Postfix: 554-IP address is black listed, nur bei GMX, Mail steckt in Postqueue

[kai_f]

Hallo.

Ich betreibe in einem Lan einen Kolab 3.0 Groupware-Server unter CentOS 6.4. Als MTA verwende ich Postfix 2.6.6. Die anderen Dienste spielen für mein Problem glaube ich keine Rolle. Postfix und Co. sind nicht von außen erreichbar. Die Kolab-User haben jeweils externe Mailkonten bei diversen Free-Mail Providern, z.B. GMX oder GMail, die mittels sender_dependent_relayhost_maps und smtp_sasl_password_maps eingebunden sind. Als MUA wird der Webmailclient Roundcubemail verwendet. Mail über externe SMTP funktioniert wunderbar, bis auf eine Ausnahme (GMX).

Ich habe folgendes Problem:
Eine von user1@gmx.net abgesendete Mail per Postfix über externen SMTP-Server bei GMX mit unbekannter Empfängermailadresse (gibtesnicht@gmx.net), die ebenfalls bei GMX ist (analog dazu Empfängeradr. mit nicht exist. Domain, wie z.B. sduhsdsdfsdfufhfsd@sdjhycydcsdffsudfhs.xyz), sollten normalerweise im Mailclient des Absenders eine Fehlermail generieren, dass die Mail nicht zugestellt werden konnte, da der Empfänger unbekannt ist. Diese Fehlermail wird zwar generiert, jedoch bleibt sie in der Postqueue meines lokalen Postfix-Servers stecken, da Postfix die Fehlermail an den ursprünglichen GMX-Absender zurückschicken will, der GMX-Server diese Mail aber wegen einem 554-IP Blacklist Problem abblockt, weswegen die Mail nicht an den Absender, also an user1@gmx.net, ausgeliefert wird. Meine dynam. IP steht auf keiner Blacklist (FAQs bei GMX).

Also: Mail von user1@gmx.net an gibtesnicht@gmx.net per Postfix an den externen Mailserver gmx.net weitergeleitet.
Antwortmail, dass das Mailkonto gibtesnicht@gmx.net nicht existiert kommt nie bei user1@gmx.net an, da diese in der Postqueue stecken bleibt, wegen IP-Blacklist Problem. Das Problem tritt nur bei GMX auf, nicht bei Web.de, t-online, Unitymedia, etc., siehe dazu auch weiter unten.

Details:

kolab.gurus.de ist mein FQDN und gibt es nur lokal auf meinem Server.

Code:

[root@kolab ~]# postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
82EB7160C8A     3373 Wed Jun  5 11:10:30  MAILER-DAEMON
(host mx0.gmx.net[213.165.67.99] refused to talk to me: 554-gmx.net (mxgmx002) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-m...76.198.139.xxx)
                                         user1@gmx.net


-- 7 Kbytes in 1 Requests.
[root@kolab ~]#

Die Fehler-Mail aus der Postqueue:

Code:

[root@kolab ~]# postcat -q 82EB7160C8A
*** ENVELOPE RECORDS deferred/8/82EB7160C8A ***
message_size:            3373             201               1               0            3373
message_arrival_time: Wed Jun  5 11:10:30 2013
create_time: Wed Jun  5 11:10:30 2013
named_attribute: log_message_origin=local
named_attribute: trace_flags=0
sender: 
original_recipient: user1@gmx.net
recipient: user1@gmx.net
*** MESSAGE CONTENTS deferred/8/82EB7160C8A ***
Received: by kolab.gurus.de (Postfix)
        id 82EB7160C8A; Wed,  5 Jun 2013 11:10:30 +0200 (CEST)
Date: Wed,  5 Jun 2013 11:10:30 +0200 (CEST)
From: MAILER-DAEMON@kolab.gurus.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: user1@gmx.net
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
        boundary="012FB160985.1370423430/kolab.gurus.de"
Message-Id: <20130605091030.82EB7160C8A@kolab.gurus.de>

This is a MIME-encapsulated message.

--012FB160985.1370423430/kolab.gurus.de
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host kolab.gurus.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<gibtesnicht@gmx.net>: host mail.gmx.net[213.165.64.20] said: 550 5.1.1
    <gibtesnicht@gmx.net>... User is unknown {mp017} (in reply to RCPT TO
    command)

--012FB160985.1370423430/kolab.gurus.de
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; kolab.gurus.de
X-Postfix-Queue-ID: 012FB160985
X-Postfix-Sender: rfc822; user1@gmx.net
Arrival-Date: Wed,  5 Jun 2013 11:10:28 +0200 (CEST)

Final-Recipient: rfc822; gibtesnicht@gmx.net
Original-Recipient: rfc822;gibtesnicht@gmx.net
Action: failed
Status: 5.1.1
Remote-MTA: dns; mail.gmx.net
Diagnostic-Code: smtp; 550 5.1.1 <gibtesnicht@gmx.net>... User is unknown
    {mp017}

--012FB160985.1370423430/kolab.gurus.de
Content-Description: Undelivered Message
Content-Type: message/rfc822

Return-Path: <user1@gmx.net>
Received: from kolab.gurus.de (localhost [127.0.0.1])
        by kolab.gurus.de (Postfix) with ESMTP id 012FB160985
        for <gibtesnicht@gmx.net>; Wed,  5 Jun 2013 11:10:28 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
        by kolab.gurus.de (Postfix) with ESMTP id 5923C160985
        for <gibtesnicht@gmx.net>; Wed,  5 Jun 2013 11:10:27 +0200 (CEST)
X-Virus-Scanned: amavisd-new at example.com
Received: from kolab.gurus.de ([127.0.0.1])
        by localhost (kolab.gurus.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id lwkhWVH2O6kQ for <gibtesnicht@gmx.net>;
        Wed,  5 Jun 2013 11:10:26 +0200 (CEST)
Received: from 192.168.178.85 (localhost [127.0.0.1])
        (Authenticated sender: huhn@gurus.de)
        by kolab.gurus.de (Postfix) with ESMTPSA id 39C5216074F
        for <gibtesnicht@gmx.net>; Wed,  5 Jun 2013 11:10:25 +0200 (CEST)
Received: from o5AJjX8YLfHLkhH5vypTR+AS2CcMW3TlP4H2MyqvU+c=
        (CfIkPtbr8K2f6n0lJuYnYPI2uibIBXkc) by 192.168.178.85
        with HTTP (HTTP/1.1 POST); Wed, 05 Jun 2013 09:10:24 +0000
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 7bit
Date: Wed, 05 Jun 2013 11:10:24 +0200
From: User1 <user1@gmx.net>
To: gibtesnicht@gmx.net
Subject: Test-Mail
Message-ID: <19f19ef8bb7891e6ca36f0c08874c0b9@gurus.de>
X-Sender: user1@gmx.net
User-Agent: Roundcube Webmail/0.9.1-1.el6.kolab_3.0

Dies ist ein Test.

--012FB160985.1370423430/kolab.gurus.de--
*** HEADER EXTRACTED deferred/8/82EB7160C8A ***
*** MESSAGE FILE END deferred/8/82EB7160C8A ***

Der GMX-Server generiert zunächst den korrekten Fehler "550 5.1.1 <gibtesnicht@gmx.net>... User is unknown {mp017}" und gibt diesen an Postfix zurück. Postfix bzw. das Mailsystem generiert nun eine Fehlermail und sendet diese an user1@gmx.net zurück, mit dem Subject "Undelivered Mail Returned to Sender" und dem Absender "MAILER-DAEMON@kolab.gurus.de (Mail Delivery System)". Diese Mail an user1@gmx.net wird aber von dem SMTP-Server bei GMX geblockt, wahrscheinlich weil die neue Absender-Adr. "MAILER-DAEMON@kolab.gurus.de" bei GMX unbekannt ist?!

Ich habe dieses Szenario auch mit anderen Empfängermailadressen getestet. Also Mail von user1@gmx.net an nichtexistent@web.de oder nichtexistent@t-online.de oder nichtexistent@unitybox.de. Bei jeder Adresse wird eine Fehlermail generiert und auch an den Absender zugestellt. In diesen Fällen akzeptiert der SMTP-Server von GMX die Antwortmail von MAILER-DAEMON.

Und das verstehe ich dabei nicht. Warum taucht das Problem nur bei einer unbekannen GMX Empfängeradresse auf?

Was kann ich tun, damit die Mail dennoch von GMX akzeptiert wird, damit ein Absender über die falsche Empfängeradresse benachrichtigt wird? Kann man an irgendwelchen Postfix Einstellungen drehen, um dies zu erreichen?

Einstellungen poste ich bei Bedarf. Bin dankbar für Tipps.
Kai

[kai_f]

Überlegung: Der SMTP von GMX antwortet dem lokalen Postfix, dass der Empfänger nicht existiert. Es wird eine neue Mail generiert, die nun als Fehlermeldung an den ursprünglichen Absender user1@gmx.net zurück gesendet werden soll. GMX nimmt diese Mail ja nicht an. Kann es daran liegen, dass in der generierten Mail das Feld "sender:" komischerweise leer ist und GMX die Mail deswegen blockt? Läßt sich das irgendwie beeinflussen, d.h. wie der Header der generierten Mail aufgebaut ist? Ist Postfix dafür verantwortlich oder doch eine andere Komponente von Kolab?

Code:

...
sender: 
original_recipient: user1@gmx.net
recipient: user1@gmx.net
*** MESSAGE CONTENTS deferred/8/82EB7160C8A ***
Received: by kolab.gurus.de (Postfix)
        id 82EB7160C8A; Wed,  5 Jun 2013 11:10:30 +0200 (CEST)
Date: Wed,  5 Jun 2013 11:10:30 +0200 (CEST)
From: MAILER-DAEMON@kolab.gurus.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: user1@gmx.net
...

Hier mal meine Postfix-config:

Code:

[root@kolab postfix]# postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
html_directory = no
inet_interfaces = all
inet_protocols = all
local_recipient_maps = ldap:/etc/postfix/ldap/local_recipient_maps.cf
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
mydestination = ldap:/etc/postfix/ldap/mydestination.cf
newaliases_path = /usr/bin/newaliases.postfix
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.6.6/README_FILES
sample_directory = /usr/share/doc/postfix-2.6.6/samples
sender_dependent_relayhost_maps = hash:/etc/postfix/sender_relay
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_sender_dependent_authentication = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_rbl_client zen.spamhaus.org, reject_non_fqdn_recipient, reject_invalid_helo_hostname, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service unix:private/recipient_policy_incoming, permit
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = permit_mynetworks, check_policy_service unix:private/sender_policy_incoming
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/pki/tls/private/localhost.pem
smtpd_tls_key_file = /etc/pki/tls/private/localhost.pem
transport_maps = ldap:/etc/postfix/ldap/transport_maps.cf
virtual_alias_maps = $alias_maps, ldap:/etc/postfix/ldap/virtual_alias_maps.cf, ldap:/etc/postfix/ldap/mailenabled_distgroups.cf, ldap:/etc/postfix/ldap/mailenabled_dynamic_distgroups.cf

Kann mir bitte jemand helfen oder mich ein wenig schlau machen?

[muell200]

hallo

erstmal - sorry den ganzen threat habe ich nicht gelesen
( ist mir zu lang... )

aber

Meine dynam. IP steht auf keiner Blacklist (FAQs bei GMX).

sagst du - aber gmx sagt was anderes.

kolab.gurus.de ist mein FQDN und gibt es nur lokal auf meinem Server.

wenn du einen mailserver betreiben willst, solltest du einen fqdn verwenden,
der allen bekannt ist.

loesungsansaetze:

- fqdn anpassen
- beim versenden dich mit username/passwort authentifizierung
- emails die lokal sind nicht an einen externen mailserver schicken

[kai_f]

Ja, sorry, etwas viel Text. In der Kürze liegt die Würze, aber eben nicht immer. Wenn Du es nicht gelesen hast, wie kannst Du dann einen Lösungsansatz anbieten? Deine Lösungsansätze passen hier leider nicht.

Ich versuche es nochmal "kurz und knapp " auf den Punkt zu bringen.

Ich habe ein Mailkonto bei GMX: user1@gmx.net
Von diesem Mailkonto sende ich eine Mail an den Emfänger gibtesnicht@gmx.net. Der Name gibtesnicht existiert aber bei gmx.net nicht, somit ist die Mail an einen unbekannten Empfänger adressiert. Der MUA (z.B. KMail), von dem die Mail gesendet wurde, erhält sofort eine Fehlermeldung von dem SMTP Server bei GMX, dass der Empfänger oder das Postfach unbekannt sind, die Mail bleibt somit im Postausgang.

Nun verwende ich Roundcubemail unter Kolab. Das GMX Konto user1@gmx.net ist per sender_dependent_relayhost_maps über Postfix als externes Konto eingebunden. Wird also eine Mail mit Absender user1@gmx.net an eine Zieladresse per Roundcubemail versendet, erkennt dies Postfix und leitet die Mail an den SMTP-Server von GMX weiter, der die Mail dann weiter zustellt.

Bei korrekter Empfängermailadresse funzt dies prima, bis auf eine Kleinigkeit:

Wenn eben der Empänger bei GMX nicht existiert, also z.B. gibtesnicht@gmx.net, dann erzeugt GMX eben die oben bereits erwähnte Fehlermeldung, welche nun aber an Postfix geht, da Postfix ja versucht hat, die Mail über GMX zu versenden. Das Mail-System von Kolab erzeugt nun eine Fehler-Mail, dass es einen Fehler beim Versenden der Mail gegeben hat, also der Empfänger unbekannt ist und übergibt diese Fehler-Mail an Postfix. Postfix soll eben diese Fehler-Mail an den Absender zurücksenden, also an user1@gmx.net. Und hier ist das Problem, der SMTP von GMX akzeptiert diese Mail von Postfix diesmal nicht. Das könnte evtl. an einem fehlerhaften Mailheader liegen, an dem sich GMX stört, aber ich weiss es nicht genau. Ich habe den Header weiter oben im Thread gepostet.

Der FQDN wurde korrekt gesetzt und lautet kolab.gurus.de, ansonsten gäbe es Probleme mit der Kolab Installation. Der Server von dem wir hier sprechen läuft nur in einem LAN, ist also nicht von außen zugänglich.

Zum Thema Blacklist: Meine IP ist nicht geblockt. Mails mit gültiger Empfängermailadresse bei GMX werden jederzeit korrekt zugestellt und akzeptiert. Mails von user1@gmx.net an beliebige andere Zieladressen natürlich auch. Es geht hier nur um die generierte Fehlermail.

Schicke ich Mails von user1@gmx.net an unbekannte Empfänger bei Web.de, T-Online, Unitymedia, GMail, etc., wird die Fehlermail per Postfix immer korrekt an den GMX-Absender zurückgeschickt, nur bei GMX nicht. Warum?

[kai_f]

Bitte nicht mehr antworten. Habe den Fehler gefunden, allerdings noch nicht die Ursache.

Ich habe mich bei meinem Problem verhaspelt und das Entscheidene übersehen und falsche Schlüsse gezogen.

Mein Problem beginnt an der Stelle, wo bei mir der Fetchmail-Daemon ins Spiel kommt. Dies hat also nichts mit GMX zu tun. Abgerufene Mails werden automatisch an Postfix und Amavis weitergeleitet. Aus mir noch unverständlichen Gründen versucht Postfix diese Mails neu einzupacken und mit unbekannter Absender Adresse über einen externen SMTP erneut an den Empfänger zu versenden. Dort kommt es dann zu einem Auth-Problem, da die Absender-Adr. nicht in meiner sender_dependent_relayhost_map Datei steht. Das muss ich für mich weiter aufdröseln. Ich habe nichts dagegen, wenn dieser Thread vom Admin gelöscht wird.