+-qmail-clean
| |-qmail-lspawn
| |-qmail-rspawn
| `-splogger

Die Mailadressen sind (in Plesk) richtig angelegt worden. Unter /var/qmail/mailnames/meinedomain/xyz sind die angelegten Emailadressen mit Unterordnern vorhanden.

Fehlermeldung, die an den Versender zurückgeht:

This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
thomas@meinedomain.net
retry timeout exceeded
------ This is a copy of the message, including all the headers. ------

Auszug lsof -i

xinetd 27928 root 5u IPv4 73647748 TCP *: imap (LISTEN)
xinetd 27928 root 8u IPv4 73647749 TCP *: imaps (LISTEN)
xinetd 27928 root 10u IPv4 73647750 TCP *: pop3 (LISTEN)
xinetd 27928 root 12u IPv4 73647751 TCP *: pop3s (LISTEN)
xinetd 27928 root 14u IPv4 73647752 TCP *: ftp (LISTEN)
xinetd 27928 root 16u IPv4 73647753 TCP *: poppassd (LISTEN)

Aus meiner Sicht müsste hier der smtp, der über xinetd gestartet wird, dabeisein. Hat noch jemand einen Tipp?

Hi,

läuft denn der xinetd überhaupt? Wenn ja, was steht denn in den Logfiles? /var/log/mail, /var/log/messages etc. Irgendwo muss da was stehen.

ich kenne qmail nicht, aber wenn qmail auf port 25 lauscht, dann ist der port nicht closed...
was gibt denn
netstat -tpa aus?

Lösung gefunden


Die Dateien smtp.psa und smtps.psa mussten umbenannt werden in smtp_psa und smtps_psa. Danach xinetd mit rcxinetd restart neu starten. Jetzt ist der smtp gestartet und der Empfang von Emails ist wieder möglich.

Nachdenklich macht mich nur die Situation, dass mein Server-Provider den Support für dieses Problem ablehnte. Die beiden Dateien smtp.psa und smtps.psa stammen aber von der Grundinstallation des Servers durch den Server-Provider. Also ein Kuckucksei meines Server-Providers.

DANKE für EURE Mithilfe ....

Thomas

wer ist dein provider?