Qmail versendet nicht mehr nach Firewall Installation

[itfreiberufler]

Hallo,

ich hoffe, ihr könnt mir helfen.

Ich habe vor ein paar Tagen eine Firewall installiert bekommen für meinen Server. Nach der Installation war es notwendig Dienste wie Apache anzupassen. Das heißt ich musste die IP Adressen, an den der Server lauscht mit den entsprechenden neuen internen IP Adressen der Firewall austauschen. Das funktionierte auch wunderbar.

Allerdings kann ich seit der Firewall keine Mails mehr von meinem lokalen PC daheim an externe Mailadressen über meinen Server per SMTP Authentication verschicken.

Ich bekomme folgende Fehlermeldung zurück:
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

In der rcpthosts hat sich aber nichts geändert. Es stehen alle lokalen Domains für die relaying erlaubt ist drin.

Ich habe auch in der /etc/hosts mal die internen IPs (10.0.0.x) hinzugefügt:
127.0.0.1:allow,RELAYCLIENT="",RBLSMTPD=""
10.0.0.:allow,RELAYCLIENT="",RBLSMTPD=""
#remoteIP:allow,RELAYCLIENT="",RBLSMTPD=""
:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"

Klappt aber ebenfalls nicht. Und als ich mal zum Test meine derzeitige remote IP hinzugefügt hatte, konnte ich Mails an externe Versenden (an lokale Adresse Mails senden klappt sowieso).

Nur kann ich ja nicht jedesmal mein remote IP in der hosts ändern :-)
Zumal auch andere über meinen Server Mails versenden.

Mails empfangen kann ich ja auch, aber senden will er zu externen Mails nicht, obwohl eben in der rcpthosts alle Domains wie vorher auch drinstehen, die senden dürfen.

[itfreiberufler]

Kann denn keiner helfen. Bin doch nicht der einzige mit ner Firewall und Qmail, oder doch?

[itfreiberufler]

wirklich keiner ne ahnung, woran das liegen kann?

[rootsvr]

Wenn Du die Friewall installiert bekommen hast, ist der richtige Ansprechpartner wohl der Mensch der sie installiert hat.

Die Firewall scheint falsch konfiguriert zu sein.

[buddaaa]

Ich habe vor ein paar Tagen eine Firewall installiert bekommen für meinen Server. Nach der Installation war es notwendig Dienste wie Apache anzupassen. Das heißt ich musste die IP Adressen, an den der Server lauscht mit den entsprechenden neuen internen IP Adressen der Firewall austauschen. Das funktionierte auch wunderbar.

versteh ich das richtig: die der server hat jetzt eine RFC1918-adresse und die FW hat die oeffentliche IP und macht NAT von oeffentlich->RFC1918 ?
das sollte aber keine auswirkungen auf die SMTP-authentifizierung haben, entweder die FW laesst port 25 durch und macht das NAT richtig in beide richtungen, oder nicht. also ich halts fuer unwahrscheinlich da die FW was damit zu tun hat, eher eine andere aenderung die im gleichen aufwasch gemacht wurde.

bzw was fuer ne FW ist das, da gibts ja auch modelle die protokolle inspizieren koennen und vieleicht vermurksen (checkpoint smartdefense, schissco mit fixup, ... )

Allerdings kann ich seit der Firewall keine Mails mehr von meinem lokalen PC daheim an externe Mailadressen über meinen Server per SMTP Authentication verschicken.

Ich bekomme folgende Fehlermeldung zurück:
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

schonmal alle regeln (ausser NAT) auf der ausgeschaltet und dann geschaut obs tut ?

ansonsten googel Dich mal durch wie Du SMTP-authentifizierung per telnet auf port 25 selber machen kannst, damit siehste dann ja wo es haengt. (telnet xxx.de 25, EHLO test.de, AUTH PLAIN ... oder so).

[itfreiberufler]

hallo,

ja genau das hast du richtig verstanden.
port 25 ist auch offen in beide richtungen. eigentlich habe ich sonst nichts geändert. qmail nimmt doch den domain teil der email und schaut, ob in rcpthosts dieser vorkommt und erlaubt, wenn ja, relaying, richtig? vieleicht bekommt qmail aber gar keinen domain teil wegen der firewall mehr zu gesicht?

in den logs steht die domain nicht mehr drin. ich bin mir nicht sicher, aber ich dachte vorher wäre das so gewesen:

@4000000044335ad62b3d1974 tcpserver: pid 25412 from 84.178.131.106
@4000000044335ad708975934 tcpserver: ok 25412 mail.itfreiberufler.com:10.0.0.3:25 p54b28369.dip0.t-ipconnect.de:84.178.131.105::6

es ist eine pix firewall von cisco. aber ob die protokolle inspizieren kann weiß ich nicht.

habe eben in der mail.err auch das gefunden:
Apr 5 07:51:30 localhost spamd[15600]: Can't locate Mail/SPF/Query.pm in @INC (@INC contains: ../lib /usr/local/share/perl/5.8.8 /etc/perl /usr/local/lib/perl/5.8.8 /usr/lib/perl5 /usr/share/perl5 /usr/lib/perl/5.8 /usr/share/perl/5.8 /usr/local/lib/site_perl /usr/local/lib/perl/5.8.4 /usr/local/share/perl/5.8.4) at
/usr/local/share/perl/5.8.8/Mail/SpamAssassin/Plugin/SPF.pm line 272, <GEN123> line 141.


wie bekomme ich das denn weg. spf habe ich installiert.

[captaincrunch]

Vielleicht solltest du deinen "Firewalladmin" mal fragen, was er sich bei der Aktion gedacht hat (bzw. ob überhauot irgend etwas).

[itfreiberufler]

was genau meinst du. was könnte er falsch gemacht haben. denn ich habe dem hoster das problem auch geschildert. er meinte aber, mit der firewall sei alles in ordnung und wüßte leider auch nicht, woran das liegt.

[nyxus]

dann sniffer einfach mal auf Deinem PC mit wenn Du eine Mail sendest und sniffere auch auf dem Server was bei genau diesem Senden ankommt. Die beiden Sachen vergleichst Du dann. Evtl. ändert die Firewall etwas zuviel im SMTP weil der Admin Deines Hosters die FW doch nicht richtig konfiguriert hat.

[captaincrunch]

Bei der Pix kann man (korrigier mich bitte Nyxus) viel falsch machen, wa den DNS-Fixup angeht. Nur ein Schuss ins Blaue, ich hab das Teil ja nicht konfiguriert.

Btw.: Schau dir mal den zweiten Satz deiner Startseite genauer an, da tut ein Rechtschreibfehler ziemlich weh. ;)

[itfreiberufler]

Was meinst du? Ich finde nichts im 2. Satz. Wenn du auf die angebotenen Leistungen abzielst und gelesen hast (Firewall Administration etc.) dann sind das Fähigkeiten von Freiberuflern, die in meiner Datenbank stehen und Projekte, die ich fachlich oder zeitlich nicht übernehmen kann, machen. Den einen, der sich mit Firewall und co auskennt, habe ich auch schon gefragt, aber er wußte in diesem Zusammenhang auch keinen Rat.

[captaincrunch]

Ich bieten Ihnen meine Programmier-Dienstleistungen oder Beratung als IT Freiberufler

Ich sag's ja nur. ;)

[nyxus]

Bei der Pix kann man (korrigier mich bitte Nyxus) viel falsch machen, wa den DNS-Fixup angeht. Nur ein Schuss ins Blaue, ich hab das Teil ja nicht konfiguriert.

Deshalb auch mein Vorschlag das mal zu sniffern. Zumindest von Hosteurope weiß ich daß die mal PIXen für die Server verwendet haben. Und die sind in der Standard-Konfiguration eben "suboptimal" für SMTP geeignet. Das Problem wäre hier nicht der DNS-Fixup (ok, der akzeptiert keine Antworten über 512 Byte, sollte erstmal egal sein) sondern der SMTP-Guard, der kein ESMTP zulässt und halt auch sonst nur Probleme macht.


Edit: Ach, steht ja sogar oben drin daß es eine PIX ist. Wer lesen kann ist klar im Vorteil ...

Dann würde ich aus dem Bauch mal sagen: Firewall falsch konfiguriert weil Mail-Guard eingeschaltet ist. Widerum kann es das fast nicht sein denn das sollte der Hoster natürlich wissen; wird ja nicht der einzige Kunde mit einer PIX sein.

[captaincrunch]

Mal eben rein zufällig gefunden: http://www.debian-administration.org/articles/382

[buddaaa]

Mal eben rein zufällig gefunden: http://www.debian-administration.org/articles/382

also nach 2,5 jahren firewall-administration in einer firma (cisco gold partner ;) mit ~90 firewalls kann ich nur sagen: von cisco kauft man router & switche (ohne FWSM ;)

[nyxus]

kann ich nur sagen: von cisco kauft man router & switche (ohne FWSM ;)

und Firewalls und IPSen und HIPSen und VPN-Devices und ... ;-)

[buddaaa]

kann ich nur sagen: von cisco kauft man router & switche (ohne FWSM ;)

und Firewalls und IPSen und HIPSen und VPN-Devices und ... ;-)

... wenn man auf stundenbasis bezahlt wird ;)

[itfreiberufler]

Ich werde das den Admins weitergeben und hoffen, dass es dann funzt.

Auf jeden Fall danke ich euch allen für die guten Tipps.
Ich denke http://www.debian-administration.org/articles/382 ist wirklich die Lösung. Ich werds berichten, ob es danach geklappt hat. Danke!

[itfreiberufler]

problem gelöst! vielen dank nochmal. der link hat geholfen!