Postfix: Access Relay denied

[agarbathi]

Hallo zusammen,

Ich finde leider keine Lösung zu meinem Problem, hoffe auf da auf euch um einen Hinweis zu bekommen.

Das System ist auf einem Root Server der auf Debian Lenny läuft. Postfix, Docvecot und saslauth sind installiert.

Bisher funktioniert das abholen der mails via Thunderbird über pop3. Dazu mal den Auszug aus der /var/log/mail.info:

Code: Select all

Mar  6 12:18:44 n112h118 dovecot: Dovecot v1.0.15 starting up
Mar  6 12:23:22 n112h118 postfix/smtpd[3273]: connect from localhost[127.0.0.1]
Mar  6 12:23:24 n112h118 postfix/smtpd[3273]: lost connection after EHLO from localhost[127.0.0.1]
Mar  6 12:23:24 n112h118 postfix/smtpd[3273]: disconnect from localhost[127.0.0.1]
Mar  6 12:26:21 n112h118 dovecot: pop3-login: Login: user=<mailuser>, method=PLAIN, rip=XXX.XXX.34.24, lip=XXX.XXX.112.118, TLS
Mar  6 12:26:21 n112h118 dovecot: POP3(mailuser): Disconnected: Logged out top=0/0, retr=0/0, del=0/0, size=0
Mar  6 12:27:32 n112h118 postfix/smtpd[3282]: connect from mail-bw0-f42.google.com[209.85.214.42]
Mar  6 12:27:33 n112h118 postfix/smtpd[3282]: 0215C5220E8: client=mail-bw0-f42.google.com[209.85.214.42]
Mar  6 12:27:33 n112h118 postfix/cleanup[3287]: 0215C5220E8: message-id=<4D736FBB.2020305@googlemail.com>
Mar  6 12:27:33 n112h118 postfix/qmgr[3006]: 0215C5220E8: from=<Absender@googlemail.com>, size=2028, nrcpt=1 (queue active)
Mar  6 12:27:33 n112h118 postfix/local[3288]: 0215C5220E8: to=<mailuser@meinedomain.de>, relay=local, delay=0.17, delays=0.07/0.01/0/0.09, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Mar  6 12:27:33 n112h118 postfix/qmgr[3006]: 0215C5220E8: removed
Mar  6 12:28:03 n112h118 postfix/smtpd[3282]: disconnect from mail-bw0-f42.google.com[209.85.214.42]
Mar  6 12:28:24 n112h118 dovecot: pop3-login: Login: user=<mailuser>, method=PLAIN, rip=XXX.XXX.34.24, lip=XXX.XXX.XXX.XXX, TLS
Mar  6 12:28:25 n112h118 dovecot: POP3(mailuser): Disconnected: Logged out top=0/0, retr=1/2166, del=0/1, size=2149
Mar  6 12:28:52 n112h118 postfix/smtpd[3282]: connect from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]
Mar  6 12:28:53 n112h118 postfix/smtpd[3282]: NOQUEUE: reject: RCPT from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]: 554 5.7.1 <Absender@googlemail.com>: Relay access denied; from=<mailuser@meinedomain.de> to=<Absender@googlemail.com> proto=ESMTP helo=<[XXX.XXX.34.24]>
Mar  6 12:29:01 n112h118 postfix/smtpd[3282]: disconnect from XXX-XXX-34-24-dynip.superkabel.de[XXX.XXX.34.24]

hier kommt dann beim Beantworten bzw. senden der Mail über smtp dann der Fehler Relay acess denied.

Meine /etc/postfix/main.cf:

Code: Select all

#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

myhostname = meinedomain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = n112h118.rs.de.inter.net, localhost.rs.de.inter.net, meinedomain.de, meinedomain.de$
relayhost =
#mynetworks = XXX.XXX.112.118
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, XXX.XXX.112.118
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all


smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = mx.meinedomain.de
smtpd_recipent_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destinat$
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

Die Ausgabe von saslfinger -s:

Code: Select all

saslfinger - postfix Cyrus sasl configuration So 6. Mär 12:23:21 CET 2011
version: 1.0.4
mode: server-side SMTP AUTH

-- basics --
Postfix: 2.5.5
System: Debian GNU/Linux 5.0 \n \l

-- smtpd is linked to --
        libsasl2.so.2 => /usr/lib/libsasl2.so.2 (0xb74c2000)

-- active SMTP AUTH and TLS parameters for smtpd --
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = mx.meinedomain.de
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes


-- listing of /usr/lib/sasl2 --
insgesamt 688
drwxr-xr-x  2 root root  4096  3. Mär 16:06 .
drwxr-xr-x 52 root root 20480  3. Mär 16:07 ..
-rw-r--r--  1 root root 13476 24. Mai 2009  libanonymous.a
-rw-r--r--  1 root root   855 24. Mai 2009  libanonymous.la
-rw-r--r--  1 root root 13016 24. Mai 2009  libanonymous.so
-rw-r--r--  1 root root 13016 24. Mai 2009  libanonymous.so.2
-rw-r--r--  1 root root 13016 24. Mai 2009  libanonymous.so.2.0.22
-rw-r--r--  1 root root 15814 24. Mai 2009  libcrammd5.a
-rw-r--r--  1 root root   841 24. Mai 2009  libcrammd5.la
-rw-r--r--  1 root root 15352 24. Mai 2009  libcrammd5.so
-rw-r--r--  1 root root 15352 24. Mai 2009  libcrammd5.so.2
-rw-r--r--  1 root root 15352 24. Mai 2009  libcrammd5.so.2.0.22
-rw-r--r--  1 root root 46420 24. Mai 2009  libdigestmd5.a
-rw-r--r--  1 root root   864 24. Mai 2009  libdigestmd5.la
-rw-r--r--  1 root root 43500 24. Mai 2009  libdigestmd5.so
-rw-r--r--  1 root root 43500 24. Mai 2009  libdigestmd5.so.2
-rw-r--r--  1 root root 43500 24. Mai 2009  libdigestmd5.so.2.0.22
-rw-r--r--  1 root root 13650 24. Mai 2009  liblogin.a
-rw-r--r--  1 root root   835 24. Mai 2009  liblogin.la
-rw-r--r--  1 root root 13460 24. Mai 2009  liblogin.so
-rw-r--r--  1 root root 13460 24. Mai 2009  liblogin.so.2
-rw-r--r--  1 root root 13460 24. Mai 2009  liblogin.so.2.0.22
-rw-r--r--  1 root root 29076 24. Mai 2009  libntlm.a
-rw-r--r--  1 root root   829 24. Mai 2009  libntlm.la
-rw-r--r--  1 root root 28532 24. Mai 2009  libntlm.so
-rw-r--r--  1 root root 28532 24. Mai 2009  libntlm.so.2
-rw-r--r--  1 root root 28532 24. Mai 2009  libntlm.so.2.0.22
-rw-r--r--  1 root root 13970 24. Mai 2009  libplain.a
-rw-r--r--  1 root root   835 24. Mai 2009  libplain.la
-rw-r--r--  1 root root 14036 24. Mai 2009  libplain.so
-rw-r--r--  1 root root 14036 24. Mai 2009  libplain.so.2
-rw-r--r--  1 root root 14036 24. Mai 2009  libplain.so.2.0.22
-rw-r--r--  1 root root 21710 24. Mai 2009  libsasldb.a
-rw-r--r--  1 root root   866 24. Mai 2009  libsasldb.la
-rw-r--r--  1 root root 18080 24. Mai 2009  libsasldb.so
-rw-r--r--  1 root root 18080 24. Mai 2009  libsasldb.so.2
-rw-r--r--  1 root root 18080 24. Mai 2009  libsasldb.so.2.0.22

-- listing of /etc/postfix/sasl --
insgesamt 12
drwxr-xr-x 2 root root 4096  3. Mär 21:06 .
drwxr-xr-x 3 root root 4096  3. Mär 16:30 ..
-rw-r--r-- 1 root root  109  3. Mär 21:06 smtpd.conf




-- content of /etc/postfix/sasl/smtpd.conf --
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true


-- content of /etc/postfix/sasl/smtpd.conf --
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
saslauthd_path: /var/run/saslauthd/mux
autotransition:true



-- active services in /etc/postfix/master.cf --
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
smtp      inet  n       -       -       -       -       smtpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
        -o smtp_fallback_relay=
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix  -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

-- mechanisms on localhost --
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN


-- end of saslfinger output --

Was mich etwas wundert ist die Ausgabe von:

Code: Select all

testsaslauthd -f /var/run/saslauthd/mux -u usermail -p password
0: OK "Success."

testsaslauthd -f /var/spool/postfix/var/run/saslauthd/mux -u usermail -p password
connect() : No such file or directory

Möglicherweise ist es ein flüchtigkeitsfehler... nur manchesmal sieht man den Wald vor lauter Bäumen nicht mehr. Ich wäre euch so Dankbar für einen Hinweis wie ich dieses Problem noch in den Griff bekomme!!

Besten Dank

[rudelgurke]

Code: Select all

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

Code: Select all

testsaslauthd -f /var/spool/postfix/var/run/saslauthd/mux -u usermail -p password
connect() : No such file or directory

Hmm - müsste in /var/spool/postfix/private/auth nicht Dovecot seinen SASL Socket erstellen ?
Wenn denn dass so beabsichtigt ist.

[Joe User]

Ja, saslauthd wird hier gar nicht erst verwendet, sondern die SASL-Implementierung von Dovecot.

Ist das ein c&p Fehler, oder steht das wirklich mit Dollar in Deiner main.cf?

Code: Select all

smtpd_recipent_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destinat$

[agarbathi]

hatte in der /etc/default/saslauthd noch einen kleinen Fehler gefunden.

Code: Select all

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd" 

musste die Zeile noch hinzufügen.

somit ergibt:

Code: Select all

testsaslauthd -f /var/spool/postfix/var/run/saslauthd/mux -u usermail -p passwort
0: OK "Success."

leider bleibt das Problem weiterhin bestehen... :-(

Vielleicht hhat jemand noch eine Idee warum keine mails rausgehen?

Danke euch

[agarbathi]

das $ Zeichen steht so nicht in der main.cf von Postfix.. ist ein c&p Fehler

[Joe User]

saslauthd spielt gar nicht mit, da kannst Du lange rumdoktern.
Bitte beide Ausgaben vollständig (keine abgeschnittenen Zeilen) posten:

Code: Select all

postconf -n
dovecot -n

[rudelgurke]

Schau nochmal oben. Mit Änderungen an Saslauthd wirst du nicht zum Erfolg kommen, da Postfix die Auth Daten von Dovecot beziehen will, in der gezeigten Konfiguration.
Also entweder die Dovecot Konfiguration entsprechend anpassen dass der Auth Socket an der richtigen Stelle erstellt wird, mit den richtigen Zugriffsrechten, oder als Alternative Postfix dazu bewegen Saslauthd via smtpd_sasl_type zu verwenden und dann den Pfad zum Socket von Saslauthd entsprechend anzupassen.

[agarbathi]

postfix -n

Code: Select all

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = n112h118.rs.de.inter.net, localhost.rs.de.inter.net, meinedomain.de, mail.meinedomain.de,mx.meinedomain.de, XXX.XXX.112.118, , localhost
myhostname = meinedomain.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, XXX.XXX.112.118
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = mail.meinedomain.de
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes

dovecot -n

Code: Select all

# 1.0.15: /etc/dovecot/dovecot.conf
log_timestamp: %Y-%m-%d %H:%M:%S
protocols: imap imaps pop3 pop3s
disable_plaintext_auth: no
login_dir: /var/run/dovecot/login
login_executable(default): /usr/lib/dovecot/imap-login
login_executable(imap): /usr/lib/dovecot/imap-login
login_executable(pop3): /usr/lib/dovecot/pop3-login
mail_privileged_group: mail
mail_executable(default): /usr/lib/dovecot/imap
mail_executable(imap): /usr/lib/dovecot/imap
mail_executable(pop3): /usr/lib/dovecot/pop3
mail_plugin_dir(default): /usr/lib/dovecot/modules/imap
mail_plugin_dir(imap): /usr/lib/dovecot/modules/imap
mail_plugin_dir(pop3): /usr/lib/dovecot/modules/pop3
pop3_uidl_format(default):
pop3_uidl_format(imap):
pop3_uidl_format(pop3): %08Xu%08Xv
auth default2:
  passdb:
    driver: pam
  userdb:
    driver: passwd
auth default:
  mechanisms: plain login
  passdb:
    driver: pam
  userdb:
    driver: passwd
  socket:
    type: listen
    client:
      path: /var/spool/postfix/private/auth
      mode: 432
      user: postfix
      group: postfix

ich muss auch nochmal dazu sagen das ich KEIN Linux Experte bin... Thema Mailserver ist doch noch etwas abstrakt für mich! Bitte um Vergebung!!!

[agarbathi]

@rudelgurke

in meiner dovecot.conf hab ich aber eigentlich die socket Anweisung:

Code: Select all

auth default {
mechanisms = plain login
passdb pam {
}
userdb passwd {
}
socket listen {
client {
path = /var/spool/postfix/private/auth
mode = 0660
user = postfix
group = postfix
}
}
}

ich denke doch das Du das meintest, oder?

[Joe User]

Wo kommt denn "auth default2" in Deiner dovecot.conf her? Nach welchen Anleitungen bist Du bisher vorgegangen? Wo/Wie willst Du die Zugangsdaten zum Mailsystem speichern? Wie lautet der Reverse-DNS für Deine Server-IP-Adresse?

[agarbathi]

Hallo,

also als Vorlage hab ich mir ein VideoTutorial auf Youtube genommen:

http://www.youtube.com/watch?v=aw1TPKWxI6o

welches ich auch analog als englischsprachige Anleitung gefunden hatte. Es ist so gesehen die selbe Anleitung gewesen.

die auth default2 kommt daher, wie in dem VideoTut. auch beschrieben lediglich dadurch zustande das die original auth default Zeilen nachträglich von mir mir (wie im Tut.) eingefügt wurden und die auth default in auth default2 umbenannt werden sollte.

Als Reverse DNS hab ich mail.meinedomain.de angegeben.
Eintarg als MX mit Prio 10 TTL=86400

Die Zugangsdaten sollten, weil ich hier lediglich 1-5 Mailadressen mit verwalten möchte über das Debian Benutzersystem laufen..
Also angemeldete Nutzer sollen mails empfangen und versenden dürfen.

Also, ich bin nicht abgeneigt wenn jemand eine bessere Lösung hat die umzusetzen... bin also für gute Ideen offen und hoffe da ein bischen auf eure hilfe

Danke

[Joe User]

Der MX-Eintrag ist OK und richtig so, aber das ist nicht der Reverse-DNS-Eintrag, diesen musst Du im Kundenmenü Deines Serveranbieters eintragen. Am Besten Du trägst dort etwas wie "devnull.row-netz.de" ein, wobei Du "devnull" frei wählen kannst, hauptsache Du legst für diese Subdomain auch einen A-Record bei Deinem Domainprovider an.

Auch wenn für fünf Mailaccounts eine MySQL-Anbindung etwas Overkill ist, so erspart Dir das die Systemuser und macht Dich letztendlich flexibler. Eine Beispielkonfiguration bestehend aus Postfix, Dovecot, MySQL und PostfixAdmin findest Du in meinem Gentoo Hosting HowTo, Du musst es aber an Dein System anpassen, also zuerst sorgfältig vollständig lesen, nachdenken, mit der Doku zu Deinen etwas älteren Versionen abgleichen und bei konkreten Problemen lieber nochmal hier nachfragen.

[agarbathi]

Falls jemand eine zuverlassige Anleitung für einen Mailserver unter Debian hat wäre ich für ein Link dankbar!!

[agarbathi]

Supi, endlich die Lösung gefunden:

Problem war die Zeile:

Code: Select all

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128,

hier war der Fehler schon drin... nimmt natürlich nur Mails von der lokalen Maschine an, und somit war es von anderen Netzwerken nicht möglich Mails über via Mailclient zu versenden.

Code: Select all

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 0.0.0.0/0

brachte dann die Lösung! :-)

Noch eine Frage dazu: gibt es da eigentlich die Möglichkeit Postfix so zu konfigurieren..den Ausgang speziell an eine Domain zu binden. Also nicht von jeder IP erlaubt, dafür aber beispielsweise von nur von gmx.de oder web.de etc.??

besten Dank!

[Joe User]

Gratulation, Du hast damit ein Open-Relay geschaffen!

Zu Deiner letzten Frage: Ja, gibt es, aber das möchtest Du nicht wirklich.

Was hat denn an meinem HowTo nicht funktioniert?

[agarbathi]

Ok, dann frage ich mal welche Verbesserungen dazu führen das ich den Mailserver sicherer machen kann?

[Joe User]

Lies die Configs in meinem HowTo und vergleiche diese mit den Dokumentationen zu Postfix und Dovecot. Ich postete den Link ja nicht zum Spass.

Deine aktuelle Konfiguration ist weitestgehend Müll, weshalb ich sie nicht Punkt für Punkt auseinander nehmen werde, das sprengt den Rahmen eines Forums.

[Shaadea]

Der Link und das HowTo darin sind fein, allerdings fehlt der Aufbau der MySql Tabellen. Einige sind klar und ergeben sich aus den queries, aber nicht alle. Gibt's da was weiterführendes, wie die auszusehen haben?

[Joe User]

Die Tabellen werden weiter unten durch PostfixAdmin angelegt.

[Shaadea]

hmm, krieg das Ding nicht zum Laufen... :(
Was sind denn die üblichen Fehler, die passiert sein können, damit ich mal mit dem Ausmerzen beginnen kann...

[Joe User]

Übliche Fehler sind falsche Versionen (HowTos sind fast immer auf bestimmte Versionen zugeschnitten), oder nicht an das eigene System angepasste Optionen und Pfade, oder das eigenmächtige Auslassen/Hinzufügen von Software und Configs. Zudem wird nahezu immer vergessen, die jeweilige Dokumentation zu den beteiligten Komponennten zu lesen und zu beachten.