PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mailserver 2 verschiedene smtp ports



Mathew
13.12.06, 14:34
Hallo zusammen,

HINTERGRUND:
das mit dem Spam wird ja immer schlimmer. Mittlerweile sind 2/3 aller eingehender Mails Spam oder Viren oder was es da noch alles gibt :eek:
Nun habe ich mir das mit der greylist angeschaut und auch die Punktvergabe von Absendern mit dynamischen IP-Adressen. Beides scheint meiner Meinung nach sehr hilfreich zu sein, aber da auf dem Mailserver der Port 25 für andere Mailserver und für Clients identisch ist, würde ich mit Greylist oder dynamischen IP-Adressen Probleme bekommen.

LÖSUNGSGEDANKE:
Ich beantrage eine 2. IP Adresse und lasse mail.domain.de als mx Eintrag für sämtliche Domains. kundenmail.domain.de läuft dann auf der anderen IP-Adresse wo die Kunden dann Mails verschicken und dort auch keine Greylist läuft. So habe ich 2. Maileingänge, einmal den "harten" der öffentlich ist, und einmal den "weichen" der von Kunden genutzt wird.

FRAGE:
1. Ist der Lösungsgedanke richtig ???
2. Ist es recht kompliziert qmail (vpopmail) auf 2 IP Adressen lauschen zu lassen und die Maileingänge unterschiedliche Wege gehen zu lassen bis beide dann letzendlich in qmail-smtpd landen ???
3. Hat einer von Euch Mailserver auf die Art und Weise und wenn nein, warum nicht ???

NEBENFRAGE:
Gibt es schon ne Lösung wegen den Grafikspams, wo nur Grafik geschickt wird ??? OCR Texterkennung auf dem Mailserver bei jedem Bild ??? :ugly:

Dankääääääää

RichieX
13.12.06, 16:15
Nichts für Ungut, aber das ist totaler Schmarrn. Auch für kundenmail.domain.de brauchst du einen mx-Eintrag im DNS. Du solltest dir mal DNS und SMTP näher anschauen, dann weißt du, warum das nicht geht.


1. Ist der Lösungsgedanke richtig ???
siehe oben.

2. Ist es recht kompliziert qmail (vpopmail) auf 2 IP Adressen lauschen zu lassen und die Maileingänge unterschiedliche Wege gehen zu lassen bis beide dann letzendlich in qmail-smtpd landen ???
Theoretisch ja, du musst nur zwei daemons laufen lassen.

3. Hat einer von Euch Mailserver auf die Art und Weise und wenn nein, warum nicht ???
Weil es keinen Sinn macht.

Gibt es schon ne Lösung wegen den Grafikspams, wo nur Grafik geschickt wird ??? OCR Texterkennung auf dem Mailserver bei jedem Bild ???

spamassassin erkennt sie als Spam und markiert sie.

RichieX

Mathew
13.12.06, 16:35
öhm, ich meine schon, dass ich mich mit MX und DNS ein wenig auskenne.

Für Kunden die Mails verschicken, brauche ich keinen MX Record, nur für eingehende Mails für andere Mailserver.

Beispiel:

IP 217.160.180.184 ist mx.mailserver.de
IP 217.160.180.193 ist mx.neuermailserver.de

Alle MX Einträge der Kunden werden auf mx.mailserver.de eingetragen, somit gehen alle Mails auf mx.mailserver.de und werden dort eingehend geprüft mit greylist, spamassasin, clamav und auch dynip etc.

Die Kunden versenden über mx.neuermailserver.de, dort werden dann nur e-Mails aktzeptiert mit smtp Auth.

Letzlich handelt es sich um ein und denselben Mailserver, nur gibt es 2 Eingänge um in den qmail Kern zu gelangen. Dadurch brauche in den öffentlichen smtp nicht zu lockern weil hierüber keine Kunden mehr verschicken.

RichieX
13.12.06, 17:05
Ahhh, das hatte ich falsch verstanden. Ich dachte, du willst, dass dir deine Kunden (und Bekannte) auf den kundenmail.domain.de mailen und alle unbekannten auf mail.domain.de. Sorry!


Alle MX Einträge der Kunden werden auf mx.mailserver.de eingetragen, somit gehen alle Mails auf mx.mailserver.de und werden dort eingehend geprüft mit greylist, spamassasin, clamav und auch dynip etc.

Die Kunden versenden über mx.neuermailserver.de, dort werden dann nur e-Mails aktzeptiert mit smtp Auth.
Ja, das macht Sinn. Machen AFAIK auch eigentlich alle großen Freemailer so.

RichieX

Mathew
13.12.06, 17:20
Das hast Du nicht falsch verstanden, ich hatte das falsch geschrieben :ugly:

Roger Wilco
13.12.06, 18:52
Du hast da IMHO einen Denkfehler. Greylisting wird üblicherweise nur bei nicht authentifizierten SMTP-Sessions genutzt. Sobald sich die Benutzer authentifiziert haben (das ist normalerweise die erste Aktion nach dem HELO/EHLO), können Sie die Mail also ohne Verzögerung verschicken.

Außerdem ist das mit der 2. IP-Adresse nicht notwendig. Dafür benutzt man normalerweise den (auch vom RFC abgesegneten) Submission-Port 587.

Mathew
13.12.06, 19:03
Greylisting wird üblicherweise nur bei nicht authentifizierten SMTP-Sessions genutzt.
Ja, deshalb ja, die Greyliste wird dann für öffentlichen smtp genommen wo kein smtp auth verwendet wird. Dort gibt es dann auch die Verzögerung die ich ja für normale Mailclients nicht nehmen kann. Weiterhin kann ich dort dann auch besser dynamische IP blocken, da dieser Port ja nur von anderen Mailservern genutzt werden soll.


Dafür benutzt man normalerweise den (auch vom RFC abgesegneten) Submission-Port 587.
Port 587, gut, dann muss ich aber allen Kunden sagen, dass Sie den Port von 25 auf 587 ändern sollen, dass wäre zu Umfangreich. Auf dieser Schnittstelle dürfen dann nur Clients auf Port 25 senden, die smtp auth nutzen.

Ziel der ganzen Sache ist, dass ich dadurch den öffentlichen smtp Port härter einschränken kann ohne die Kunden zu beeinträchtigen (z.b. dynamische IP Adresse vom Sender). Eine 2.IP kostet nichts, bis auf Zeit die ich zum einrichten benötige. Wenn ich dafür aber für 3 Monate wieder auf der gleichen Stufe bin wie die Spammer, dann hilft das ja. Zudem kann ich, wenn die Spammer wieder was neues gefunden haben, mit dem öffentlichen Port viel mehr steuern ohne mit den CMailcients Probleme zu bekommen. Daher dieser Gedanke.

Roger Wilco
13.12.06, 19:10
Ja, deshalb ja, die Greyliste wird dann für öffentlichen smtp genommen wo kein smtp auth verwendet wird. Dort gibt es dann auch die Verzögerung die ich ja für normale Mailclients nicht nehmen kann.
Du verstehst es nicht: Greylisting wird erst aktiv, wenn MAIL FROM und RCPT TO durch sind. Die Authentifizierung der Clients erfolgt aber vor beiden, so dass das Greylisting nicht anspringt.
Lies meinetwegen nochmal http://de.wikipedia.org/wiki/Greylisting


Port 587, gut, dann muss ich aber allen Kunden sagen, dass Sie den Port von 25 auf 587 ändern sollen, dass wäre zu Umfangreich.
Das ist natürlich viel umfangreicher, als den Benutzern den anderen Hostname für den Mailserver mitzuteilen. :rolleyes:

derRichard
13.12.06, 20:54
hallo!

sowas inder art habe ich auch laufen.
eine ip (mail.meinedomain.at) für kunden und eine ip (mx.meinedomain.at) für eingehende mails, mit sehr strengen regeln.

bei qmail macht man das sehr einfach. du lässt einfach einen zweiten qmail laufen. bei dem qmail für die kunden setzt du die datei rcpthosts leer, dann kann man nur noch relay (per smtp-auth) und am qmail für alles eingehende knallst einen rblsmtpd vor den qmail-smtpd mit strengen regeln.
das geht sehr gut.
man muss halt 2 qmail installieren. aber das ist eigentlich auch kein problem.

die anbindung zu vpopmail brauchst nur bei dem qmail für alle eingehenden mails machen. und bei dem für die kunden lässt halt auch über vpopmail das smtp-auth laufen...

hth,
//richard

p.s: vergiss greylisting, da bekommt nur probleme...und die spammer sind ja auch nicht blöd...

Mathew
15.12.06, 03:57
Das ist natürlich viel umfangreicher, als den Benutzern den anderen Hostname für den Mailserver mitzuteilen
Die 2. IP Adresse kann ich doch über den eigenen DNS Server ändern, dann brauch ich keinem Kunden was mitteilen.

So, ich habe nun eine 2. IP-Adresse für den Mailserver, lasse auf der einen IP qmail (Kunden) laufen und auf der anderen IP qpsmtpd (öffentlich) was dann in die qmail-queue geschoben wird.

qpsmtpd ist recht einfach und lässt sich gut einbinden. Dort wird dann auch unter anderem die Empfängeradresse auf smtp-Ebene geprüft und ggf. abgelehnt oder auch Dialup IP Adressen geblockt. Das mit dem greylist habe ich dann erst mal verschoben.

Sooooo, jetzt habe ich noch ein kleines Problem. Ich möchte gerne qmail auf der Kunden IP dazu bringen, dass er NUR smtp auth macht. In google finde ich leider nur Infos wie man qmail mit smtp auth einrichtet, aber nicht wie man NUR smtp auth erlaubt :eek:

Wenn ich die rcpthosts frei lasse, wie derRichard ja sagt, dann kann nur noch per smtp auth was verschickt werden, wenn die rcpthost auf smtp-Ebene genutzt wird, dürfte die ja bei qmail-queue nicht mehr genutzt werden, so dass ich keine Probleme mit qpsmtpd bekomme, da er die mails in die qmail-queue schiebt.

derRichard
15.12.06, 11:42
hallo!

hm, ich verstehe ein problem nicht ganz.
was ist das problem, wenn die rcpthosts leer ist?
dann lässt der qmail mit der leeren rcpthosts weder zustellungen noch relay zu.
man kann nur noch als user per smtp-auth relayen.

//richard

Mathew
17.12.06, 03:29
Hallo,

um das Thema abzuschliessen.

Hab alles soweit fertig und läuft wunderbar. Also 2 Mailserver an 2 smtp Ports wie oben beschrieben.

Durch die Umstellung habe ich den Vorteil, dass alles auf smtp Ebene blockiert wird. Also Viren, Spam und nicht existierende Empfängeradressen ohne das er eine Mail zurückschicken muss (Colerate Spam). Vorteil auch bei Spamassassin, da der Sender ohne meinen Mailserver zu belasten eine Meldung der Ablehnung erhält, wenn es eine false-positiv Mail ist.

Mit der Greyliste habe ich mich dann auch beschäftigt und läuft auch Testweise erst mal. Die Idee ist ja ganz gut und vielversprechend. Ein Nachteil, dass man für Forenanmeldung oder Sonstges lange auf die erste Mail warten muss, da der Server ja noch nicht in der Whitelist ist.

naich2
06.02.07, 15:27
Hallo,

ich habe ein ähnlich gelagertes Problem. Da ich von unserem Firmennetzwerk keine Mails über meinen Mailserver über Port 25 versenden kann, möchte ich qmail zusätzlich auf einem zweiten Port z.b. 26 lauschen lassen.

Dazu habe ich versucht in der Datei /etc/services den SMTP - Dienst zusätzlich Port 26 zuzuordnen, was leider nur funktioniert, wenn ich Port 25 abschalte.

Meine Frage: Wie schaffe ich es, dass der SMTP auf beiden Ports lauscht?

Danke für Euren Rat.

Mirko

PS: qmail 2x laufen zu lassen habe ich in Eurem Betrag gelesen. Nur wie mache ich das?

derRichard
06.02.07, 20:27
hallo!

installier auf dem recher rinetd.
und leite damit port 26/tcp auf localhost 25/tcp um.

//richard

naich2
06.02.07, 22:18
Hmmm, stimmt. das ist ja viel einfacher.

Danke danke.

naich2
06.02.07, 23:19
Hmm, irgendwie stelle ich mich wohl noch etwas dusselig an.

Ich habe rinetd installiert und die rinetd.conf angelegt und folgendes rein geschrieben:


xxx.xxx.xxx.97 26 xxx.xxx.xxx.97 25
logfile /var/log/rinetd.log

die xxx sind natürlich platzhalter für meine IP.

Wenn ich nun mittels /etc/rinetd die Configurationsdatei neu einlesen lasse, erklärt er mir: couldn't bind to address xxx.xxx.xxx.97 Port 26.

Folglich funktioniert auch meine Weiterleitung nicht. Was mache ich falsch? Das Tool sieht doch eigentlich ganz einfach aus.
Die Logdatei bietet leider auch keinen Aufschluss.

derRichard
07.02.07, 01:32
hi!

hört vielleicht noch was anderes auf port 26?

//richard

naich2
07.02.07, 09:46
Ja, genau so ist es. In der /etc/services wird der Port zwar nicht vergeben aber es scheint trotzdem schon wer daran zu lauschen. Hab jetzt einen anernen versucht. Das klappt super!!

Ja, also manchmal braucht man erst einen kleinen schups in die richtige Richtung. Vielen Dank!!! :)