"telnet domain.de 25" aus best. IP-Bereich scheitert

gracom
Posts: 9
Joined: 2002-09-08 10:13

"telnet domain.de 25" aus best. IP-Bereich scheitert

Post by gracom »

Edit: Das eigentliche Problem kommt in Post No. 3, da sich neue Infos ergeben haben

Hallo,

habe ein für mich sehr schwer erklär- und lösbares Problem seit wenigen Tagen:

Mein Mailserver Plesk/Qmail/Spamassassin weist die Annahme von Emails, die von einer bestimmten externen Domain (nicht in meinem Einflussbereich liegend) über deren Mailserver an verschiedene Empfänger auf meinem Mailserver gesendet werden mit einem "relaylock" ab. Nameserver und Webseite (http://www.domain.de) der fremden Domain liegen bei 1und1/Schlund und der Mailserver (mail.domain.de) verweist auf eine andere feste IP außerhalb des 1und1/Schlund IP-Bereiches. ReverseDNS Einträge passen.

Wenn ich einen simplen TraceRoute auf diese Domain (mail.domain.de) ausführe, verläuft er nach einigen Hops ins Leere. Ein Ping liefert keine Antwort. Wenn ich jedoch ein "telnet mail.domain.de 25" mache, habe ich die Verbindung und kann mit dem fremden Mailserver kommunizieren. Ebenso kann ich Mails an Benutzer dieses Mailservers senden.

Mein Mailserver ist kein OpenRelay und auch nicht auf einschlägigen Blacklists gelistet. Ebenso der fremde Server.

Kann es sein, dass mein Server Emails von nicht per TraceRoute/Ping erreichbaren IPs/Domains blockt? Emails von vielen großen Providern (Freenet, T-Online, GMX, Yahoo) kommen Problemlos an. Hier sind auch die Mailserver per Ping/TraceRoute erreichbar.

Würde mich über Hilfe freuen.

Christian
Last edited by gracom on 2008-03-07 21:25, edited 2 times in total.
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Relaylock, wenn kein Ping/Traceroute möglich?

Post by Roger Wilco »

GraCom wrote:Mein Mailserver Plesk/Qmail/Spamassassin weist die Annahme von Emails, die von einer bestimmten externen Domain (nicht in meinem Einflussbereich liegend) über deren Mailserver an verschiedene Empfänger auf meinem Mailserver gesendet werden mit einem "relaylock" ab.

Nein, siehe http://huschi.net/5_276_de.html.

GraCom wrote:Wenn ich einen simplen TraceRoute auf diese Domain (mail.domain.de) ausführe, verläuft er nach einigen Hops ins Leere.

Nicht jeder Router will antworten...

GraCom wrote:Ein Ping liefert keine Antwort.

Ich halte es für dämlich, aber bei einige Administratoren ist es wohl Mode, die ICMP-Antworten zu deaktivieren.

GraCom wrote:Kann es sein, dass mein Server Emails von nicht per TraceRoute/Ping erreichbaren IPs/Domains blockt?

Unwahrscheinlich. Und falls doch ist es IMHO nicht unbedingt intelligent.

Das einzige, was bei deinem Problem hilft, sind Logeinträge. Die auf dem versendenden Server und die auf deinem eigenen Mailserver (falls der Sender-MTA überhaupt Kontakt aufgenommen hat).
Top

gracom
Posts: 9
Joined: 2002-09-08 10:13

Re: Relaylock, wenn kein Ping/Traceroute möglich?

Post by gracom »

Hallo,

das Problem besteht immer noch. Nur hat sich jetzt noch ein weiteres interessantes Phenomen heraus kristallisiert:

Inzwischen besitze ich einen neuen/zweiten Internetzugang bei demselben Anbieter, der auch den fremden Mailserver hostet. Oder besser, die zugeteilten IPs sind im selben IP-Bereich, der von einem Provider verwaltet wird (85.220.160.0 - 85.220.167.255).

Die Folge ist, dass ich über den neuen Internetzugang nun auch keine Emails mehr über meinen Server versenden kann. Ein telnet domain.de 25 über diesen Zugang unter WinXP liefert als Antwort lediglich komische Zeichen. Ein gleiches telnet von einem anderen Webserver und auch dem anderen Zugang (T-online) stellt problemlos die Verbindung her.

Ich wüsste gerne, ob ich die Ursache des Problems auf meiner Seite, oder auf der Seite des Internetanbieters suchen muss.

Hoffe, das Problem noch in diesem Jahr in den Griff zu bekommen... ;-)

Viele Grüße,
--
GraCom
Top

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Relaylock, wenn kein Ping/Traceroute möglich?

Post by oxygen »

GraCom wrote:Hallo,

das Problem besteht immer noch. Nur hat sich jetzt noch ein weiteres interessantes Phenomen heraus kristallisiert:

Inzwischen besitze ich einen neuen/zweiten Internetzugang bei demselben Anbieter, der auch den fremden Mailserver hostet. Oder besser, die zugeteilten IPs sind im selben IP-Bereich, der von einem Provider verwaltet wird (85.220.160.0 - 85.220.167.255).

Die Folge ist, dass ich über den neuen Internetzugang nun auch keine Emails mehr über meinen Server versenden kann. Ein telnet domain.de 25 über diesen Zugang unter WinXP liefert als Antwort lediglich komische Zeichen. Ein gleiches telnet von einem anderen Webserver und auch dem anderen Zugang (T-online) stellt problemlos die Verbindung her.

Ich wüsste gerne, ob ich die Ursache des Problems auf meiner Seite, oder auf der Seite des Internetanbieters suchen muss.

Da gibt es zwei Möglichkeiten.
1. Der "Provider" blockiert Traffic mit DEST PORT 25 (oder leitet ihn um). AOL tut dies z.B. Das sollte mit nmap rauszufinden sein.
2. Dein MailServer ist Schuld (genaueres kann ich nicht sagen, QMail ist nicht mein Gebiet)
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: "telnet domain.de 25" aus best. IP-Bereich scheitert

Post by Joe User »

3. Das Routing auf dem Client oder Server ist unvollständig.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

gracom
Posts: 9
Joined: 2002-09-08 10:13

Re: Relaylock, wenn kein Ping/Traceroute möglich?

Post by gracom »

oxygen wrote:Da gibt es zwei Möglichkeiten.
1. Der "Provider" blockiert Traffic mit DEST PORT 25 (oder leitet ihn um). AOL tut dies z.B. Das sollte mit nmap rauszufinden sein.
2. Dein MailServer ist Schuld (genaueres kann ich nicht sagen, QMail ist nicht mein Gebiet)


Die folgenden Versuche habe ich alle aus dem nicht funktionierenden IP-Bereich gemacht:

Zu 1. Hab' mir nmap mal angesehen. Weiß nur nicht genau, wie ich testen soll, ob der Traffic auf Port 25 blockiert wird. Habe einen Test auf Port 25 laufen lassen mit dem Ergebnis: Port 25 open smtp

Das stimmt auch mit meinen "neuen" telnet-Erfahrungen überein: Wenn ich telnet domain.de 25 mache, kommen diese komischen "Striche", ich kann dann mehrmals "Enter" drücken und der Curser springt in die nächste Zeile. Nach einer ganzen Weile (ca. 30 Sekunden Delay) kommt dann erst das Feedback des SMTP-Servers, so wie ich es (sofort) von jedem anderen Zugang gewohnt bin. Habe sogar geschafft, über die telnet-Befehle eine Email abzusetzen, die auch bei mir angekommen ist. Der SMTP-Server scheint also ganz normal zu funktionieren. Nur die erste Reaktion auf den Telnet-Befehl lässt auf sich warten.

Zu 2. Deshalb glaube ich nicht, dass mein Mailserver schuld ist. Er lässt die Verbindung ja nach einer gewissen Zeit zu. Komme ich aus einem anderen IP-Bereich lässt er die Verbindung sogar sofort zu.

Würde mich über weitere Anregungen und Testvorschläge freuen. Muss in dieser Sache doch endlich mal weiter kommen...

DANKE!
Top

gracom
Posts: 9
Joined: 2002-09-08 10:13

Re: "telnet domain.de 25" aus best. IP-Bereich scheitert

Post by gracom »

Joe User wrote:3. Das Routing auf dem Client oder Server ist unvollständig.


Hallo,

wie kann ich das testen?

Danke, GraCom
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: "telnet domain.de 25" aus best. IP-Bereich scheitert

Post by Joe User »

GraCom wrote:
Joe User wrote:3. Das Routing auf dem Client oder Server ist unvollständig.

wie kann ich das testen?

Code: Select all

route -n

Ist aber auf Grund Deines vorigen Posts nicht mehr relevant. Sieht nach Timeout beim Reverse-Lookup oder gar einem Ident aus, kenne QMail glücklicherweise nicht näher :twisted:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

gracom
Posts: 9
Joined: 2002-09-08 10:13

Re: "telnet domain.de 25" aus best. IP-Bereich scheitert

Post by gracom »

Joe User wrote:

Code: Select all

route -n

Ist aber auf Grund Deines vorigen Posts nicht mehr relevant. Sieht nach Timeout beim Reverse-Lookup oder gar einem Ident aus, kenne QMail glücklicherweise nicht näher :twisted:


Hi Joe User,

der Hinweis auf das "Reverse Lookup" hat den Stein ins rollen gebracht, danke. Habe zwei Server bei verschiedenen Hostern laufen. Bei einem trat das geschilderte Problem auf, beim anderen jedoch nicht. Ein qmail-smtpd wurde ohne den Parameter "-R" gestartet, der andere mit. "-R" bedeutet bei qmail, auf einen Reverse Lookup zu verzichten. Habe den Problemserver jetzt umkofiguriert und kann erstmal wieder Emails versenden.

Trotzdem werde ich bei meinem Internetprovider mal nachhaken, warum er - wo auch immer - einen erfolgreichen Reverse-Lookup verhindert.

Danke für die Hinweise!

GraCom
Top