Outlook FQDN

[DR73IT]

Hallo,

ich habe habe ein Problem mit dem versenden von E-Mails über Outlook 2010.
Über thunderbird etc.. ist alles Problemlos.

Code: Select all

NOQUEUE: reject: RCPT from meinisp.net[meineISPIP]: 504 5.5.2 <PC01>: Helo command rejected: need fully-qualified hostname; from=<meine@domain.de> to=<ziel@Domain.de> proto=ESMTP helo=<PC01>

Ich arbeite sehr selten mit Outlook ist mir nur durch Zufall aufgefallen, ist das verhalten bezüglich dem FQDN von Outlook normal, oder habe ich einen Denkfehler ? :-D





System:

OS: Debian Squeeze
Postfix
Spamassassin
clamsmtp
cyrus2.2
postgrey

OHNE Admin Panel

Code: Select all

 postconf -n
alias_maps = $alias_database
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = scan:127.0.0.1:10026
disable_vrfy_command = yes
mailbox_transport = cyrus
mydestination = localhost, localhost.$mydomain, $mydomain, mail.$mydomain, mysql:/etc/postfix/mysql-mydestination.cf
mydomain = ************(MEINE DOMAIN)**********
mynetworks = 127.0.0.0/8
myorigin = $mydomain
receive_override_options = no_address_mappings
relay_domains =
relayhost =
sender_canonical_maps = mysql:/etc/postfix/mysql-canonical.cf
smtp_host_lookup = native,dns
smtp_use_tls = yes
smtpd_banner = $myhostname
smtpd_client_connection_count_limit = 15
smtpd_data_restrictions = reject_unauth_pipelining,       permit
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_recipient_restrictions = reject_invalid_hostname,       reject_non_fqdn_hostname,       reject_non_fqdn_sender,       reject_non_fqdn_recipient,       reject_unknown_sender_domain,       reject_unknown_recipient_domain,       reject_unauth_pipelining,       permit_sasl_authenticated,       permit_mynetworks,       reject_unauth_destination,       check_policy_service inet:127.0.0.1:60000,                reject_rbl_client zen.spamhaus.org,                reject_rbl_client bl.spamcop.net,                reject_rbl_client sbl-xbl.spamhaus.org,                reject_rbl_client ix.dnsbl.manitu.org,                reject_rbl_client dnsbl.ahbl.org,                reject_rbl_client rhsbl.ahbl.org,       permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = permit_sasl_authenticated,       permit_mynetworks,       reject_non_fqdn_sender,       reject_unknown_sender_domain,       permit
smtpd_tls_CAfile = /etc/ssl/certs/smtps.pem
smtpd_tls_cert_file = /etc/ssl/certs/smtps.pem
smtpd_tls_key_file = /etc/ssl/certs/smtps.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = no
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_rfc821_envelopes = yes
tls_random_source = dev:/dev/urandom
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf

[ddm3ve]

Der Client authentifiziert sich vermutlich nicht richtig.

Sonst müsste diese Regel ziehen:
permit_sasl_authenticated

Ich würde die Parameter bei dir nochmals durch prüfen.
Bin mir nicht mehr sicher woran es genau beim Outlook hack lag.

Code: Select all

smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_tls_auth_only = no 
smtpd_tls_security_level = may
smtpd_use_tls = yes 

[ddm3ve]

Achja folgende Konfigurationspunkt vermisse ich bei Dir:

Code: Select all

smtpd_helo_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_helo_hostname,
  permit

Was aber an der authentifizierung nichts ändert. Greift diese sollte alles klappen.
Was spricht den das Logfile über die gesamte Sitzung dazu?

[ddm3ve]

Nachtrag 3, es muss die Athentifizierungsmethode auf TLS gestellt werden und natürlich muss SMTP sich ebenfalls mit Benutzername Passwort authentifizieren. Findet das nicht statt, oder kann Dein Outlook mit dem vom Server bereitgestellten auth Methoden, will er es halt so einliefern.
Die Fehlermeldung "ist dann" u.U. nicht gleich nachvollziehbar.

[DR73IT]

Hallo,


was ich jetzt festgestellt habe:


wenn ich über Thunderbird sende authentifiziert sich am Postfix.
wenn ich über Outlook sende authentifiziert er sich kurz vorher am cyrus/imaps und nicht extra am Postfix.



PS: Ich verschicke nur über eine gesicherte Verbindung.

[ddm3ve]

Dann ist die atuhenifizierungmethode beim Outlook falsch gewählt nicht Pop bevor smtp sondern er muss sich explizit beim smtp anmelden.
Das ist leider etwas versteckter und ich habe kein 2010er Outlook zu Hand. Es müsste unter Extras Konten, Konten anzeigen, bearbeiten, Dann ein Button Erweiter und Seervereinstellung / STMP Postausgangsserver zu finden sein.

[DR73IT]

Hallo,

habe gerade auch gedacht, NUR WO was hat sich MS da gedacht. :-D

Der haken bei "Der Postausgangsserver (SMTP) erfordert Authentifizierung" ist drin.

[ddm3ve]

http://www.aronet.ch/fileadmin/user_upl ... 202010.pdf

Das könnte helfen.
Du müsstest dann nur noch im Reiter Erweitert die Methode TLs auswähöen. Ich meine, es war da.

[DR73IT]

hm...

Der Haken ist drin. :-D

Bug ?

[ddm3ve]

Du musst noch die Methode auswählen also TLS wie oben nacträglich geschrieben unter dem Reiter Verbindung oder Erweitert.
Nicht SSL Verschlüsselung sondern tls.
Eventuell stellst Du ma ein paar Screenshots der Einstellungen im Outlook ein. Mailadresse etc. natürlich anonymisieren.

Zudem solltest Du ggf. im Mailserver das loglevel anheben und prüfen was da genau passiert.

[Joe User]

http://kb.oissite.com/KB/a222/how-to-fo ... ation.aspx Punkt 6 muss deaktiviert sein.

[DR73IT]

senden per outlook

Code: Select all

Feb 10 18:04:05 SRV02 cyrus/imaps[22204]: starttls: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits) no authentication
Feb 10 18:04:05 SRV02 cyrus/imaps[22204]: login: MEINISPHOSTNAME [MEINEIP] MEINUSER plaintext+TLS User logged in
Feb 10 18:04:05 SRV02 postfix/smtpd[22314]: connect from MEINISPHOSTNAME[MEINEIP]
Feb 10 18:04:05 SRV02 postfix/smtpd[22314]: setting up TLS connection from MEINISPHOSTNAME[MEINEIP]
Feb 10 18:04:06 SRV02 postfix/smtpd[22314]: Anonymous TLS connection established from MEINISPHOSTNAME[MEINEIP]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Feb 10 18:04:06 SRV02 postfix/smtpd[22314]: NOQUEUE: reject: RCPT from MEINISPHOSTNAME[8MEINEIP]: 504 5.5.2 <PC01>: Helo command rejected: need fully-qualified hostname; from=<meine@domain.de> to=<mail@domain.de> proto=ESMTP helo=<PC01>

senden per thunderbird usw.

Code: Select all

Feb 10 18:11:05 SRV02 postfix/smtpd[22361]: connect from MEINISPHOSTNAME[MEINEIP]
Feb 10 18:11:05 SRV02 postfix/smtpd[22361]: setting up TLS connection from MEINISPHOSTNAME[MEINEIP]
Feb 10 18:11:05 SRV02 postfix/smtpd[22361]: Anonymous TLS connection established from MEINISPHOSTNAME[MEINEIP]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
Feb 10 18:11:05 SRV02 postfix/smtpd[22361]: C3EF5A141C: client=MEINISPHOSTNAME[MEINEIP], sasl_method=PLAIN, sasl_username=MEINUSERNAME
Feb 10 18:11:05 SRV02 postfix/cleanup[22365]: C3EF5A141C: message-id=<5117D4DE.62540906@meinedomain.de>
Feb 10 18:11:05 SRV02 postfix/qmgr[22311]: C3EF5A141C: from=<mail@meinedomain.de>, size=596, nrcpt=1 (queue active)
Feb 10 18:11:05 SRV02 spamd[2177]: spamd: connection from localhost [127.0.0.1] at port 41777
...............

Das ist ja wohl eindeutig......

@Joe User

Punkt 6 ist deaktiviert

Client seitig muss alles richtig sein, ich bin die Einstellungen 5 mal durchgegangen #-o :paling:

[ddm3ve]

Was steht in der : /etc/postfix/sasl/smtpd.conf

[DR73IT]

Code: Select all

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
log_level: 3

[Joe User]

Setze die Optionen bitte analog zu http://www.cs.duke.edu/csl/security/smtp-auth/outlook

[ddm3ve]

Am besten dokumentierst Du die Konfiguration mit Screenshots. Kannst ja über die "kritischen" Zeichenketten einen Balken malen.
Dann kann man eher einschätzen, was Du da konfigurierst und wo ggf. der Fehler liegt.
Da ich viele Kunden mit Outlook 2010 habe kann ich einen Bug erstmal ausschliessen.

Bei Deiner Mailserver konfiguration bin ich mir aber nicht 100% sicher ob der vollständig und richtig konfiguriert ist.
Hat aber mit dem authentifizierungsproblem erstmal nichts zu tun.

[DR73IT]

Code: Select all

smtpd_sender_restrictions =
       permit_sasl_authenticated,
       permit_mynetworks,
       reject_non_fqdn_sender,
       reject_unknown_sender_domain,
       permit
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        reject_invalid_hostname,
       reject_non_fqdn_hostname,
       reject_non_fqdn_sender,
       reject_non_fqdn_recipient,
       reject_unknown_sender_domain,
       reject_unknown_recipient_domain,
       reject_unauth_pipelining,
       permit_mynetworks,
       reject_unauth_destination,
       check_policy_service inet:127.0.0.1:60000,
                reject_rbl_client zen.spamhaus.org,
                reject_rbl_client bl.spamcop.net,
                reject_rbl_client sbl-xbl.spamhaus.org,
                reject_rbl_client ix.dnsbl.manitu.org,
                reject_rbl_client dnsbl.ahbl.org,
                reject_rbl_client rhsbl.ahbl.org,
       permit
smtpd_data_restrictions =
       reject_unauth_pipelining,
       permit

smtpd_recipient_restrictions ! einfach an die Erste stelle ein "permit_sasl_authenticated" und er kommt auch zur Authentifizierung.