harveyhase68
Goto Top

Debian 12, DNS, Postfix und ISPConfig Relay Probleme

Hallo,

eventuell kann mir wer helfen, ich habe gaaanz frisch einen Debian 12 Server bei Hetzner Dedicated gemietet, wir Hosten selbst einige Datenbanken und ca. 20 Domänen, daher haben wir keinen Host only, sondern einen Dedicated Server genommen. Wir haben ca. seit 2011 einen eigenen Server, zuerst bei World4You (nicht zu empfehlen), dann bei Server4You (gut aber nicht sehr günstig) und jetzt bei Hetzner. Also bei World4You und Server4You hatten wir einen CentOS Server, da hatten wir auch schon einige Probleme beim wegsenden, aber war noch zu handeln, aber bei office.com und gmail.com wurde die Email in den Spam Ordner verschoben...

Also neu mit Debian 12 und die Fehler die wir mit CentOS hatten beseitigen, also DKIM und DMARC einrichten, Port 587 verwenden usw. Etwas hat uns ein Amerikaner geholfen, hat aber leider aufgegeben...

Debian 12 aufsetzen und ISPConfig war ganz einfach, DNS und Lets Encrypt für die www Domain war einfach, aber der Mailserver macht Probleme:

So ich bin mir absolut nicht sicher, wo genau das Problem liegt, mein Wunsch wäre die domain auf www.testinger.de zu lassen und den mailserver auf mail.testinger.de für den SMTP. Der Name des Servers ist "server" und ich habe den Server auch in den DNS eingetragen? Ok so? also server.testinger.de ist im DNS drinnen? Wenn das nicht so lösbar ist, kann ich natürlich eine 2. IP Adresse bestellen und mail.testinger.de darauf legen?

Mein Problem ist, ich empfange Emails, aber kann keine Emails wegschicken, da mir der Postfix ständig sagt, Relay access denied; from: office@testinger.de to xxxxx@gmail.com (oder xxxxx@meinealteemail.at, egal ich habs mit 5 verschiedenen Emails versucht!)

So, DNS, auf was muss ich achten?

Type	Name	Value	TTL
A		www		.testinger.de	11.22.33.44	7200
A		mail	.testinger.de	11.22.33.44	7200
A		server	.testinger.de	11.22.33.44	7200
A		@						11.22.33.44	7200
AAAA	www		.testinger.de	0e0b:4d9d:33d1:94a9:cb2e:092f:0f75:abd7	7200
AAAA	@						0e0b:4d9d:33d1:94a9:cb2e:092f:0f75:abd7	7200
AAAA	server					0e0b:4d9d:33d1:94a9:cb2e:092f:0f75:abd7	7200
CNAME	autoconfig	.testinger.de	mail.testinger.de	7200
MX		@			mail.testinger.de.	10						7200
NS		@			ns.second-ns.com.					7200
NS		@			ns1.your-server.de.					7200
NS		@			ns3.second-ns.de.					7200
SOA	@	ns1.your-server.de. postmaster.your-server.de. 2023100409 86400 10800 3600000 3600	7200
SRV	_autodiscover._tcp	.testinger.de.	0 100 443 mail.testinger.de.	7200
SRV	_pop3s._tcp	.testinger.de	0 100 995 mail.testinger.de.	7200
SRV	_imaps._tcp	.testinger.de	0 100 993 mail.testinger.de.	7200
SRV	_submission._tcp	.testinger.de	0 100 587 mail.testinger.de.	7200
TXT	@	"v=spf1 +a +mx ?all"	7200  

Was hat es mit SOA auf sich? Soll ich postmaster.your-server.de auf mail.testinger.de ausbessern? Oder ist das für den Hetzner so korrekt? Wie gesagt keine Ahnung?! Der Punkt nach dem mail.testinger.de. ist korrekt, wenn ich den Auslasse lautet die Domain testinger.de.mail.testinger.de und das ist natürlich falsch, ist ein "Hetzner-Ding"...

Dann wäre da natürlich der Postfix, was ist da relevant? Was kann das Problem verursachen mit Relay bounce?

mail.log Auszug:
2023-10-17T13:10:42.965963+02:00 server postfix/submission/smtpd[5840]: connect from 99.99.99.99.hier.at[192.164.140.182]
2023-10-17T13:11:00.810715+02:00 server postfix/submission/smtpd[5840]: C5DB6342198: client=99.99.99.99.hier.at[192.164.140.182], sasl_method=PLAIN, sasl_username=office@testinger.de
2023-10-17T13:11:00.928706+02:00 server postfix/cleanup[5845]: C5DB6342198: message-id=<c5e235f4-cf29-4cab-ae83-e7b941ed4658@testinger.de>
2023-10-17T13:11:01.011075+02:00 server postfix/qmgr[4972]: C5DB6342198: from=<office@testinger.de>, size=652, nrcpt=1 (queue active)
2023-10-17T13:11:01.059622+02:00 server postfix/submission/smtpd[5847]: connect from server.testinger.de[95.216.2.186]
2023-10-17T13:11:01.133654+02:00 server postfix/submission/smtpd[5847]: NOQUEUE: reject: RCPT from server.testinger.de[95.216.2.186]: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied; from=<office@testinger.de> to=<xxxxx@gmail.com> proto=ESMTP helo=<server.testinger.de>
2023-10-17T13:11:01.158599+02:00 server postfix/smtp[5846]: C5DB6342198: to=<xxxxx@gmail.com>, relay=mail.testinger.de[95.216.2.186]:587, delay=0.45, delays=0.3/0.03/0.07/0.05, dsn=5.7.1, status=bounced (host mail.testinger.de[95.216.2.186] said: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied (in reply to RCPT TO command))
2023-10-17T13:11:01.159148+02:00 server postfix/submission/smtpd[5847]: disconnect from server.testinger.de[95.216.2.186] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8
2023-10-17T13:11:01.166817+02:00 server postfix/cleanup[5845]: 2707D342A05: message-id=<20231017111101.2707D342A05@server.testinger.de>
2023-10-17T13:11:01.174282+02:00 server postfix/bounce[5848]: C5DB6342198: sender non-delivery notification: 2707D342A05
2023-10-17T13:11:01.174391+02:00 server postfix/qmgr[4972]: 2707D342A05: from=<>, size=3576, nrcpt=1 (queue active)
2023-10-17T13:11:01.179283+02:00 server postfix/qmgr[4972]: C5DB6342198: removed

main.cf:
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 3.6
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_tls_security_level = may
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
myhostname = server.testinger.de
mydomain = testinger.de
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
myorigin = /etc/mailname
mydestination = server.testinger.de, localhost, localhost.localdomain
relayhost = [mail.testinger.de]:587
mynetworks = 127.0.0.0/8 11.22.33.44 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
virtual_alias_domains = proxy:mysql:/etc/postfix/mysql-virtual_alias_domains.cf
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = proxy:mysql:/etc/postfix/mysql-virtual_uids.cf
virtual_gid_maps = proxy:mysql:/etc/postfix/mysql-virtual_gids.cf
sender_bcc_maps = proxy:mysql:/etc/postfix/mysql-virtual_outgoing_bcc.cf
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:10023
smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, reject_unlisted_recipient, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/quota-status
smtpd_use_tls = yes
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = proxy:mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = proxy:mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender_login_maps.cf
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $sender_bcc_maps $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps $virtual_uid_maps $virtual_gid_maps $smtpd_client_restrictions $smtpd_sender_restrictions $smtpd_recipient_restrictions $smtp_sasl_password_maps $sender_dependent_relayhost_maps
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo, reject_unknown_helo_hostname, permit
smtpd_sender_restrictions = permit_mynetworks, check_sender_access proxy:mysql:/etc/postfix/mysql-virtual_sender.cf,  permit_sasl_authenticated, reject_non_fqdn_sender, reject_unlisted_sender
smtpd_reject_unlisted_sender = no
smtpd_client_restrictions = check_client_access proxy:mysql:/etc/postfix/mysql-virtual_client.cf, permit_inet_interfaces, permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org, reject_unauth_pipelining, permit
smtpd_etrn_restrictions = permit_mynetworks, reject
smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_multi_recipient_bounce, permit
smtpd_client_message_rate_limit = 100
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = lmtp:unix:private/dovecot-lmtp
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_exclude_ciphers = RC4, aNULL
smtp_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_mandatory_ciphers = medium
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
tls_preempt_cipherlist = yes
address_verify_negative_refresh_time = 60s
enable_original_recipient = no
sender_dependent_relayhost_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender-relayhost.cf
smtp_sasl_password_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender-relayauth.cf, texthash:/etc/postfix/sasl_passwd
smtp_sender_dependent_authentication = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous, noplaintext
smtp_sasl_tls_security_options = noanonymous
authorized_flush_users = 
authorized_mailq_users = nagios, icinga
smtpd_forbidden_commands = CONNECT,GET,POST,USER,PASS
address_verify_sender_ttl = 15686s
smtp_dns_support_level = dnssec
smtputf8_enable = no
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_milters = inet:localhost:11332
non_smtpd_milters = inet:localhost:11332
milter_protocol = 6
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_default_action = accept
message_size_limit = 0

Und noch die master.cf:

smtp      inet  n       -       n       -       -       smtpd
submission inet n       -       n       -       -       smtpd
 -o syslog_name=postfix/submission
 -o smtpd_tls_security_level=encrypt
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated
submissions     inet  n       -       y       -       -       smtpd
 -o syslog_name=postfix/submissions
 -o smtpd_tls_wrappermode=yes
 -o smtpd_sasl_auth_enable=yes
 -o syslog_name=postfix/submissions
 -o smtpd_tls_wrappermode=yes
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated
pickup    unix  n       -       y       60      1       pickup
cleanup   unix  n       -       y       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       y       1000?   1       tlsmgr
rewrite   unix  -       -       y       -       -       trivial-rewrite
bounce    unix  -       -       y       -       0       bounce
defer     unix  -       -       y       -       0       bounce
trace     unix  -       -       y       -       0       bounce
verify    unix  -       -       y       -       1       verify
flush     unix  n       -       y       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       y       -       -       smtp
relay     unix  -       -       y       -       -       smtp
        -o syslog_name=postfix/$service_name
showq     unix  n       -       y       -       -       showq
error     unix  -       -       y       -       -       error
retry     unix  -       -       y       -       -       error
discard   unix  -       -       y       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       y       -       -       lmtp
anvil     unix  -       -       y       -       1       anvil
scache    unix  -       -       y       -       1       scache
postlog   unix-dgram n  -       n       -       1       postlogd
maildrop  unix  -       n       n       -       -       pipe
  flags=DRXhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix -       n       n       -       2       pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FRX user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${nexthop}

In der mailname in /etc/ steht server.testinger.de drinnen, wenn ich es auf mail.testinger.de ändere, dann "bricke" ich den Server und muss mit der Rescue Disk starten und "zurückbiegen" auf server.testinger.de

Ich hoffe es kann uns jemand helfen?

PS: testinger.de ist NICHT die echte domain und 11.22.33.44 ist auch nicht die richtige IP... auch die IP6 ist generiert... falls Ihr irgendwie etwas testen wollt, bitte PN ich sag euch dann die korrekten Daten!

Content-ID: 71693489292

Url: https://administrator.de/contentid/71693489292

Printed on: December 10, 2024 at 14:12 o'clock

commodity
commodity Oct 19, 2023 updated at 16:58:36 (UTC)
Goto Top
Mailserver unter Debian.
Der Gold-Standard (mit vielen Erläuterungen zur Konfiguration): https://thomas-leister.de/mailserver-debian-buster/
Sollte auf 12 nicht viel anders sein. Sonst kann man auch auch 11 noch gut verwenden.

Wenn Du Probleme mit Postfix u.ä. hast, kannst Du Thomas Leister IMO auch direkt buchen.

Zum Relay Access Denied Problem auch hier ein paar Erläuterungen:
https://serverfault.com/questions/42519/how-to-correct-postfix-relay-acc ...

Viele Grüße, commodity

Edit: Ah, verstehe, ISPConfig ist ein Fertiggericht face-smile
SlainteMhath
SlainteMhath Oct 19, 2023 at 12:13:40 (UTC)
Goto Top
Moin,

im geposteten Mail.log ist deine Server IP nicht anonymisiert. Und falls die 95.... deine echt IP ist, fehlt der ein PTR Record (der sollte auf den $myhostname zeigen)

Kann es sein das die sasl Authentifizierung nicht klappt oder nicht korrekt konfiguriert ist?

lg,
Slainte
j35744m
j35744m Oct 19, 2023 at 12:52:09 (UTC)
Goto Top
Zitat von @SlainteMhath:

Kann es sein das die sasl Authentifizierung nicht klappt oder nicht korrekt konfiguriert ist?

Bei ISPConfig spricht der Postfix eigentlich direkt mit mySQL/mariaDB-Datenbank um die Zugangsdaten zu validieren.

2023-10-17T13:11:01.133654+02:00 server postfix/submission/smtpd[5847]: NOQUEUE: reject: RCPT from server.testinger.de[95.216.2.186]: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied; from=<office@testinger.de> to=<xxxxx@gmail.com> proto=ESMTP helo=<server.testinger.de>
2023-10-17T13:11:01.158599+02:00 server postfix/smtp[5846]: C5DB6342198: to=<xxxxx@gmail.com>, relay=mail.testinger.de[95.216.2.186]:587, delay=0.45, delays=0.3/0.03/0.07/0.05, dsn=5.7.1, status=bounced (host mail.testinger.de[95.216.2.186] said: 554 5.7.1 <xxxxx@gmail.com>: Relay access denied (in reply to RCPT TO command))

Deutet eher darauf hin, dass hier überhaupt keine Authentifierung des Email-Client am Mailserver erfolgt; folglich aus Sicherheitsgründen/Spamschutzgründen auch kein Relay zu Gmail.