Kerio Mail Server 6.0.3: POP Zugang einrichten

Hallo Fixu,

warum nimmst Du nicht einfach als POP- und SMTP-Adresse die direkte IP-Adresse vom Kerio-Server? Scheinbar steht Dein Mailserver doch im gleichen Netzwerk wie Dein Client, oder?

Grundsätzlich vermute ich aber ein Problem bei einer Firewall (?) in Deinem Netzwerk/Router.
Solltest Du eine solche installiert/aktiviert haben, dann musst Du natürlich externe (eingehende) Zugriffe auf Port 110 und 25 (lokal) zulassen.

Hier beginnt nun das Übel: Da Du eine dynamische IP von Deinem Provider bekommst, kannst Du die externen Zugriffe auf Port 110 (POP) gar nicht reglementieren ? auf SMTP (25) schon gar nicht, da Du ja jedem externen Mailserver den Zugriff gestatten musst, der Dir Mails zustellen möchte. Du müsstest Deinen Mailserver also öffnen ? und zwar wie ein Scheunentor!

Es wird also zwingend notwendig, den Mailserver und das interne Netzwerk zu trennen, am besten durch eine DMZ.

By the Way: Was passiert, wenn Dein Mailserver mal hängt, übernimmt ein weitere BackUpServer die Mails (sowas regelt man dann über MX-Einträge) ?

Lohnt sich das wirklich?

Bedenke bitte auch, dass mittlerweile sehr viele Unternehmen (Empfänger) Mails zurückweisen, wenn eine dynamische IP erkannt wird!

Gruß, Rene

Hallo Fixu,

hmmm, dann vernute ich das Problem beim Kerio direkt. Möglicherweise gibt es dort "irgendwo" eine Einstellung, die die Zugriffe von bestimmten IP´s regelt ?

Checke doch mal die SMTP-Relay-Einstellungen ? ist dort vielleicht der Zugriff IP-seitig beschränkt?

Du musst unterscheiden zwischen SMTP auf Kerio=> Local User
und
SMTP via Kerio zu externem (also keine Kerio-Domain) USer (=Relay)


... wo sich dann aber der Port 80 (Webmail) meldet...? Scheinbar scheint die Portadressierung verloren zu gehen ...

Eigentlich einZeichen dafür, dass der Kerio keine Verbindung annimmt. Was sagt das Logfile von Kerio?

PING dochmal die Verbindungen durch. DAnn checke mal die Log´s der FW sowie von Kerio ? irgendwo sollte der Fehler auftauchen.


Das ist aber nur der Zustellprozess des externen Mailservers (der Dir eine Mail zustellen möchte). Dieser bricht nach einer gewissen Zeit diese Versuche ab!
Ein "BackUp-Server" hängt hier mit Sicherheit nicht in der Kette.

Gruß, Rene

Hi,

oje oje das wird ja immer verworrener... ich versuche erst mal kleinere Begrifflichkeiten zu klären.


NO-GO! Weil das Deinen Mailserver zu einer Spamschleuder mutieren lässt. Dreh das am besten zurück.


Gut zu wissen. Für die internen würde ich übrigens auch die interne Adresse nehmen. Wenn Deine Clients die externe abfragen und Deine FW das durchlässt, würde ich diese mal wegen Konfigfehlern unter die Lupe nehmen, das darf eigentlich nicht funktionieren. Dann würde jedes externe Paket das behauptet aus Eurem LAN zu kommen, frisch und frei durchgeroutet.


MX-Einträge dienen dazu, bei DNS-Abfragen den MTA einer Domäne zurückzuliefern. Wenn also ein Client Euren Domänennamen angibt, kriegt er die Adresse Deines MTA geliefert. Kannst mal checken mit nslookup / set querytype=mx / Domänenname und dann erhältst Du die MX-Einträge der abgefragten Domain, falls existent.

So, weiterhin würde ich dann wie folgt vorgehen: konfigurier erst mal Deine Firewall. Wenn Du Rules über Hostname definieren kannst, dann besteht eine Chance, das Du es hinkriegst. Wenn es statische Rules sind - die müßtest Du per Script ändern, sobald Du eine neue IP-Adresse erhältst - und da waren sie wieder meine Probleme... Mailserver über DSL ist Mist, mit Verlaub. Du hast das Problem mit den Rules und außerdem blocken wirklich viele Provider Dialin-IP-Ranges. Ich hab mit Kerio (ähnliche Konfig) und DynDNS ca. zwei Monate lang versucht, einen ordentlichen Betrieb hinzukriegen und es dann bleiben lassen. Du könntest allerdings mal bei Deinem Provider fragen, wieviel er für eine statische IP so kassiert. Dann würde wohl alles so funktionieren wie es soll.

Ich würde die ausgehenden Mails an einen externen SMTP mit fester IP über den Kerio forwarden (SMTP / SMTP Delivery / Use Relay SMTP Server). POP3-Fetch kannst Du dann immer noch mit Kerio machen. Falls Dich das immer noch nicht abschreckt, teste jetzt erstmal den Connect auf Deinen MTA mit telnet von außen mit einer DynDNS-Domain. Für die weiteren Domänen brauchst Du natürlich dann auch weitere DynDNS-Domänennamen, die dann allesamt auf die gleiche IP verweisen. Die interne Zuordnung machst Du dann über den Kerio über die eingerichteten Domänen. Erlauben und Verweigern von externen MTA könntest Du rein theoretisch auch über Kerio vornehmen - Du mußt dann nur die IP jedes möglichen Clients und MTAs in den IP Adress Groups eintragen - nur glaube ich daß das nicht gerade wenige Einträge werden.... *grins* Eine andere Möglichkeit wäre die Verwendung von IPSec oder Zertifikaten für die Clients, jeder Client würde dann aber das Zugriffszertifikat benötigen.

Grüße,
fritzo

Moin,


Und das solltest Du auch dringend wieder einschalten! Open-Relay heisst, dass nun jeder (Spammer inkl). Deinen Mailserver missbrauchen kann!
"Users authentificated trough SMTP for outgoing mail" bedeutet eine simple Passwortauthentifizierung am Server, das ist auch gut so.

Das sieht gut aus, aber trotzdem scheint er irgendwo zu klemmen ==> Logfiles auswerten, dies scheint im Moment der einzig wirkliche Ansatz zu sein.


Die Deines Mailserver. Aber Achtung! Der Ping sollte nicht von Dir selbst kommen (weil intern!). Nutze einen Ping-Service aus dem Internet (Google mal).

Noch ein kleiner Tipp: MIt TelNet kann man das wunderbar prüfen! Bitte einen bekannten (oder auch hier) mit TelNet Deinen Server anzusprechen.
Der Befehl "Open xxx.xxx.xxx.xxx 25" würde die IP (xxx ...) auf Port 25 ansprechen. Hier sollte zumindest ein "Hallo" vom Kerio zu sehen sein.


Der MX (MailsEXchanger) ist ein Eintrag im (D)NS, welcher einem externen Mailserver verrät, wo er Mails für Deine Domain zustellen darf.

Sehr oft ist die IP eines Mailservers zu einer zugehörigen Domain unterschiedlich von der IP des WebServers, dann wird ein MX-Eintrag notwendig.
In Deinem Fall ist er unwichtig.

Gruß, Rene

Mahlzeit,

Ich auch


Jo !! Also, der Mailserver reagiert. Das Problem scheint also direkt in der Konfig des Kerios zu liegen. Prüfe akribisch alle Setting zu SMTP (Relay), evtl. Zugriffsbeschränkung auf IP-Ranges.

Ich vermute, heute Abend hast Du es herausgefunden

Gruß, Rene

Moin,

huch, ich habe erst jetzt das Statement von Fritzo (Gruß) gelesen ? dem ist auch nichts mehr hinzuzufügen.

ShowDown der Problematiken:

Dynamische IP´s ==> Firewall-Rules => WebServer & Mailserver auf gleicher Maschine=IP (es sei denn, Du hättest mehrere NIC´s, dann könntest Du Kerio auf eine andere NIC wie den HTTP-Server binden).

Aber es bleibt dabei: SMTP-Zustellversuche (Deine) werden zu bestimmt 50% von den Empfängern geblockt, da Du eine Dyndns hast.

Web.de, GMX, "and many more" blocken bereits.

Ich habe hier in meinem HomeOffice ebenfalls einen Mailserver an einer Dyn-IP laufen, werde mich aber hüten, diesen nach "draussen" zustellen.

Er dient lediglich dazu, Mails vorab zu filtern (Kinder im Haus!), globale Virenscans zu ermöglichen und extrem flexible Weiterleitungen zu realisieren.
Aber auch ich nutze schön brav den SMTP meines Providers. Im POP habe ich auf Domain-Pop gestellt, es ist so schön einfach mal kurz irgendeine E-Mailadresse rauszugeben, die eigentlich nicht existiert (Otto-Versand bekommt z.B. otto@...), so weiss man, wer Adressen verhökert

Mein Tipp: Nutze ruhig den Kerio INTERN als "Mailgate", aber nutze den SMTP des Providers und evtl. Domain-Pop ... und alles wird gut

Gruß, Rene

Hi,

was definitiv ohne Probleme klappt, ist ein POP3-Fetch von anderen Mailservern. Was auch funktioniert, ist ein anderer SMTP mit fester IP als Relay (Provider fragen). Natürlich klappt es auch mit dynamischer IP bei vielen MTAs, aber Du weißt halt nie, ob nicht doch ein Betreiber die Ranges exkludiert hat - afaik müssen lt. den RFCs MTAs zwingend eine feste IP haben und die ist nun mal bei Dialin-Leitungen nicht gegeben. Relaying mit einem anderen SMTP geht mit dem Kerio ohne Probleme, Du mußt dann nur den Provider fragen, ob Du darfst und wieviel er dafür haben will.

Grüße
fritzo

Sorry, ich muß mal an meiner Abwärtskompatibilität feilen ;). Also:
POP3-Fetch = Mails über POP abholen
Relay = Mailserver, der Nachrichten für User anderer Domains zustellt
MTA = Mail Transfer Agent = Mailserver
RFC = request for comments, diese sind die DeFacto-Standards des Internets


Der POP des Kerio selbst ist natürlich kein Problem - jeder User kann darauf zugreifen und sich seine Mails abholen. Das Problem mit der DYNIP betrifft das SMTP-Protokoll und hier die Zustellung von und zu anderen Mailservern, da viele Provider wie bereits mehrfach erwähnt die Zustellung von Mailservern aus DialIn-IP-Bereichen zur Verhinderung von Spam blockieren.

Grüße,
fritzo

Hi,

treten diese Fehler auch auf, wenn Du mit den selben Zugangsdaten von intern auf den Server zugreifst?

Falls nein, mußt Du die Firewall-Regeln für SMTP wohl noch mal checken.

Falls ja, check die Anmeldedaten und prüf , ob es evtl. klappt, wenn Du in der Konfig die Anmeldedaten für SMTP getrennt von POP noch mal eingibst.

Grüße,
fritzo

Hi,


Hm - hat Dein Server keine interne IP bei Dir im Subnetz?


Da das wohl kein FQDN ist, wird das eine interne Adresse sein und Du wirst auch intern auf den Server zugreifen können; wenn nicht, würde mich das schwer wundern.


Yup

Also, mal angenommen, Deine Workstation hat eine interne Adresse 192.168.0.10 und der Server hat 192.168.0.20, dann kannst Du für den internen POP/SMTP-Zugriff diese Adresse (interne IP oder auch den Hostnamen) in Outlook, einem sonstigen Mailclient oder auch testweise auf die Schnelle in telnet angeben.

Leg in Outlook ein zweites Konto an, fütter diesem die gleichen Daten und setz statt meine-domane.ch halt die interne IP oder den internen Hostnamen ein. Dann schick eine Testmail und ruf sie wieder ab. Sollte funktionieren - falls ja, dann ist es ein Firewall-Problem. Falls nein, dann ist die Konfig des Mailservers inkorrekt.

Es wäre wahrscheinlich kein Fehler, wenn Du parallel ein paar Unterlagen zu Netzwerktechnik (LAN/WAN/TCP/etc.) und RFCs zu POP und SMTP anschaust; dann müssen wir nich so viel erklären *zwinker

Grüße,
fritzo