3
Debian 12, DNS, Postfix und ISPConfig Relay Probleme
Hallo,
eventuell kann mir wer helfen, ich habe gaaanz frisch einen Debian 12 Server bei Hetzner Dedicated gemietet, wir Hosten selbst einige Datenbanken und ca. 20 Domänen, daher haben wir keinen Host only, sondern einen Dedicated Server genommen. Wir haben ca. seit 2011 einen eigenen Server, zuerst bei World4You (nicht zu empfehlen), dann bei Server4You (gut aber nicht sehr günstig) und jetzt bei Hetzner. Also bei World4You und Server4You hatten wir einen CentOS Server, da hatten wir auch schon einige Probleme beim wegsenden, aber war noch zu handeln, aber bei office.com und gmail.com wurde die Email in den Spam Ordner verschoben...
Also neu mit Debian 12 und die Fehler die wir mit CentOS hatten beseitigen, also DKIM und DMARC einrichten, Port 587 verwenden usw. Etwas hat uns ein Amerikaner geholfen, hat aber leider aufgegeben...
Debian 12 aufsetzen und ISPConfig war ganz einfach, DNS und Lets Encrypt für die www Domain war einfach, aber der Mailserver macht Probleme:
So ich bin mir absolut nicht sicher, wo genau das Problem liegt, mein Wunsch wäre die domain auf www.testinger.de zu lassen und den mailserver auf mail.testinger.de für den SMTP. Der Name des Servers ist "server" und ich habe den Server auch in den DNS eingetragen? Ok so? also server.testinger.de ist im DNS drinnen? Wenn das nicht so lösbar ist, kann ich natürlich eine 2. IP Adresse bestellen und mail.testinger.de darauf legen?
Mein Problem ist, ich empfange Emails, aber kann keine Emails wegschicken, da mir der Postfix ständig sagt, Relay access denied; from: office@testinger.de to xxxxx@gmail.com (oder xxxxx@meinealteemail.at, egal ich habs mit 5 verschiedenen Emails versucht!)
So, DNS, auf was muss ich achten?
Was hat es mit SOA auf sich? Soll ich postmaster.your-server.de auf mail.testinger.de ausbessern? Oder ist das für den Hetzner so korrekt? Wie gesagt keine Ahnung?! Der Punkt nach dem mail.testinger.de. ist korrekt, wenn ich den Auslasse lautet die Domain testinger.de.mail.testinger.de und das ist natürlich falsch, ist ein "Hetzner-Ding"...
Dann wäre da natürlich der Postfix, was ist da relevant? Was kann das Problem verursachen mit Relay bounce?
mail.log Auszug:
main.cf:
Und noch die master.cf:
In der mailname in /etc/ steht server.testinger.de drinnen, wenn ich es auf mail.testinger.de ändere, dann "bricke" ich den Server und muss mit der Rescue Disk starten und "zurückbiegen" auf server.testinger.de
Ich hoffe es kann uns jemand helfen?
PS: testinger.de ist NICHT die echte domain und 11.22.33.44 ist auch nicht die richtige IP... auch die IP6 ist generiert... falls Ihr irgendwie etwas testen wollt, bitte PN ich sag euch dann die korrekten Daten!
eventuell kann mir wer helfen, ich habe gaaanz frisch einen Debian 12 Server bei Hetzner Dedicated gemietet, wir Hosten selbst einige Datenbanken und ca. 20 Domänen, daher haben wir keinen Host only, sondern einen Dedicated Server genommen. Wir haben ca. seit 2011 einen eigenen Server, zuerst bei World4You (nicht zu empfehlen), dann bei Server4You (gut aber nicht sehr günstig) und jetzt bei Hetzner. Also bei World4You und Server4You hatten wir einen CentOS Server, da hatten wir auch schon einige Probleme beim wegsenden, aber war noch zu handeln, aber bei office.com und gmail.com wurde die Email in den Spam Ordner verschoben...
Also neu mit Debian 12 und die Fehler die wir mit CentOS hatten beseitigen, also DKIM und DMARC einrichten, Port 587 verwenden usw. Etwas hat uns ein Amerikaner geholfen, hat aber leider aufgegeben...
Debian 12 aufsetzen und ISPConfig war ganz einfach, DNS und Lets Encrypt für die www Domain war einfach, aber der Mailserver macht Probleme:
So ich bin mir absolut nicht sicher, wo genau das Problem liegt, mein Wunsch wäre die domain auf www.testinger.de zu lassen und den mailserver auf mail.testinger.de für den SMTP. Der Name des Servers ist "server" und ich habe den Server auch in den DNS eingetragen? Ok so? also server.testinger.de ist im DNS drinnen? Wenn das nicht so lösbar ist, kann ich natürlich eine 2. IP Adresse bestellen und mail.testinger.de darauf legen?
Mein Problem ist, ich empfange Emails, aber kann keine Emails wegschicken, da mir der Postfix ständig sagt, Relay access denied; from: office@testinger.de to xxxxx@gmail.com (oder xxxxx@meinealteemail.at, egal ich habs mit 5 verschiedenen Emails versucht!)
So, DNS, auf was muss ich achten?
Type Name Value TTL
A www .testinger.de 11.22.33.44 7200
A mail .testinger.de 11.22.33.44 7200
A server .testinger.de 11.22.33.44 7200
A @ 11.22.33.44 7200
AAAA www .testinger.de 0e0b:4d9d:33d1:94a9:cb2e:092f:0f75:abd7 7200
AAAA @ 0e0b:4d9d:33d1:94a9:cb2e:092f:0f75:abd7 7200
AAAA server 0e0b:4d9d:33d1:94a9:cb2e:092f:0f75:abd7 7200
CNAME autoconfig .testinger.de mail.testinger.de 7200
MX @ mail.testinger.de. 10 7200
NS @ ns.second-ns.com. 7200
NS @ ns1.your-server.de. 7200
NS @ ns3.second-ns.de. 7200
SOA @ ns1.your-server.de. postmaster.your-server.de. 2023100409 86400 10800 3600000 3600 7200
SRV _autodiscover._tcp .testinger.de. 0 100 443 mail.testinger.de. 7200
SRV _pop3s._tcp .testinger.de 0 100 995 mail.testinger.de. 7200
SRV _imaps._tcp .testinger.de 0 100 993 mail.testinger.de. 7200
SRV _submission._tcp .testinger.de 0 100 587 mail.testinger.de. 7200
TXT @ "v=spf1 +a +mx ?all" 7200 Was hat es mit SOA auf sich? Soll ich postmaster.your-server.de auf mail.testinger.de ausbessern? Oder ist das für den Hetzner so korrekt? Wie gesagt keine Ahnung?! Der Punkt nach dem mail.testinger.de. ist korrekt, wenn ich den Auslasse lautet die Domain testinger.de.mail.testinger.de und das ist natürlich falsch, ist ein "Hetzner-Ding"...
Dann wäre da natürlich der Postfix, was ist da relevant? Was kann das Problem verursachen mit Relay bounce?
mail.log Auszug:
2023-10-17T13:10:42.965963+02:00 server postfix/submission/smtpd[5840]: connect from 99.99.99.99.hier.at[192.164.140.182]
2023-10-17T13:11:00.810715+02:00 server postfix/submission/smtpd[5840]: C5DB6342198: client=99.99.99.99.hier.at[192.164.140.182], sasl_method=PLAIN, sasl_username=office@testinger.de
2023-10-17T13:11:00.928706+02:00 server postfix/cleanup[5845]: C5DB6342198: message-id=<c5e235f4-cf29-4cab-ae83-e7b941ed4658@testinger.de>
2023-10-17T13:11:01.011075+02:00 server postfix/qmgr[4972]: C5DB6342198: from=<office@testinger.de>, size=652, nrcpt=1 (queue active)
2023-10-17T13:11:01.059622+02:00 server postfix/submission/smtpd[5847]: connect from server.testinger.de[95.216.2.186]
2023-10-17T13:11:01.133654+02:00 server postfix/submission/smtpd[5847]: NOQUEUE: reject: RCPT from server.testinger.de[95.216.2.186]: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied; from=<office@testinger.de> to=<xxxxx@gmail.com> proto=ESMTP helo=<server.testinger.de>
2023-10-17T13:11:01.158599+02:00 server postfix/smtp[5846]: C5DB6342198: to=<xxxxx@gmail.com>, relay=mail.testinger.de[95.216.2.186]:587, delay=0.45, delays=0.3/0.03/0.07/0.05, dsn=5.7.1, status=bounced (host mail.testinger.de[95.216.2.186] said: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied (in reply to RCPT TO command))
2023-10-17T13:11:01.159148+02:00 server postfix/submission/smtpd[5847]: disconnect from server.testinger.de[95.216.2.186] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8
2023-10-17T13:11:01.166817+02:00 server postfix/cleanup[5845]: 2707D342A05: message-id=<20231017111101.2707D342A05@server.testinger.de>
2023-10-17T13:11:01.174282+02:00 server postfix/bounce[5848]: C5DB6342198: sender non-delivery notification: 2707D342A05
2023-10-17T13:11:01.174391+02:00 server postfix/qmgr[4972]: 2707D342A05: from=<>, size=3576, nrcpt=1 (queue active)
2023-10-17T13:11:01.179283+02:00 server postfix/qmgr[4972]: C5DB6342198: removedmain.cf:
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 3.6
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_security_level = may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
myhostname = server.testinger.de
mydomain = testinger.de
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
myorigin = /etc/mailname
mydestination = server.testinger.de, localhost, localhost.localdomain
relayhost = [mail.testinger.de]:587
mynetworks = 127.0.0.0/8 11.22.33.44 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
virtual_alias_domains = proxy:mysql:/etc/postfix/mysql-virtual_alias_domains.cf
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = proxy:mysql:/etc/postfix/mysql-virtual_uids.cf
virtual_gid_maps = proxy:mysql:/etc/postfix/mysql-virtual_gids.cf
sender_bcc_maps = proxy:mysql:/etc/postfix/mysql-virtual_outgoing_bcc.cf
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:10023
smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, reject_unlisted_recipient, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/quota-status
smtpd_use_tls = yes
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = proxy:mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = proxy:mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender_login_maps.cf
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $sender_bcc_maps $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps $virtual_uid_maps $virtual_gid_maps $smtpd_client_restrictions $smtpd_sender_restrictions $smtpd_recipient_restrictions $smtp_sasl_password_maps $sender_dependent_relayhost_maps
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo, reject_unknown_helo_hostname, permit
smtpd_sender_restrictions = permit_mynetworks, check_sender_access proxy:mysql:/etc/postfix/mysql-virtual_sender.cf, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unlisted_sender
smtpd_reject_unlisted_sender = no
smtpd_client_restrictions = check_client_access proxy:mysql:/etc/postfix/mysql-virtual_client.cf, permit_inet_interfaces, permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org, reject_unauth_pipelining, permit
smtpd_etrn_restrictions = permit_mynetworks, reject
smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_multi_recipient_bounce, permit
smtpd_client_message_rate_limit = 100
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = lmtp:unix:private/dovecot-lmtp
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_exclude_ciphers = RC4, aNULL
smtp_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_mandatory_ciphers = medium
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
tls_preempt_cipherlist = yes
address_verify_negative_refresh_time = 60s
enable_original_recipient = no
sender_dependent_relayhost_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender-relayhost.cf
smtp_sasl_password_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender-relayauth.cf, texthash:/etc/postfix/sasl_passwd
smtp_sender_dependent_authentication = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous, noplaintext
smtp_sasl_tls_security_options = noanonymous
authorized_flush_users =
authorized_mailq_users = nagios, icinga
smtpd_forbidden_commands = CONNECT,GET,POST,USER,PASS
address_verify_sender_ttl = 15686s
smtp_dns_support_level = dnssec
smtputf8_enable = no
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_milters = inet:localhost:11332
non_smtpd_milters = inet:localhost:11332
milter_protocol = 6
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_default_action = accept
message_size_limit = 0Und noch die master.cf:
smtp inet n - n - - smtpd
submission inet n - n - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated
submissions inet n - y - - smtpd
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o syslog_name=postfix/submissions
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated
pickup unix n - y 60 1 pickup
cleanup unix n - y - 0 cleanup
qmgr unix n - n 300 1 qmgr
#qmgr unix n - n 300 1 oqmgr
tlsmgr unix - - y 1000? 1 tlsmgr
rewrite unix - - y - - trivial-rewrite
bounce unix - - y - 0 bounce
defer unix - - y - 0 bounce
trace unix - - y - 0 bounce
verify unix - - y - 1 verify
flush unix n - y 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - y - - smtp
relay unix - - y - - smtp
-o syslog_name=postfix/$service_name
showq unix n - y - - showq
error unix - - y - - error
retry unix - - y - - error
discard unix - - y - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - y - - lmtp
anvil unix - - y - 1 anvil
scache unix - - y - 1 scache
postlog unix-dgram n - n - 1 postlogd
maildrop unix - n n - - pipe
flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop}In der mailname in /etc/ steht server.testinger.de drinnen, wenn ich es auf mail.testinger.de ändere, dann "bricke" ich den Server und muss mit der Rescue Disk starten und "zurückbiegen" auf server.testinger.de
Ich hoffe es kann uns jemand helfen?
PS: testinger.de ist NICHT die echte domain und 11.22.33.44 ist auch nicht die richtige IP... auch die IP6 ist generiert... falls Ihr irgendwie etwas testen wollt, bitte PN ich sag euch dann die korrekten Daten!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71693489292
Url: https://administrator.de/contentid/71693489292
Ausgedruckt am: 19.11.2024 um 03:11 Uhr
3 Kommentare
Neuester Kommentar
Mailserver unter Debian.
Der Gold-Standard (mit vielen Erläuterungen zur Konfiguration): https://thomas-leister.de/mailserver-debian-buster/
Sollte auf 12 nicht viel anders sein. Sonst kann man auch auch 11 noch gut verwenden.
Wenn Du Probleme mit Postfix u.ä. hast, kannst Du Thomas Leister IMO auch direkt buchen.
Zum Relay Access Denied Problem auch hier ein paar Erläuterungen:
https://serverfault.com/questions/42519/how-to-correct-postfix-relay-acc ...
Viele Grüße, commodity
Edit: Ah, verstehe, ISPConfig ist ein Fertiggericht
Der Gold-Standard (mit vielen Erläuterungen zur Konfiguration): https://thomas-leister.de/mailserver-debian-buster/
Sollte auf 12 nicht viel anders sein. Sonst kann man auch auch 11 noch gut verwenden.
Wenn Du Probleme mit Postfix u.ä. hast, kannst Du Thomas Leister IMO auch direkt buchen.
Zum Relay Access Denied Problem auch hier ein paar Erläuterungen:
https://serverfault.com/questions/42519/how-to-correct-postfix-relay-acc ...
Viele Grüße, commodity
Edit: Ah, verstehe, ISPConfig ist ein Fertiggericht
Moin,
im geposteten Mail.log ist deine Server IP nicht anonymisiert. Und falls die 95.... deine echt IP ist, fehlt der ein PTR Record (der sollte auf den $myhostname zeigen)
Kann es sein das die sasl Authentifizierung nicht klappt oder nicht korrekt konfiguriert ist?
lg,
Slainte
im geposteten Mail.log ist deine Server IP nicht anonymisiert. Und falls die 95.... deine echt IP ist, fehlt der ein PTR Record (der sollte auf den $myhostname zeigen)
Kann es sein das die sasl Authentifizierung nicht klappt oder nicht korrekt konfiguriert ist?
lg,
Slainte
1
Zitat von @SlainteMhath:
Kann es sein das die sasl Authentifizierung nicht klappt oder nicht korrekt konfiguriert ist?
Kann es sein das die sasl Authentifizierung nicht klappt oder nicht korrekt konfiguriert ist?
Bei ISPConfig spricht der Postfix eigentlich direkt mit mySQL/mariaDB-Datenbank um die Zugangsdaten zu validieren.
2023-10-17T13:11:01.133654+02:00 server postfix/submission/smtpd[5847]: NOQUEUE: reject: RCPT from server.testinger.de[95.216.2.186]: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied; from=<office@testinger.de> to=<xxxxx@gmail.com> proto=ESMTP helo=<server.testinger.de>
2023-10-17T13:11:01.158599+02:00 server postfix/smtp[5846]: C5DB6342198: to=<xxxxx@gmail.com>, relay=mail.testinger.de[95.216.2.186]:587, delay=0.45, delays=0.3/0.03/0.07/0.05, dsn=5.7.1, status=bounced (host mail.testinger.de[95.216.2.186] said: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied (in reply to RCPT TO command))Deutet eher darauf hin, dass hier überhaupt keine Authentifierung des Email-Client am Mailserver erfolgt; folglich aus Sicherheitsgründen/Spamschutzgründen auch kein Relay zu Gmail.
1
