Hallo,

ich habe leider ein kleines Problem mit jemanden mit dem ich per Mail kommunizieren muss. Leider hat der Administrator des Netzwerks dort wohl einige Probleme mit einer sauberen Konfiguration. Denn jedes mal bekomme ich die gleiche Fehler Meldung: "Helo command rejected: Host not found"
Nach einiger Recherche zu Postfix habe ich die Domain des Sender auf eine whitelist setzen wollen. Doch irgend wie funktioniert es nicht, oder ich habe einen Denkfehler.
Hier mal der Auszug aus meiner Postfix Konfiguration.

postconf -n

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
body_checks = regexp:/etc/postfix/mbl-body-deny
bounce_queue_lifetime = 4h
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
config_directory = /etc/postfix
disable_vrfy_command = yes
empty_address_recipient = postmaster
freemail_gmx = check_client_access regexp:/etc/postfix/freemail_gmx, reject
freemail_webde = check_client_access regexp:/etc/postfix/freemail_webde, reject
freemail_yahoo = check_client_access regexp:/etc/postfix/freemail_yahoo, reject
inet_interfaces = meineip1 meineip2 127.0.0.1
inet_protocols = ipv4
ipc_idle = 5s
local_destination_concurrency_limit = 5
local_recipient_maps = $alias_maps
luser_relay = postmaster
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
masquerade_domains = $mydomain
maximal_queue_lifetime = 4h
mydestination = $myhostname, $mydomain, localhost, localhost.$mydomain, meinezweitedomain.de
mydomain = meinedomain.de
myhostname = mail.meinedomain.de
mynetworks = 127.0.0.0/8, meineip1/32, meineip2/32, 192.168.10.0/24
myorigin = /etc/mailname
recipient_canonical_maps = hash:/etc/postfix/canonical_recipient
recipient_delimiter = +
relayhost =
sender_canonical_maps = hash:/etc/postfix/canonical_sender
smtp_bind_address = meineip1
smtp_data_done_timeout = 60s
smtp_data_xfer_timeout = 60s
smtp_helo_timeout = 30s
smtp_mail_timeout = 60s
smtp_quit_timeout = 30s
smtp_rcpt_timeout = 30s
smtp_sasl_auth_enable = no
smtp_skip_quit_response = no
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_client_connection_count_limit = 5
smtpd_client_connection_rate_limit = 5
smtpd_client_restrictions = permit_inet_interfaces permit_mynetworks check_client_access regexp:/etc/postfix/client_check reject_rbl_client ix.dnsbl.manitu.net reject_rhsbl_client ix.dnsbl.manitu.net permit
smtpd_data_restrictions = reject_unauth_pipelining, reject_multi_recipient_bounce
smtpd_delay_reject = yes
smtpd_hard_error_limit = 5
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access regexp:/etc/postfix/check_helo_access, reject_invalid_hostname, reject_unknown_hostname, reject_non_fqdn_hostname, permit
smtpd_recipient_limit = 50
smtpd_recipient_restrictions = permit_inet_interfaces, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_unlisted_sender, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_invalid_hostname, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unauth_destination, reject_unknown_reverse_client_hostname, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, permit
smtpd_relay_restrictions = permit_inet_interfaces, permit_sasl_authenticated, permit_mynetworks, reject_unlisted_recipient, reject_unlisted_sender, reject_unknown_recipient_domain, reject_unknown_sender_domain, reject_invalid_hostname, reject_non_fqdn_recipient, reject_non_fqdn_sender, reject_unauth_destination, reject_unknown_reverse_client_hostname, reject_rbl_client ix.dnsbl.manitu.net, reject_rbl_client zen.spamhaus.org, permit
smtpd_restriction_classes = freemail_webde, freemail_gmx, freemail_yahoo, white_list
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain =
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_mynetworks, check_sender_access regexp:/etc/postfix/sender_check, reject_invalid_hostname, reject_unknown_hostname, reject_unknown_sender_domain, reject_non_fqdn_hostname, reject_non_fqdn_sender, permit
smtpd_soft_error_limit = 2
smtpd_timeout = 60s
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtpd_use_tls = yes
strict_rfc821_envelopes = yes
transport_maps = hash:/etc/postfix/transport_map
virtual_alias_domains = meinezweitedomain.de
virtual_alias_maps = hash:/etc/postfix/virtual_alias_maps
white_list = check_client_access hash:/etc/postfix/white_list, reject


/etc/postfix/check_helo_access

/(^|\.)sender-domain\.de$/ white_list

/etc/postfix/white_list

ipdersenderdomain OK
Ich habe natürlich alle persönliche Daten wie Domain oder IP aus Sicherheitsgründen ersetzt.

Problem ist nun, dass beim Verbinden der Sender folgendes macht.
So verbindet er sich mit meinem Server:

RCPT from fw01.sender-domain.de[senderip]

Beim Helo kommt aber folgendes rüber:

irgendeinsubdomainname.sender-domain.de
Das lehnt meine Postfix Konfiguration natürlich ab.

Deshalb habe ich die entsprechende WhiteList gesetzt, aber es wird trotzdem noch abgelehnt.
Hat jemand eine Idee, wo mein Denkfehler liegt?

Danke,
gruß Robert

Deckt dein Pattern

(^|\.)sender-domain\.de$/
den String "senderdomain.de" ab oder nicht?

Oder anders gefragt: Schreibt sich die Domäne nun mit oder ohne Minus?

Gruß
L00NIX

Sorry, für die späte Antwort, hatte keine Mail bekommen über Antwort.

Also... wird mit MINUS geschrieben, aber ich habe es auch schon mit ...

(^|\.)sender\-domain\.de$/
... versucht, was auch nicht geholfen hat.
Die Sender-Domain ist natürlich überall mit MINUS richtig eingetragen. Hatte das beim "ändern" nur vergessen.
Ich bin auch ziemlich ratlos, mit fällt da gar nichts mehr ein. Habe alle How-To und Anleitung über Google zusammen gesucht, aber es ändert sich nichts. Der Sender wird immer abgelehnt.

Hi,


Hallo,

ich habe leider ein kleines Problem mit jemanden mit dem ich per Mail kommunizieren muss. Leider hat der Administrator des Netzwerks dort wohl einige Probleme mit einer sauberen Konfiguration. Denn jedes mal bekomme ich die gleiche Fehler Meldung: "Helo command rejected: Host not found"
Nach einiger Recherche zu Postfix habe ich die Domain des Sender auf eine whitelist setzen wollen. Doch irgend wie funktioniert es nicht, oder ich habe einen Denkfehler.
Hier mal der Auszug aus meiner Postfix Konfiguration.


Verstehe ich das richtig, dass der Fehler bei dir auftritt, aber auf der anderen Seite die Ursache für den Fehler liegt?

Host not found deutet darauf hin, dass entweder kein MX-Eintrag oder A-Eintrag (Host) für die Domäne existiert. Somit ist das kein Postfix-Problem sondern es fehlt ein DNS-Eintrag oder es liegt ein Problem mit der DNS-Auflösung vor.

Gruß
L00NIX

Ja, das siehst du so schon richtig. Das Problem ist der Administrator auf der Gegenseite, der nicht gerade sehr einsichtig ist, wie es scheint. Denn er wurde darüber informiert und er sagte nur, er kann das nicht ändern. :(
Nun muss ich halt eine Lösung finden, in dem ich die Domain von denen auf eine WhiteList setze.
Aber das will halt nicht funktionieren.

Du sendest eine Mail und bekommst eine Fehlermeldung von extern oder extern sendet eine Mail und bekommt eine Fehlermeldung von Dir?

Poste bitte mal ein konkretes Beilspiel mit den zugehörigen Log- und Fehlerausgaben.

Hallo,

der Fehler passiert bei mir (eigentlich kein Fehler, sondern nur eine Fehlermeldung für den Sender) und der Fehler passiert, wenn vom Sender eine HELO Verbindung aufgebaut wird.
Log-Beispiel (ich habe die entsprechenden Domains und IPs aus Sicherheits- und Datenschutz-Gründen geändert!!!).

Aug 24 08:06:16 sabretooth postfix/smtpd[6515]: NOQUEUE: reject: RCPT from fw01.blablabla-ettlingen.de[1.2.3.4]: 450 4.7.1 <ironport.blablabla-ettlingen.de>: Helo command rejected: Host not found; from=<privater.name@blablabla-ettlingen.de> to=<rs.meinname@meinedomain.de> proto=ESMTP helo=<ironport.blablabla-ettlingen.de>
Was hier nicht gefunden wird, ist die Sub-Domain ironport.blablabla-ettlingen.de, da diese anscheinend zwar erscheint, aber keine öffentliche IP besitzt.

Ich habe inzwischen (zur Überbrückung) die HELO-Restriction abgeschaltet, aber das ist keine wirklich gute Lösung.

Was mir nicht gelingt, ist die Domain (in obigem Beispiel blablabla-ettlingen.de) mit allen Sub-Domains auf eine White-List zu setzen, damit diese immer durch gelassen wird.

Hülft http://superuser.com/questions/831879/postfix-reverse-dns-lookup-450-4-7-1-client-host-rejected?

Wobei mir - mag auch am Kaffee-Pegel liegen - immer noch nicht so recht klar ist, was denn nun wo genau bei was schief läuft und wie z.B. die entsprechenden Header-Felder aussehen.

Auf den ersten Blick müsste es eigentlich reichen, den DNS senderseitig sauber und komplett zu konfigurieren. Warum der Admin der Gegenseite das nicht will oder kann - naja, vielleicht will er den Rest der Welt nicht unnötig mit Mails belasten.

(oder es ist mal wieder eines der herrrlichen ironport-Features :-)

Hülft http://superuser.com/questions/831879/postfix-reverse-dns-lookup-450-4-7-1-client-host-rejected?

Wobei mir - mag auch am Kaffee-Pegel liegen - immer noch nicht so recht klar ist, was denn nun wo genau bei was schief läuft und wie z.B. die entsprechenden Header-Felder aussehen.

Auf den ersten Blick müsste es eigentlich reichen, den DNS senderseitig sauber und komplett zu konfigurieren. Warum der Admin der Gegenseite das nicht will oder kann - naja, vielleicht will er den Rest der Welt nicht unnötig mit Mails belasten.

(oder es ist mal wieder eines der herrrlichen ironport-Features :-)

Na ja, ich habe mich auch gefragt, warum es für den Admin so schwer ist, das zu ändern.
Deshalb versuche ich ja eine Lösung zu finden, um die Helo-Restriction für diese Domain zu umgehen. Was normal ja durch eine White-List gehen sollte. Tut es aber nicht :D

BTW:

Tue Sep 01/14:16:root@sabretooth:~# dig -x XX.XX.XX.XX

; <<>> DiG 9.9.5-4~bpo70+1-Debian <<>> -x XX.XX.XX.XX
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10688
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;XX.XX.XX.XX.in-addr.arpa. IN PTR

;; ANSWER SECTION:
XX.XX.XX.XX.in-addr.arpa. 9757 IN PTR fw01.blablabla-ettlingen.de.

;; AUTHORITY SECTION:
229.236.83.in-addr.arpa. 9757 IN NS ns02.qsc.de.
229.236.83.in-addr.arpa. 9757 IN NS ns01.qsc.de.

;; ADDITIONAL SECTION:
ns01.qsc.de. 4333 IN A 213.148.129.11
ns02.qsc.de. 4333 IN A 213.148.130.11

;; Query time: 1 msec
;; SERVER: 213.218.168.254#53(213.218.168.254)
;; WHEN: Tue Sep 01 14:18:35 CEST 2015
;; MSG SIZE rcvd: 168

Na ja, ich habe mich auch gefragt, warum es für den Admin so schwer ist, das zu ändern.
Deshalb versuche ich ja eine Lösung zu finden, um die Helo-Restriction für diese Domain zu umgehen. Was normal ja durch eine White-List gehen sollte. Tut es aber nicht :D


Die Fehlermeldung Helo command rejected: Host not found rührt nicht von deinen Helo-Restrictions her, sondern von den Parametern


smtpd_helo_restrictions = ..., reject_unknown_hostname, ...
smtpd_recipient_restrictions = ... reject_unknown_sender_domain, ..., reject_unknown_reverse_client_hostname, ...
smtpd_relay_restrictions = ..., reject_unknown_sender_domain, ... reject_unknown_reverse_client_hostname, ...


Aktuell scheitert es beim HELO. Wenn du die Option da raus machst, wird's halt später im SMTP-Dialog fehlschlagen.

Oder anders gesagt: Du stellst am falschen Hebel rum.

Noch dazu kannst du an diesen Hebeln nicht rumstellen, das muss der Sender tun (Stichwort: DNS-Einträge sauber konfigureren).

Wenn der Sender vertrauenswürdig ist, kannst du ihn in "mynetworks" aufnehmen (für mich würde das aber schon der Umstand, dass er seinen Mailserver nicht konfigurieren kann, dafür disqualifizieren).

Gruß
L00NIx

Ja, ich stimme dir mit dem Administrator dort absolut zu. Aber ich benötige die Kommunikation über Mail mit einer Person dort, da fast täglich wichtige Informationen ausgetauscht werden müssen.
Das ich am "falschem Hebel stelle" habe ich jetzt auch begriffen, nach dem ich bei HELO alles zugelassen habe. ;-)
Ok, ich muss mal sehen, wie ich das löse.

Auf jeden Fall Danke für den Hinweis und die Tipps!

Gruß
Robert

Gelöscht, hatte einen Fehler gemacht... hat sich erledigt. :D
Funktioniert...