Versand von Emails über Postfix nur an eigene Domain möglich

[web-gear]

Hallo,

zunächst möchte ich anmerken, dass ich bereits viele Threads gefunden habe, die in die Richtung von meinem Problem gehen, jedoch konnte mir nichts richtig weiterhelfen.

Ich habe seit wenigen Tagen einen Root-Server bei 1&1 Puretec. Darauf ist SuSE Linux 8.1 installiert, außerdem ist als MTA postfix vorinstalliert. SMTP Auth ist ebenfalls vorhanden.

Nachdem ich einige POP3-Postfächer und E-Mail Adressen angelegt habe (über Confixx 2.0 Professional) stellte ich fest, dass ich meine Mails zwar problemslos abrufen kann, jedoch beim Versenden ein Problem auftritt:
Die Authentifizierung mit dem Server scheint zu funktionieren (über RFC 2554), mein E-Mail Programm (The Bat) meldet bereits, dass der Nachrichtenkopf versandt wird. Noch hängt es vom der E-Maiol Adresse des Empfängers ab, was passiert: Handelt es sich um meine Domain hinter dem @-Zeichen (also abc@domain.tld, wobei abc beliebig sein kann), die auch als Standarddomain für den Server eingerichtet ist, klappt alles wunderbar. Ist dies nicht der Fall, dann erscheint jedoch die Fehlermeldung "Relay access denied".

Das will ich natürlich ändern, schließlich bringt es mir nichts, an mich selbst E-Mails zu verschicken.
Ich glaube, dass der Fehler vermutlich irgendwo in dem Postfix-Config-File zu finden ist, habe diesen auch gründlich studiert, komme jedoch nicht weiter.

Kann mir jemand helfen? Vorallem die Syntax der Postfix-Config sollte entschlüsselt werden (möglicherweise muß ich nur die richtige Stelle entkommentieren?), da auch auf http://www.postfix.org keine Lösung zu meinem Problem zu finden ist. In den Puretec FAQ's wird nur den SuSE 7.2 Anwendern mit sendmail geholfen.

Vielen Dank schon im Voraus!

MfG
web-gear

[dodolin]

In den Puretec FAQ's wird nur den SuSE 7.2 Anwendern mit sendmail geholfen.

Ja?! -> Das ist ja ungeheuerlich!
Aber dir kann (hoffentlich) geholfen werden. Guckst du: -> http://server.1und1.com/root_server/mail/2.html :lol:

[web-gear]

Hallo,

erstmal danke, aber damit komme ich nicht ganz klar:

Folgendes habe ich nicht gemacht, da die entsprechende Datei auf meinem Server nicht vorhanden ist:

Code: Select all

relay_domains = $mydestination, hash:/usr/local/etc/postfix/relaydomains

Ich habe gleich das versucht:

Es ist auch möglich bei der Option "smtpd_recipient_restrictions" den Wert "permit_mx_backup" anzugeben, welcher bewirkt, dass der Mail-Server automatisch Mails akzeptiert für deren Domain der Server als MX eingetragen ist ...

Tja mein Eintrag für smtpd_recipient_restrictions sieht dann so aus:

Code: Select all

smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mx_backup

Jetzt kann ich gar nix mehr verschicken, weil der E-Mail Client ewig versucht, sich einzuloggen (keine Fehlermeldung, aber auch kein Erfolg).

Was sind die idealen Werte bzw. soll ich doch eine Datei /usr/local/etc/postfix/relaydomains anlegen? Was würde da rein kommen, und in welcher Syntax?

Sorry meine Unwissenheit #-|

[dodolin]

Ist dein Rootserver für irgendeine Domain Backup MX? Ich vermute, dass nicht. Dann kannst du dir sowohl das mit den relaydomains als auch das mit dem permit_backup_mx sparen. Einfach weglassen. BTW: Mit permit_backup_mx baust du dir Sicherheitslücken ein. Jeder, der Zugriff auf einen DNS hat, kann deinen Host als Relay missbrauchen.

Du hast bis jetzt noch gar nichts zu den eigentlichen SMTP-AUTH Einstellungen gesagt. Du solltest dir das Kapitel "Authentifizierung, am besten verschlüsselt" auf obiger Seite mal anschauen und genau befolgen. Vielleicht hilft das ja schon.

[web-gear]

Du hast bis jetzt noch gar nichts zu den eigentlichen SMTP-AUTH Einstellungen gesagt. Du solltest dir das Kapitel "Authentifizierung, am besten verschlüsselt" auf obiger Seite mal anschauen und genau befolgen. Vielleicht hilft das ja schon.

Ich habe das schon durchgelsen, aberda steht ja drin, dass bei SuSE 8.1 alles schon richtig konfiguriert ist. Habe mir trotzdem alle Einstellungen angesehen und teilweise auch nach dem postfix manual angepasst leider ohne erfolg. habe dann alles wieder rückgängig gemacht.

meine smtp-auth einstellungen aus main.cf:

Code: Select all

#suseconfig:
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
inet_interfaces = all
masquerade_domains = web-gear.com
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions =
strict_rfc821_envelopes = no
#smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
#smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mx_backup
#smtpd_recipient_restrictions = permit

#SMTPD Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
smtpd_enforce_tls = no
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

"smtpd_tls_auth_only = yes" hatte ich schon mal aktiv, ändert natrülich auch nichts.

Danke schon mal im Voraus,

Mfg
Web-Gear

[dodolin]

Die SASL-Authentifizierung muss in Verbindung mit Confixx über PAM eingerichtet werden! Dazu muss Postfix der Gruppe "shadow" angehören und in der Datei /usr/lib/sasl/smtpd.conf "pwcheck_method: pam" stehen.

Hast du alles gecheckt und passt?

Welchen Client verwendest du eigentlich? Wenn möglich, verwende keinen reinen Client, sondern einen MTA als Client und drehe bei diesem das Logging auf, damit du mehr Infos erhälst. Schaue auch mal, ob du bei deinem Postfix das Logging aufdrehen kannst...

[web-gear]

Die SASL-Authentifizierung muss in Verbindung mit Confixx über PAM eingerichtet werden! Dazu muss Postfix der Gruppe "shadow" angehören und in der Datei /usr/lib/sasl/smtpd.conf "pwcheck_method: pam" stehen.

Ich nehme an, dass damit die Postfix-Datei in usr/sbin/ gemeint ist. Die war zu Beginn der Gruppe "root" zugeordnet, als es nicht funktioniert hat habe ich auf "shadow" umgestellt. Damit gings leider auch nicht (ist aber noch eingestellt).

Ich verwende "The Bat" als E-Mail Programm, wie soll ich das machen mit einbem MTA als Client.
Dumme Frage, aber wo stelle ich bei Postfix das Logging hoch bzw. wo ist der Logfile.

Meine The-Bat Logs sind sehr interessant, wie eben festgestellt:

Code: Select all

 15.03.2003, 13:54:59: FETCH - Empfange Nachrichten
 15.03.2003, 13:55:01: FETCH - Verbunden mit dem POP3-Server
 15.03.2003, 13:55:01: FETCH - bestätigt (Standard)
 15.03.2003, 13:55:01: FETCH - 0 Nachrichten in der Mailbox, 0 neu
 15.03.2003, 13:55:01: FETCH - Verbindung beendet - 0 Nachricht(en) empfangen
 15.03.2003, 13:55:05: SEND  - Sende Nachricht(en) - 1 Nachricht(en) in der Warteschlange
 15.03.2003, 13:55:05: SEND  - verbunden mit dem SMTP Server
 15.03.2003, 13:55:05: SEND  - authentifizieren (Software CRAM-MD5)...
 15.03.2003, 13:55:10: SEND  - WARNUNG: Authentifikation fehlgeschlagen
 15.03.2003, 13:55:10: SEND  - Sende Nachricht an mail@hermann-stainer.de
 15.03.2003, 13:55:15: SEND  - Die letzte Versandadresse war <mail@hermann-stainer.de>
!15.03.2003, 13:55:15: SEND  - Nachricht wurde nicht versandt. Server Antwort - <mail@hermann-stainer.de>: Relay access denied
 15.03.2003, 13:55:15: SEND  - Verbindung beendet - 0 Nachricht(en) versandt
 15.03.2003, 13:55:15: SEND  - Einige Nachrichten wurden nicht versendet - prüfen Sie die Logdatei nach Informationen

Das hab ich mal noch dazugehängt, das ist der Log vom Abholen der E-Mails.
Offentsichtlich scheitert er doch an der Authentifizierung...

Aber wieso? Habe schon alles durchprobiert (mit/ohne TLS, POP-Before-SMTP, RFC, verschiedene Ports [25 und 456 für dezidierten TLS-Port] )?

Ich bin wirklich ratlos.

Screenshot von meiner The-Bat Config

[dodolin]

Ich nehme an, dass damit die Postfix-Datei in usr/sbin/ gemeint ist. Die war zu Beginn der Gruppe "root" zugeordnet, als es nicht funktioniert hat habe ich auf "shadow" umgestellt. Damit gings leider auch nicht (ist aber noch eingestellt).

Nope, rückgängig machen. Ich nehme an, dass damit der Postfix-User gemeint ist. Habe aber (mal wieder) gerade keine Linuxkiste greifbar. Stand das in /etc/groups, /etc/passwd oder wo? Versuche es auch mal mit "apropos group" bzw. "apropos groups". Es gibt da Kommandos, die anzeigen, zu welchen Gruppen ein User gehört bzw. alle User einer Gruppe auflistet...

Ich verwende "The Bat" als E-Mail Programm, wie soll ich das machen mit einbem MTA als Client.

Nuja, unter einem unixoiden System halt... Aber ok, vielleicht klappts ja auch so - irgendwann.

15.03.2003, 13:55:05: SEND - authentifizieren (Software CRAM-MD5)...

Ehrlich gesagt, wäre ich mir jetzt nicht so sicher, ob die beschriebene Konfiguration wirklich MD5 unterstützt oder doch vielleicht nur LOGIN und PLAIN...

Da ich aber weder von The Bat! noch von Postfix Ahnung habe, sollten sich hierzu vielleicht mal bessere Experten zu Wort melden. Ich weiss auch nicht, ob und wie man Postfix in eine Art Debug-Modus versetzen kann. Aber IMHO sollte das doch schon irgendwie möglich sein und wenn ja, dann sollte sowas doch auch sicher in der Doku, man-page, FAQ oder sonstwo zu finden sein...

[lutz.wolf]

Hallo,

poste doch mal die entsprechenden Zeilen der /var/log/mail
Evtl. kommt man ja dann dem Fehler auf die Spur.

Lutz

[nfviper]

Genau dieses Problem habe ich auch, an die erste Domain funzt alles. An jede weitere -> Relay Access denied :(

Ich hab mal in den Confixx Dateien gewühlt und finde dort nur einen Eintrag für die erste Domain.

z.B. confixx_localDomains

xyz.de confixx

z.B. confixx_virtualUsers

webmaster@xyz.de web8p2
@xyz web8p1

Da in der main.cf darauf verwiesen wird :

#suseconfig:
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
relocated_maps = hash:/etc/postfix/relocated
...

Zusätzlich steht in der main.cf ->

#suseconfig:
...
masquerade_domains = xyz.de
...

Denke ich das es daran liegt. Any hints ...

Tom

[lutz.wolf]

das ist der Fehler.
In der confixx_localDomains sollten alle Domains stehen für die der Server zuständig ist.
In der confixx_virtualUsers dann die Mail-Adressen zum entsprechenden Postfach

Lutz

[nfviper]

das ist der Fehler.

Nun Gut, aber wie verhält sich confixx wenn man manuell die Domains nachträgt und müsste das nicht confixx selbst machen ???

Was ist mit :

#suseconfig:
...
masquerade_domains = xyz.de
...

Müssten hier nicht auch alle anderen stehen ???

Viele Fragen, keine Antworten :roll:

Tom

[lutz.wolf]

Nun Gut, aber wie verhält sich confixx wenn man manuell die Domains nachträgt und müsste das nicht confixx selbst machen ???

Confixx generiert die Daten aus der MySQL-Datenbank "Confixx" Tabelle "E-Mail" und überschreibt dir dann die Dateien wieder.
Ich bin kein Confixx-Experte, aber ich denke, daß das Script confixx_counterscript.pl dafür verantwortlich ist. Es sucht nach Ã?nderungen und generiert die Dateien wenn nötig neu. Führe dieses Script in der Shell wie folgt aus. # /root/confixx/confixx_counterscript.pl DEBUG und poste bitte die Ausgabe.

Was ist mit :
Zitat:

#suseconfig:
...
masquerade_domains = xyz.de
...



Müssten hier nicht auch alle anderen stehen ???

Das wird nur gebraucht um lokale Benutzernamen in E-Mails umzuschreiben. z.B. postmaster->postmaster@deinedomain.de. Hier sollte nur deine Domain für den Server stehen. Das hat nichts mit deinem Problem zu tun.

[nfviper]

/root/confixx/confixx_counterscript.pl DEBUG und poste bitte die Ausgabe.

Ergibt nur ein 2.0 mehr nicht.

Bei den

masquerade_domains = xyz.de

müssten da nicht auch alle anderen Domainen stehen die der Server hält ?

Das ist die Ausgabe vom Updatescript :

/root/confixx/confixx_updatescript.pl DEBUG
2.0
SUB: main::check_essentials
SUB: main::check_essentials2
SUB: main::check_essentials3
SUB: main::check_essentials4
SUB: main::check_essentials5
Valid until: Tue May 13 01:04:39 2003
Version: pro
SUB: main::check_if_update

Tom

[lutz.wolf]

Also die Ausgabe ist o.k.
Wird das Script per Cronjob auch ausgeführt?

[nfviper]

Soweit ich das sehen kann führt Cron es aus. Wie kann ich nachvollziehen ob es läuft ?

In /etc/cron.d/confixx steht zumindest das confixx_counterscript.pl drin.

Tom

[lutz.wolf]

bei mir steht es in der /etc/crontab
In der Datei /var/log/massages sollten die Ausgaben des Scriptes zu sehen sein.

[nfviper]

bei mir steht es in der /etc/crontab
In der Datei /var/log/massages sollten die Ausgaben des Scriptes zu sehen sein.

In /etc/crontab stehen bei mir nur die Verweise auf cron.hourly usw. aber nich von Confixx. Aber die "recht volle" var/log/messages sagt :

...
Mar 18 15:20:00 pxxxxxxxx /USR/SBIN/CRON[10161]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar 18 15:21:00 pxxxxxxxx /USR/SBIN/CRON[10168]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar 18 15:22:01 pxxxxxxxx /USR/SBIN/CRON[10174]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Mar 18 15:23:00 pxxxxxxxx /USR/SBIN/CRON[10181]: (root) CMD (/root/confixx/confixx_counterscript.pl)
...

Anscheinend läuft das Teil, aber in den confixx_virtualUsers usw. findet sich kein Eintrag von den anderen Domains :(

Tom

[lutz.wolf]

wenn du nun in confixx eine neue domaine anlegst also Kunden und ein Postfach mit einer E-Mailadresse sollten nun die Dateien neu generiert werden.

Lutz

[nfviper]

wenn du nun in confixx eine neue domaine anlegst also Kunden und ein Postfach mit einer E-Mailadresse sollten nun die Dateien neu generiert werden.

Lutz

Nun gehts, danke für die Lösungshilfe

Tom

[nebula]

Habe diese Diksussion intensiv verfolgt, da ich das gleiche Problem habe. Leider gibt es das Problem bei mir immernoch, obwohl ich alle Konfigs so habe wir weiter oben beschrieben und obwohl die Domains und User bei mir in den entsprechenden Dateien stehen.
Weiterhin habe ich ein "Relay access denied". Habt Ihr evtl. noch andere Ideen woran es liegen könnte?
Achja: ist auch ein SuSE8.1er mit Confixx 2 pro

Bye,
Sascha

[lutz.wolf]

Welchen Cient benutzt du?
MTA ist Postfix?
Bei welchen Domains funktioniert es bzw. nicht?
Was sagt /var/log/mail?

Lutz

[nebula]

Hallo,

sorry, dass ich mich erst wieder so spät melde. War länger krank ...

Der MTA ist Postfix.
Es funktioniert über gar keine Domain! Weder über die Standarddomain noch über irgendeine andere die auf dem Server liegt.

Hier ein Auszug aus der /var/log/mail:

Mar 20 13:17:03 pxxxxxxxxx postfix/smtpd[20823]: connect from xxx.xxxx.de[xxx.xxx.xxx.xxx]
Mar 20 13:17:04 pxxxxxxxxx postfix/smtpd[20823]: 142A83AC02C: client=xxx.xxxx.de[xxx.xxx.xxx.xxx]
Mar 20 13:17:04 pxxxxxxxxx postfix/smtpd[20823]: reject: RCPT from xxx.xxxx.de[xxx.xxx.xxx.xxx]: 554 <se@brainbits.net>: Relay access denied; from=<test@galabau-esser.de> to=<se@brainbits.net>
Mar 20 13:22:14 pxxxxxxxxx postfix/smtpd[20823]: timeout after RCPT from xxx.xxxx.de[xxx.xxx.xxx.xxx]
Mar 20 13:22:14 pxxxxxxxxx postfix/smtpd[20823]: disconnect from xxx.xxxx..de[xxx.xxx.xxx.xxx]

Gruß,
Sascha

[lutz.wolf]

Welcher Mailclient?

[nebula]

Vivian Mail und Outlook 2002. Beides unter Windows 2000.