15
2 Mailserver im LAN mit unterschiedlichen Domains
Moin Moin,
es ist mein erster Post hier also bitte nicht gleich köpfen ;)
Problemstellung sieht wie folgt aus:
Ich habe im LAN zwei E-Mail Server für verschiedene Domains.
Ins WAN sind diese jeweils über eine separate WAN IP angebunden.
Der E-Mail-Verkehr von den Servern zu externen Empfängern und zurück funktionier ohne Probleme.
Alles ist soweit "grün" ( SFP, DKIM, rDNS, DMARC MX(beim Provider)
Das Problem ist, ich kann keine Mails von Server1 zu Server2 schicken und umgekehrt.
Hier der reale LOG-Auszug :
###(Versand einer Mail von domainA an domainB)
[01/Feb/2023 09:43:32][3412] {dns} Searching cache for A records for host mail.domainB.de
[01/Feb/2023 09:43:32][3412] {dns} DNS: host mail.domainB.de found, IP address WAN2
[01/Feb/2023 09:43:32][3412] {smtpc} Connecting to server mail.domainB.de (WAN2:25) using local interface 0.0.0.0
[01/Feb/2023 09:43:32][3412] {conn} Connecting to WAN2:25 via local interface 0.0.0.0 ...
###Status der Mails bleiben hängen auf: 4.4.1 Cannot connect zu host
(Versand einer Mail von domainB an domainA)
[01/Feb/2023 10:01:27][12588] {dns} DNS: host mail.domainA.com found, IP address WAN1
[01/Feb/2023 10:01:27][12588] {conn} Connecting to WAN1:25 via local interface 0.0.0.0 ...
[01/Feb/2023 10:01:27][12588] {conn} Connection from WAN1:25 to 10.0.32.12:64314, socket 36816.
###Status der Mails bleiben hängen auf: 5.5.4 Cannto find hostname "domainA.com" in DNS
Lösungsdedanke1:
Es muss sicher etwas im internem DNS eingestellt weden, dass die Server sich vernünftig erreichen und die jeweiligen Domains auflösen können.
DNS bei den beiden Servern habe ich aktuell auf 8.8.8.8 gesetzt und nicht auf den internen DNS Server.
Somit kommt auch eine korrekte externe auflösung des MX Eintrages.
Nach meinem Verständnis muss also ein Weg so erstellt werden:
LAN1(Netz 10.10.0.0) –> WAN (IP 1 ) -> WAN (IP 2) -> LAN2(Netz 10.12.0.0) - Und zurück
(die zwei Mail-Server stehen aktuell noch in zwei verschiedenen LAN Netzen, ich werde aber bald noch den 1.Server in das gleiche Netz migrieren vom 2.Server)
Das müste man gewehrleisten wenn man nicht den internen DNS Server verwendet und dort etwas einstellt.
Lösungsdedanke2:
Wenn ich doch intern den MX auflösen will damit die Server sich die Mails direkt ohne Umwege zustellen sollen, dann muss sicher etwas in den lokalen DNS Servern einstellen.
Hier bin ich aber leider noch etwas unbedarft, was diese Konstalation betrifft.
Wo muss ich welche Forwart-Lookupzonen erstellen und welche A und MX Einträge gesetzt werden müssen.
Diese Zonen habe ich testweise angelegt:
domainA.com
mail.domainA.com
domainB.de
mail.domainB.de
1) domainA.com -> MX Record lautet mail.domainA.com -> host name des servers : mail.domainA.com
2) domainB.de -> MX Record lautet mail.domainB.de -> host name des servers : mail.domainB.de
Hat jemand eventuell Erfahrung in diesem Gebiet?
Über Hilfe würde ich mich freuen.
MfG
Andrej
es ist mein erster Post hier also bitte nicht gleich köpfen ;)
Problemstellung sieht wie folgt aus:
Ich habe im LAN zwei E-Mail Server für verschiedene Domains.
Ins WAN sind diese jeweils über eine separate WAN IP angebunden.
Der E-Mail-Verkehr von den Servern zu externen Empfängern und zurück funktionier ohne Probleme.
Alles ist soweit "grün" ( SFP, DKIM, rDNS, DMARC MX(beim Provider)
Das Problem ist, ich kann keine Mails von Server1 zu Server2 schicken und umgekehrt.
Hier der reale LOG-Auszug :
###(Versand einer Mail von domainA an domainB)
[01/Feb/2023 09:43:32][3412] {dns} Searching cache for A records for host mail.domainB.de
[01/Feb/2023 09:43:32][3412] {dns} DNS: host mail.domainB.de found, IP address WAN2
[01/Feb/2023 09:43:32][3412] {smtpc} Connecting to server mail.domainB.de (WAN2:25) using local interface 0.0.0.0
[01/Feb/2023 09:43:32][3412] {conn} Connecting to WAN2:25 via local interface 0.0.0.0 ...
###Status der Mails bleiben hängen auf: 4.4.1 Cannot connect zu host
(Versand einer Mail von domainB an domainA)
[01/Feb/2023 10:01:27][12588] {dns} DNS: host mail.domainA.com found, IP address WAN1
[01/Feb/2023 10:01:27][12588] {conn} Connecting to WAN1:25 via local interface 0.0.0.0 ...
[01/Feb/2023 10:01:27][12588] {conn} Connection from WAN1:25 to 10.0.32.12:64314, socket 36816.
###Status der Mails bleiben hängen auf: 5.5.4 Cannto find hostname "domainA.com" in DNS
Lösungsdedanke1:
Es muss sicher etwas im internem DNS eingestellt weden, dass die Server sich vernünftig erreichen und die jeweiligen Domains auflösen können.
DNS bei den beiden Servern habe ich aktuell auf 8.8.8.8 gesetzt und nicht auf den internen DNS Server.
Somit kommt auch eine korrekte externe auflösung des MX Eintrages.
Nach meinem Verständnis muss also ein Weg so erstellt werden:
LAN1(Netz 10.10.0.0) –> WAN (IP 1 ) -> WAN (IP 2) -> LAN2(Netz 10.12.0.0) - Und zurück
(die zwei Mail-Server stehen aktuell noch in zwei verschiedenen LAN Netzen, ich werde aber bald noch den 1.Server in das gleiche Netz migrieren vom 2.Server)
Das müste man gewehrleisten wenn man nicht den internen DNS Server verwendet und dort etwas einstellt.
Lösungsdedanke2:
Wenn ich doch intern den MX auflösen will damit die Server sich die Mails direkt ohne Umwege zustellen sollen, dann muss sicher etwas in den lokalen DNS Servern einstellen.
Hier bin ich aber leider noch etwas unbedarft, was diese Konstalation betrifft.
Wo muss ich welche Forwart-Lookupzonen erstellen und welche A und MX Einträge gesetzt werden müssen.
Diese Zonen habe ich testweise angelegt:
domainA.com
mail.domainA.com
domainB.de
mail.domainB.de
1) domainA.com -> MX Record lautet mail.domainA.com -> host name des servers : mail.domainA.com
2) domainB.de -> MX Record lautet mail.domainB.de -> host name des servers : mail.domainB.de
Hat jemand eventuell Erfahrung in diesem Gebiet?
Über Hilfe würde ich mich freuen.
MfG
Andrej
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5771883463
Url: https://administrator.de/contentid/5771883463
Printed on: April 28, 2024 at 09:04 o'clock
15 Comments
Latest comment
Hallo,
wenn man intern und extern unterschiedliche Antworten auf DNS-Queries benötigt, nennt man das Split-DNS. Was für DNS-Server sind den das? Die Konfiguration bei bind9 ist etwas anders als bei Windows Server 2019
Grüße
lcer
wenn man intern und extern unterschiedliche Antworten auf DNS-Queries benötigt, nennt man das Split-DNS. Was für DNS-Server sind den das? Die Konfiguration bei bind9 ist etwas anders als bei Windows Server 2019
Grüße
lcer
Win Server 2022 -
habe zwei DNS Server laufen - auf DC01.corp.domainA.com und DHCP01.corp.domainA.com
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
habe zwei DNS Server laufen - auf DC01.corp.domainA.com und DHCP01.corp.domainA.com
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Moin,
Warum weiß Du die Mailserver per Transportregel nicht an, mails für die jweilige Domain direkt an den Server per IP-Adresse zuzustellen? So oft werden die doch ihre interne IP-Adresse nciht regelmäßig ändern.
In Postfix geht das z.B. indem Du in der main.cf sowas ähliches wie
einträgst und in der Datei die Du hier angegeben hast (/etc/postfix/transport) dann die zuordnug welche domain auf welchem Weg zugestellt werden soll:
Dann sollte es doch klappen.
lks
PS: die postfix-config habe so aus dem Gedächtnis hingeschrieben, kann sein, daß man das im Detail noch anpassen muß.
Warum weiß Du die Mailserver per Transportregel nicht an, mails für die jweilige Domain direkt an den Server per IP-Adresse zuzustellen? So oft werden die doch ihre interne IP-Adresse nciht regelmäßig ändern.
In Postfix geht das z.B. indem Du in der main.cf sowas ähliches wie
relay_domains = $mydestination, beispiel.de
transport_maps = hash:/etc/postfix/transportbeispiel.de smtp:IP-Adresse-anderer-Mailserver:25
Dann sollte es doch klappen.
lks
PS: die postfix-config habe so aus dem Gedächtnis hingeschrieben, kann sein, daß man das im Detail noch anpassen muß.
1Zitat von @IT-GUTOM:
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Exchange oder ein ordernlicher MTA? Selbst bei Exchange kann man angeben, daß Mails zu bestimmten Domains direkt an einen Server mit einer bestimmten IP-Adresse zugestellt werden.
lks
Zitat von @Lochkartenstanzer:
Exchange oder ein ordernlicher MTA? Selbst bei Exchange kann man angeben, daß Mails zu bestimmten Domains direkt an einen Server mit einer bestimmten IP-Adresse zugestellt werden.
lks
Zitat von @IT-GUTOM:
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Exchange oder ein ordernlicher MTA? Selbst bei Exchange kann man angeben, daß Mails zu bestimmten Domains direkt an einen Server mit einer bestimmten IP-Adresse zugestellt werden.
lks
Es ist eine Kerio Connect Lösung , würde schon sagen, dass es ein ordenliches MTA ist , diese Einstellungen musste ich aber bis jetzt nie anfassen und somit das noch Neuland für mich.
Zitat von @IT-GUTOM:
Es ist eine Kerio Connect Lösung , würde schon sagen, dass es ein ordenliches MTA ist , diese Einstellungen musste ich aber bis jetzt nie anfassen und somit das noch Neuland für mich.
Es ist eine Kerio Connect Lösung , würde schon sagen, dass es ein ordenliches MTA ist , diese Einstellungen musste ich aber bis jetzt nie anfassen und somit das noch Neuland für mich.
Kerio ist o.k. Habe es aber bisher noch nciht in den Fingern gehabt.
Ich würde da einfach mal die Manuals anfangen zu lesen und schauen, wie man so eine Transportregel erstellt. Am besten mit einer Testversion ausprobieren, bevor Du auf den Prduktivservern etwas verstellst.
lks
Zitat von @Lochkartenstanzer:
Moin,
Warum weiß Du die Mailserver per Transportregel nicht an, mails für die jweilige Domain direkt an den Server per IP-Adresse zuzustellen? So oft werden die doch ihre interne IP-Adresse nciht regelmäßig ändern.
In Postfix geht das z.B. indem Du in der main.cf sowas ähliches wie
einträgst und in der Datei die Du hier angegeben hast (/etc/postfix/transport) dann die zuordnug welche domain auf welchem Weg zugestellt werden soll:
Dann sollte es doch klappen.
lks
PS: die postfix-config habe so aus dem Gedächtnis hingeschrieben, kann sein, daß man das im Detail noch anpassen muß.
Moin,
Warum weiß Du die Mailserver per Transportregel nicht an, mails für die jweilige Domain direkt an den Server per IP-Adresse zuzustellen? So oft werden die doch ihre interne IP-Adresse nciht regelmäßig ändern.
In Postfix geht das z.B. indem Du in der main.cf sowas ähliches wie
relay_domains = $mydestination, beispiel.de
transport_maps = hash:/etc/postfix/transportbeispiel.de smtp:IP-Adresse-anderer-Mailserver:25
Dann sollte es doch klappen.
lks
PS: die postfix-config habe so aus dem Gedächtnis hingeschrieben, kann sein, daß man das im Detail noch anpassen muß.
weil ich in dem Thema nicht so drin bin, bzw mich um mehrere MailServer in einem Unternehmen nie kümmern musste.
Ich mal mal gucken, ob ich solche Anpassungen hier in unserem Kerio Connect Produkt setzen kann.
Kerio ist aber eigentlich sehr gut konfigurierbar in der Tiefe.
Ich gucke mal, ob ich was in der richtung finde.
Vielen Danks fürs erste.
Zitat von @IT-GUTOM:
Win Server 2022 -
habe zwei DNS Server laufen - auf DC01.corp.domainA.com und DHCP01.corp.domainA.com
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Und die DNS-Server?Win Server 2022 -
habe zwei DNS Server laufen - auf DC01.corp.domainA.com und DHCP01.corp.domainA.com
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
grüße
lcer
Zitat von @Lochkartenstanzer:
Kerio ist o.k. Habe es aber bisher noch nciht in den Fingern gehabt.
Ich würde da einfach mal die Manuals anfangen zu lesen und schauen, wie man so eine Transportregel erstellt. Am besten mit einer Testversion ausprobieren, bevor Du auf den Prduktivservern etwas verstellst.
lks
Zitat von @IT-GUTOM:
Es ist eine Kerio Connect Lösung , würde schon sagen, dass es ein ordenliches MTA ist , diese Einstellungen musste ich aber bis jetzt nie anfassen und somit das noch Neuland für mich.
Es ist eine Kerio Connect Lösung , würde schon sagen, dass es ein ordenliches MTA ist , diese Einstellungen musste ich aber bis jetzt nie anfassen und somit das noch Neuland für mich.
Kerio ist o.k. Habe es aber bisher noch nciht in den Fingern gehabt.
Ich würde da einfach mal die Manuals anfangen zu lesen und schauen, wie man so eine Transportregel erstellt. Am besten mit einer Testversion ausprobieren, bevor Du auf den Prduktivservern etwas verstellst.
lks
ich kann mich hier gerade gut austoben, ohne das die Benutzer mich gleich lünchen.
Server 1 hat 30 Benutzer, Server 2 nur 3 1/2 . diesen habe ich halt gerade aus der Cloud in das RZ gezogen und habe halt nun diese Probleme.
Zitat von @lcer00:
grüße
lcer
Zitat von @IT-GUTOM:
Win Server 2022 -
habe zwei DNS Server laufen - auf DC01.corp.domainA.com und DHCP01.corp.domainA.com
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
Und die DNS-Server?Win Server 2022 -
habe zwei DNS Server laufen - auf DC01.corp.domainA.com und DHCP01.corp.domainA.com
Der Mailserver A ist noch auf einem Win Server 2012 R2
der zweite schon auf Win Server 2022
grüße
lcer
wie geschrieben, beide DNS Dienste laufen auf neuen Win Server 2022 . Das AD habe ich hier erst vor ca. 2 Monaten aufgebaut.
Hallo,
von extern hast Du doch sicher per NAT die Ports 25, 587, 465 freigegeben und zum Mailserver weitergeleitet, oder? Wenn nun eine Anfrage von innen kommt, greift diese Regel nicht. Was Du suchst, ist Hairpin-NAT (auch Hairpinning oder NAT-Loopback genannt?
cu,
ipzipzap
###Status der Mails bleiben hängen auf: 4.4.1 Cannot connect zu host
von extern hast Du doch sicher per NAT die Ports 25, 587, 465 freigegeben und zum Mailserver weitergeleitet, oder? Wenn nun eine Anfrage von innen kommt, greift diese Regel nicht. Was Du suchst, ist Hairpin-NAT (auch Hairpinning oder NAT-Loopback genannt?
cu,
ipzipzap
1
Hallo,
Welche Router sind das?
Was steht in deren Logs wer mit wem auf Port 25 reden will?
Wer ist dort 0.0.0.0? Normalerweise ist das eine externe IP (an alle nichr internen Netze). Kann der Router von Innen auf eine seine externen IPs direkt Verbinden (Hairpin NAT, NAT Loopback, Hairpinning, Hairpin-NAT usw.)
Da spielt der Router nicht mit so wie der Konfiguriert ist oder der kann es nicht. Ist kein zwang und kein Standard. Notfalls den Hersteller fragen. Oder dein Kerio so Konfigurieren das er direkt zur anderen internen IP schickt bzw. akzeptiert.
Gruß,
Peter
Zitat von @IT-GUTOM:
###(Versand einer Mail von domainA an domainB)
[01/Feb/2023 09:43:32][3412] {dns} Searching cache for A records for host mail.domainB.de
[01/Feb/2023 09:43:32][3412] {dns} DNS: host mail.domainB.de found, IP address WAN2
[01/Feb/2023 09:43:32][3412] {smtpc} Connecting to server mail.domainB.de (WAN2:25) using local interface 0.0.0.0
[01/Feb/2023 09:43:32][3412] {conn} Connecting to WAN2:25 via local interface 0.0.0.0 ...
Welche IPs (Intern und Extern) oder nur Intern werden hier angesprochen?###(Versand einer Mail von domainA an domainB)
[01/Feb/2023 09:43:32][3412] {dns} Searching cache for A records for host mail.domainB.de
[01/Feb/2023 09:43:32][3412] {dns} DNS: host mail.domainB.de found, IP address WAN2
[01/Feb/2023 09:43:32][3412] {smtpc} Connecting to server mail.domainB.de (WAN2:25) using local interface 0.0.0.0
[01/Feb/2023 09:43:32][3412] {conn} Connecting to WAN2:25 via local interface 0.0.0.0 ...
Welche Router sind das?
Was steht in deren Logs wer mit wem auf Port 25 reden will?
[01/Feb/2023 10:01:27][12588] {dns} DNS: host mail.domainA.com found, IP address WAN1
[01/Feb/2023 10:01:27][12588] {conn} Connecting to WAN1:25 via local interface 0.0.0.0 ...
[01/Feb/2023 10:01:27][12588] {conn} Connection from WAN1:25 to 10.0.32.12:64314, socket 36816.
Auch mal die Logs prüfen[01/Feb/2023 10:01:27][12588] {conn} Connecting to WAN1:25 via local interface 0.0.0.0 ...
[01/Feb/2023 10:01:27][12588] {conn} Connection from WAN1:25 to 10.0.32.12:64314, socket 36816.
Wer ist dort 0.0.0.0? Normalerweise ist das eine externe IP (an alle nichr internen Netze). Kann der Router von Innen auf eine seine externen IPs direkt Verbinden (Hairpin NAT, NAT Loopback, Hairpinning, Hairpin-NAT usw.)
Da spielt der Router nicht mit so wie der Konfiguriert ist oder der kann es nicht. Ist kein zwang und kein Standard. Notfalls den Hersteller fragen. Oder dein Kerio so Konfigurieren das er direkt zur anderen internen IP schickt bzw. akzeptiert.
Gruß,
Peter
Moin,
ich sehe das wie @ipzipzap. Das sollte auch das Logging der Firewall bestätigen.
Der Vorteil ist, dass du keine weiteren "Bastel" - Lösungen benötigst, die dir früher oder später um die Ohren fliegen kann. Dieses Risiko zu minieren oder gar nicht einzugehen, sollte deine Aufgabe als IT Admin sein.
Gruß,
Dani
ich sehe das wie @ipzipzap. Das sollte auch das Logging der Firewall bestätigen.
Der Vorteil ist, dass du keine weiteren "Bastel" - Lösungen benötigst, die dir früher oder später um die Ohren fliegen kann. Dieses Risiko zu minieren oder gar nicht einzugehen, sollte deine Aufgabe als IT Admin sein.
Gruß,
Dani
Vielen Dank für die vielen Rückmeldungen.
Habe jetzt eine Lösung gefunden, die garnicht so wild ist wie man denkt.
1) habe DNS auf beiden Servern abgeändert auf das GW und nur das GW (Sophos XGS Firewall)
2) dort habe ich die beiden Server jeweils als Hosts ins DNS eingetragen (hier natürlich nicht die ServerNamen sondern die MX Records)
das wars schon...
nun gehen die Server intern nicht den Weg über die WAN Adressen.
ps. wieso nicht beide Domains über einen Server laufen sollten: Weil DomainA und DomainB zwei unterschiedliche Firmen sind, die nicht die gleiche WAN Adresse sich teilen dürfen.
Vielen Dank für den Support, schadet nicht sich mit gleichgesinnten auszutauschen, da kommt man auf andere Ideen
VG
Andrej
Habe jetzt eine Lösung gefunden, die garnicht so wild ist wie man denkt.
1) habe DNS auf beiden Servern abgeändert auf das GW und nur das GW (Sophos XGS Firewall)
2) dort habe ich die beiden Server jeweils als Hosts ins DNS eingetragen (hier natürlich nicht die ServerNamen sondern die MX Records)
das wars schon...
nun gehen die Server intern nicht den Weg über die WAN Adressen.
ps. wieso nicht beide Domains über einen Server laufen sollten: Weil DomainA und DomainB zwei unterschiedliche Firmen sind, die nicht die gleiche WAN Adresse sich teilen dürfen.
Vielen Dank für den Support, schadet nicht sich mit gleichgesinnten auszutauschen, da kommt man auf andere Ideen
VG
Andrej
