PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : postfix - timeout after EHLO bei t-online.com und skype.net



Hein B.
26.06.07, 09:02
Hallo Leute,

ich habe seit einigen Tagen Probleme mit Mails von t-online.

mailout**.sul.t-online.com connecten sich, senden EHLO, erhalten von meinem Server Antwort ... und dann ist Stille bis der timeout zuschlägt.

ich habe mal den Verbose-Mode angestellt, aber kann ich nichts erkennen:


Jun 25 17:08:16 hexe postfix/smtpd[7603]: connect from mailout05.sul.t-online.com[194.25.134.82]
Jun 25 17:08:16 hexe postfix/smtpd[7603]: match_list_match: mailout05.sul.t-online.com: no match
Jun 25 17:08:16 hexe postfix/smtpd[7603]: match_list_match: 194.25.134.82: no match
Jun 25 17:08:16 hexe postfix/smtpd[7603]: match_list_match: mailout05.sul.t-online.com: no match
Jun 25 17:08:16 hexe postfix/smtpd[7603]: match_list_match: 194.25.134.82: no match
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 220 hexe.meine Domain ESMTP Postfix (2.1.5)
Jun 25 17:08:16 hexe postfix/smtpd[7603]: watchdog_pat: 0x809e7f8
Jun 25 17:08:16 hexe postfix/smtpd[7603]: < mailout05.sul.t-online.com[194.25.134.82]: EHLO mailout05.sul.t-online.com
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 250-hexe.meine Domain
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 250-PIPELINING
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 250-SIZE 32768000
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 250-VRFY
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 250-ETRN
Jun 25 17:08:16 hexe postfix/smtpd[7603]: match_list_match: mailout05.sul.t-online.com: no match
Jun 25 17:08:16 hexe postfix/smtpd[7603]: match_list_match: 194.25.134.82: no match
Jun 25 17:08:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 250 8BITMIME
Jun 25 17:08:16 hexe postfix/smtpd[7603]: watchdog_pat: 0x809e7f8
Jun 25 17:13:16 hexe postfix/smtpd[7603]: > mailout05.sul.t-online.com[194.25.134.82]: 421 hexe.meine Domain Error: timeout exceeded
Jun 25 17:13:16 hexe postfix/smtpd[7603]: timeout after EHLO from mailout05.sul.t-online.com[194.25.134.82]
Jun 25 17:13:16 hexe postfix/smtpd[7603]: disconnect from mailout05.sul.t-online.com[194.25.134.82]
Jun 25 17:13:16 hexe postfix/smtpd[7603]: master_notify: status 1
Jun 25 17:13:16 hexe postfix/smtpd[7603]: connection closed
Jun 25 17:13:16 hexe postfix/smtpd[7603]: watchdog_stop: 0x809e7f8


Ich habe den Spamhaus-Filter an, greylisting (postgrey) und 2 Firewalls, die nur die Ports 25, 80 und 443 durchlassen. ICMP ist für t-online.com und skype.net erlaubt - sonst blockiert. Die beiden Netze stehen auch in der whitelist von postgrey.

Mittlerweile tauchen öfter vereinzelt weitere Server im Logfile auf, die das selbe Problem zu haben scheinen. Manchmal kommen die Mails dieser Server aber auch durch.

Mein main.cf:


alias_maps = hash:/etc/aliases
allow_min_user = yes
biff = no
body_checks = regexp:/etc/postfix/body_checks
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter =
daemon_directory = /usr/lib/postfix
defer_transports =
disable_dns_lookups = no
header_checks = regexp:/etc/postfix/header_checks
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
mail_owner = postfix
mailbox_command =
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_domains =
message_size_limit = 32768000
mydestination = $myhostname, localhost.$mydomain $mydomain
mydomain = meine Domain
myhostname = hexe.meine Domain
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relay_domains = $mydestination
relayhost =
sample_directory = /usr/share/doc/packages/postfix/samples
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_connect_timeout = 600
smtp_sasl_auth_enable = no
smtp_use_tls = no
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks reject_unauth_destination reject_rbl_client sbl-xbl.spamhaus.org
check_client_access hash:/etc/postfix/access check_policy_service inet:127.0.0.1:9762 permit
smtpd_sasl_auth_enable = no
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_use_tls = no
strict_rfc821_envelopes = no
unknown_local_recipient_reject_code = 550


Ich bin ziemlich ratlos ... Hilfe wäre SEHR willkommen :)

schöne Grüße
Hein B.

403
26.06.07, 13:40
Manchmal kommen die Mails dieser Server aber auch durch.


Dann vergleich dochmal zwei solche Logs.

Hein B.
26.06.07, 14:26
Dann vergleich dochmal zwei solche Logs.
hab ich - in dem Fall ist kein Fehler oder irgendeine Auffälligkeit zu sehen.
Alles sieht dann ganz normal aus.

Es könnte mit unserer Firewall zusammenhängen - soekris mit openBSD als BS -
dort ist - wie gesagt - nur Port 25 80 und 443 sowie ICMP zu den Problem-Mailservern zugelassen - sonst nichts.

schöne Grüße,
Hein B.

bla!zilla
26.06.07, 15:42
25/tcp ist doch offen, also is alles cool. Lass auf deinem Mailserver mal tcpdump oder Ethereal laufen und schneide den SMTP Verkehr mit.

403
26.06.07, 22:18
Ist in OpenBSD's pf ein Ratelimit fuer SMTP drin? Vielleicht reicht es den Timeout zu erhoehen.

Hein B.
27.06.07, 22:06
Ist in OpenBSD's pf ein Ratelimit fuer SMTP drin? Vielleicht reicht es den Timeout zu erhoehen.

Erst mal Thx für die Tipps :)

Mit ethereal konnte ich auch nichts erkennen -> würde auch auf die Firewall hindeuten...

Wg. Timeout/Ratelimit: ich habe dort nichts explizit eingetragen - evtl. schlägt hier ein Defaultvalue zu?
Hast du einen Tipp, was genau ich da einstellen müsste?

schöne Grüße,
Hein B.

403
28.06.07, 02:55
Hi,

also wenn es daran liegt:

Experimentier doch einfach mal mit den Timeout Werten! Bevor du das machst, kannst du den
OpenBSD Router ja mal austauschen, dann weisst du ob es an OpenBSD liegt :p

Ansonsten sollst du zu dem Timeout man pf.conf lesen.


Diese Werte hat jemand mit viel Traffic im Einsatz:



# Options: tune the behavior of pf, default values are given.
set timeout { interval 10, frag 30 }
set timeout { tcp.first 120, tcp.opening 30, tcp.established 86400 }
set timeout { tcp.closing 900, tcp.finwait 45, tcp.closed 90 }
set timeout { udp.first 60, udp.single 30, udp.multiple 60 }
set timeout { icmp.first 20, icmp.error 10 }
set timeout { other.first 60, other.single 30, other.multiple 60 }
set timeout { adaptive.start 0, adaptive.end 0 }
set limit { states 10000, frags 5000 }



Gruss
403

Hein B.
28.06.07, 21:34
Merci für das Listing.

Aber leider scheint es auch nicht daran zu liegen.
Ich habe die Timeouts noch weiter hochgeschraubt - nix geht.

Allerdings habe ich jetzt definitiv festgestellt, dass es an meiner Firewall liegt.
wenn ich die Firewall komplett deaktiviere, kommen die Mails durch.

die Mails kommen nicht, auch wenn ich für t-online alles freigebe:



...
# t-online - Mailout-Server
trusted_mailsrv = "{ *******, *******, 194.25.134.0/24 }"

...

pass from $trusted_mailsrv to any
...


Vermutlich habe ich da wieder was missverstanden?

Irgendeine Idee?

schöne Grüße,
Hein B.