ricopausb
Goto Top

Postfix - helo hostname Problem

Moin ...

... seit unserem Umzug auf einen neuen Server habe ich das Problem, dass diverse E-Mails nicht ankommen.

Unsere Konstallation ist wie folgt:

Root-Server bei Hetzner mit Proxmox
Die erste VM ist eine pfSense, die den Zugriff auf weiteren Server regelt.
Die weiteren Server befinden sich dahinter in einem bei Hetzner gerouteten Subnet

Folglich gehen alle Mails von unserem Mailserver direkt über die Firewall nach draußen.
Für die entsprechenden Ports zum Mailempfang sind Regeln definiert.

Bsp.: Anfragen an Port 25 gehen also direkt durch zum Mailserver.

Via telnet check klappt das auch problemlos.

Nur der
<info@einedomain.de>: host mx2.mailserver.de[1XX.1X.1XX.57] said: 550
5.7.1 <info@einedomain.de>: Recipient address rejected: Mail appeared to
be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS
MX settings or to get removed from DNSBLs; MTA helo:
mail.meinedomain.de, MTA hostname: fw.meinedomain.net[1XX.7X.2XX.24]
(helo/hostname mismatch) (in reply to RCPT TO command)

MTA helo ist der FQDN meines mailservers
MTA hostname ist allerdings meine Firewall und auch ihre IP

In der main.cf ist myhostname auf mail.meinedomain.de gesetzt und auch /etc/mailname hat diesen Eintrag

Ich stehe also vor dem Rätsel, warum ich den MTA hostname nicht korrekt gesetzt bekomme.

Da ich nach meinen ganzen Versuchen, das Problem zu beheben wahrscheinlich schon den Wald vor lauter Bäumen nicht mehr sehe, hoffe ich, jemand hat einen kleinen Wink mit der Raketenstütze parat.

Danke im voraus

Der Rico

Content-ID: 397423

Url: https://administrator.de/forum/postfix-helo-hostname-problem-397423.html

Ausgedruckt am: 26.12.2024 um 00:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 08.01.2019 um 11:09:10 Uhr
Goto Top
Zitat von @RicoPausB:

Bsp.: Anfragen an Prot 25 gehen direkt durch zum Mailserver ...


Machst Du NAT an der Firewall oder haben die Server dahinter auch eigene öffentliche IP-Adressen?

lks
RicoPausB
RicoPausB 08.01.2019 um 11:12:27 Uhr
Goto Top
Eigene öffentliche IPs ... kein NAT ...
SlainteMhath
SlainteMhath 08.01.2019 um 11:44:32 Uhr
Goto Top
Moin,

ich würde sagen du hast 3 Möglichkeiten

1. HELO auf fw.meinedomain.de setzen
oder
2. PTR der IP auf mail.meinedomain.de ändern
oder
3. Für Mail eine separate IP nutzen bei der HELO und PTR gleichlautend konfiguriert sind.

lg,
Slainte
ashnod
ashnod 08.01.2019 um 11:49:45 Uhr
Goto Top
Moin ...


Der sollte dir wertvolle Hinweise zu deinem Problem bieten > https://mxtoolbox.com/

Ansonsten halt DNS Einträge prüfen auch die Reverse Auflösung und mit den entsprechenden SPF-Einträgen ....

bekommt man alles hin ...

VG
RicoPausB
RicoPausB 08.01.2019 um 11:59:43 Uhr
Goto Top
Moin zurück ...

Variante 1 habe ich bereits probiert ... klappt auch.
Allerdings habe ich dann immer die FQDN der Firewall in den Meldungen ... verwirrend.

Variante 2 war meine erste Wahl, aber auch nach 2 Stunden kam immer noch die Antwort fw.meinedomain.net statt mail.meinedomain.de
Vorerst verworfen.

Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.

So hatte ich es ja auch beim alten System eingestellt.
Da musste ich nix umbiegen und alle mails liefen sauber.
Da steht der HELO auf mail.meinedomain.de, der Pointer ist korrekt auf mailserver-ip und mailserver-fqdn und der Pointer von fw.meinedomain.net ist auch auf deren IP gesetzt.

Bei Hetzner sind alle Einträge identisch, und auch die postfix-config ist 1:1 übernommen

Beim Wechsel des Servers habe ich nur die DNS-Einträge des mailservers angepasst.
Keinen Schimmer was bei meinem aktuellen setup anders ist.
RicoPausB
RicoPausB 08.01.2019 um 12:29:18 Uhr
Goto Top
Danke für den Tipp.
Aber da war ich auch schon und alles sieht sauber aus.

SMTP Reverse DNS Mismatch - OK - 14X.2XX.3X.X1 resolves to mail.meinedomain.de
SMTP Valid Hostname - OK - Reverse DNS is a valid Hostname

SPF hat sich auch nicht geändert : v=spf1 a mx -all
Hatte ich auch schon angepasst auf : v=spf1 a mx a:fw.meinedomain.net ip4:[IP der FW]/32 -all
brachte keine Änderung
SlainteMhath
SlainteMhath 08.01.2019 um 13:16:40 Uhr
Goto Top
Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
Dann bleiben eigentlich nur noch fehlerhafte NAT Einstellungen an der FW als Fehlerquelle übrig - hört sich nach SNAT an.
Lochkartenstanzer
Lochkartenstanzer 08.01.2019 um 13:23:18 Uhr
Goto Top
Zitat von @SlainteMhath:

Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
Dann bleiben eigentlich nur noch fehlerhafte NAT Einstellungen an der FW als Fehlerquelle übrig - hört sich nach SNAT an.


Wenn er generel Port 25 auf den Msilserver leitet, ist da garantiert irgendwo eine implizite NAT-Regel aktiv.

Deswegen hatte ich oben nachgefragt, ob er NAT macht.

lks
RicoPausB
RicoPausB 08.01.2019 um 14:42:01 Uhr
Goto Top
Auf der pfSense sind lediglich die default Regeln im Bereich Outbound-NAT aktiv.
Die sind aber auf dem alten Server auch aktiv gewesen.
SlainteMhath
SlainteMhath 08.01.2019 um 15:05:41 Uhr
Goto Top
default Regeln im Bereich Outbound-NAT aktiv.
d.h.? Alle Source-IPs werden in Richtung Internet auf die IP der FW umgeschrieben?
RicoPausB
RicoPausB 08.01.2019 aktualisiert um 15:15:02 Uhr
Goto Top
So würde ich das jedenfalls deuten ...
Als NAT Address steht WAN Address drin

Und NAT-Regeln gibt es sonst keine.
Habe nur eine passende Firewall-Rule für Port 25.
Aber da ist dann ja nix mit NAT, wenn ich das richtig sehe.
SlainteMhath
SlainteMhath 08.01.2019 um 15:19:49 Uhr
Goto Top
Als NAT Address steht WAN Address drin
Jo, naja, dann is ja klar das dein Mailserver beim "Gegner" mit der IP und dem PTR der FW ankommt, oder nicht?!

Was du brauchst ist ein 1:1 NAT für die "separate IP" (siehe mein Post oben, Option 3). oder eine Ausnahme an der pF die den Mailserver vom NATing ausnimmt.
Lochkartenstanzer
Lochkartenstanzer 08.01.2019 um 15:38:50 Uhr
Goto Top
Zitat von @SlainteMhath:

Als NAT Address steht WAN Address drin
Jo, naja, dann is ja klar das dein Mailserver beim "Gegner" mit der IP und dem PTR der FW ankommt, oder nicht?!

Was du brauchst ist ein 1:1 NAT für die "separate IP" (siehe mein Post oben, Option 3).

Er braucht gar kein NAT, wenn öffentliche IPAdressen hinter der Firewall hat.

NAT abschalten und gut ist.

lks
RicoPausB
RicoPausB 08.01.2019 um 15:53:04 Uhr
Goto Top
So ...
... NAT habe ich jetzt mal disabled.
Musste allerdings auch bei Hetzner wieder die PTR anpassen.
Mal sehen, wie lange das dauert, bis alles greift ...
SlainteMhath
SlainteMhath 08.01.2019 um 16:00:06 Uhr
Goto Top
Er braucht gar kein NAT, wenn öffentliche IPAdressen hinter der Firewall hat.
Ja, mag sein das du da recht hast. Allerdings frage ich mich dann schon wie die pF und die Hosts " in einem bei Hetzner gerouteten Subnet" konfiguriert sind?!
RicoPausB
RicoPausB 08.01.2019 um 16:04:41 Uhr
Goto Top
Feedback:
Mit disabled Outbound NAT geht nix mehr ...
Nicht einmal ein ping ins www ...

Fürchte, ich muss mich hier noch etwas genauer in die Thematik NAT auf der pfSense einlesen.
Einfaches disable der Outbound Rule bringt jedenfalls nix ...

Bin jetzt erstmal wieder dabei gelandet, myhostname in der main.cf auf die firewall zu setzen.
Läuft wenigstens ... wenn auch nicht befriedigend.
129580
129580 08.01.2019 aktualisiert um 17:45:18 Uhr
Goto Top
Hallo,

wie sieht deine Netzwerkkonfiguration aus?
-> Routed oder Bridged?
-> Einzelne IPs oder ein Subnetz?

Beachte dass es bei Hetzner ein paar Besonderheiten gibt. Siehe dazu die folgenden KB Einträge:
https://wiki.hetzner.de/index.php/Virtualisierung
https://wiki.hetzner.de/index.php/Proxmox_VE

Viele Grüße,
Exception
RicoPausB
RicoPausB 09.01.2019 um 09:20:31 Uhr
Goto Top
Es handelt sich um ein Routed-Setup.

Der Proxmox läuft auf der ersten Server-IP.
Ich habe eine weitere IP für den Server, auf die das Subnet geroutet ist.
Auf dieser läuft meine Router-VM (pfSense).
vmbr0 ist somit das WAN-Interface mit der zweiten IP
vmbr1 ist das LAN-Interface auf dem die IPs des Subnet verfügbar sind.

Ich fürchte, ich habe meinen Fehler auch schon gefunden:
:: HIER :: ist beschrieben, wie es konfiguriert werden muss, damit das 1:1 NAT funktioniert.
Und da liegt auch schon mein Problem, fürchte ich: Ich habe keine Virtual IPs verwendet.
Meine pfSense verwendet kein privates Netz auf der LAN-site sondern direkt die IPs des gerouteten Subnetzes.

Jetzt muss ich erstmal drüber nachdenken, ob/wie ich es schaffe, das anzupassen, da ich hier auch ein VPN habe, dass die Adressen des Subnetzes beinhaltet.