18
Postfix - helo hostname Problem
Moin ...
... seit unserem Umzug auf einen neuen Server habe ich das Problem, dass diverse E-Mails nicht ankommen.
Unsere Konstallation ist wie folgt:
Root-Server bei Hetzner mit Proxmox
Die erste VM ist eine pfSense, die den Zugriff auf weiteren Server regelt.
Die weiteren Server befinden sich dahinter in einem bei Hetzner gerouteten Subnet
Folglich gehen alle Mails von unserem Mailserver direkt über die Firewall nach draußen.
Für die entsprechenden Ports zum Mailempfang sind Regeln definiert.
Bsp.: Anfragen an Port 25 gehen also direkt durch zum Mailserver.
Via telnet check klappt das auch problemlos.
Nur der
<info@einedomain.de>: host mx2.mailserver.de[1XX.1X.1XX.57] said: 550
5.7.1 <info@einedomain.de>: Recipient address rejected: Mail appeared to
be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS
MX settings or to get removed from DNSBLs; MTA helo:
mail.meinedomain.de, MTA hostname: fw.meinedomain.net[1XX.7X.2XX.24]
(helo/hostname mismatch) (in reply to RCPT TO command)
MTA helo ist der FQDN meines mailservers
MTA hostname ist allerdings meine Firewall und auch ihre IP
In der main.cf ist myhostname auf mail.meinedomain.de gesetzt und auch /etc/mailname hat diesen Eintrag
Ich stehe also vor dem Rätsel, warum ich den MTA hostname nicht korrekt gesetzt bekomme.
Da ich nach meinen ganzen Versuchen, das Problem zu beheben wahrscheinlich schon den Wald vor lauter Bäumen nicht mehr sehe, hoffe ich, jemand hat einen kleinen Wink mit der Raketenstütze parat.
Danke im voraus
Der Rico
... seit unserem Umzug auf einen neuen Server habe ich das Problem, dass diverse E-Mails nicht ankommen.
Unsere Konstallation ist wie folgt:
Root-Server bei Hetzner mit Proxmox
Die erste VM ist eine pfSense, die den Zugriff auf weiteren Server regelt.
Die weiteren Server befinden sich dahinter in einem bei Hetzner gerouteten Subnet
Folglich gehen alle Mails von unserem Mailserver direkt über die Firewall nach draußen.
Für die entsprechenden Ports zum Mailempfang sind Regeln definiert.
Bsp.: Anfragen an Port 25 gehen also direkt durch zum Mailserver.
Via telnet check klappt das auch problemlos.
Nur der
<info@einedomain.de>: host mx2.mailserver.de[1XX.1X.1XX.57] said: 550
5.7.1 <info@einedomain.de>: Recipient address rejected: Mail appeared to
be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS
MX settings or to get removed from DNSBLs; MTA helo:
mail.meinedomain.de, MTA hostname: fw.meinedomain.net[1XX.7X.2XX.24]
(helo/hostname mismatch) (in reply to RCPT TO command)
MTA helo ist der FQDN meines mailservers
MTA hostname ist allerdings meine Firewall und auch ihre IP
In der main.cf ist myhostname auf mail.meinedomain.de gesetzt und auch /etc/mailname hat diesen Eintrag
Ich stehe also vor dem Rätsel, warum ich den MTA hostname nicht korrekt gesetzt bekomme.
Da ich nach meinen ganzen Versuchen, das Problem zu beheben wahrscheinlich schon den Wald vor lauter Bäumen nicht mehr sehe, hoffe ich, jemand hat einen kleinen Wink mit der Raketenstütze parat.
Danke im voraus
Der Rico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397423
Url: https://administrator.de/contentid/397423
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
18 Kommentare
Neuester Kommentar
Machst Du NAT an der Firewall oder haben die Server dahinter auch eigene öffentliche IP-Adressen?
lks
Eigene öffentliche IPs ... kein NAT ...
Moin,
ich würde sagen du hast 3 Möglichkeiten
1. HELO auf fw.meinedomain.de setzen
oder
2. PTR der IP auf mail.meinedomain.de ändern
oder
3. Für Mail eine separate IP nutzen bei der HELO und PTR gleichlautend konfiguriert sind.
lg,
Slainte
ich würde sagen du hast 3 Möglichkeiten
1. HELO auf fw.meinedomain.de setzen
oder
2. PTR der IP auf mail.meinedomain.de ändern
oder
3. Für Mail eine separate IP nutzen bei der HELO und PTR gleichlautend konfiguriert sind.
lg,
Slainte
Moin ...
Der sollte dir wertvolle Hinweise zu deinem Problem bieten > https://mxtoolbox.com/
Ansonsten halt DNS Einträge prüfen auch die Reverse Auflösung und mit den entsprechenden SPF-Einträgen ....
bekommt man alles hin ...
VG
Der sollte dir wertvolle Hinweise zu deinem Problem bieten > https://mxtoolbox.com/
Ansonsten halt DNS Einträge prüfen auch die Reverse Auflösung und mit den entsprechenden SPF-Einträgen ....
bekommt man alles hin ...
VG
Moin zurück ...
Variante 1 habe ich bereits probiert ... klappt auch.
Allerdings habe ich dann immer die FQDN der Firewall in den Meldungen ... verwirrend.
Variante 2 war meine erste Wahl, aber auch nach 2 Stunden kam immer noch die Antwort fw.meinedomain.net statt mail.meinedomain.de
Vorerst verworfen.
Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
So hatte ich es ja auch beim alten System eingestellt.
Da musste ich nix umbiegen und alle mails liefen sauber.
Da steht der HELO auf mail.meinedomain.de, der Pointer ist korrekt auf mailserver-ip und mailserver-fqdn und der Pointer von fw.meinedomain.net ist auch auf deren IP gesetzt.
Bei Hetzner sind alle Einträge identisch, und auch die postfix-config ist 1:1 übernommen
Beim Wechsel des Servers habe ich nur die DNS-Einträge des mailservers angepasst.
Keinen Schimmer was bei meinem aktuellen setup anders ist.
Variante 1 habe ich bereits probiert ... klappt auch.
Allerdings habe ich dann immer die FQDN der Firewall in den Meldungen ... verwirrend.
Variante 2 war meine erste Wahl, aber auch nach 2 Stunden kam immer noch die Antwort fw.meinedomain.net statt mail.meinedomain.de
Vorerst verworfen.
Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
So hatte ich es ja auch beim alten System eingestellt.
Da musste ich nix umbiegen und alle mails liefen sauber.
Da steht der HELO auf mail.meinedomain.de, der Pointer ist korrekt auf mailserver-ip und mailserver-fqdn und der Pointer von fw.meinedomain.net ist auch auf deren IP gesetzt.
Bei Hetzner sind alle Einträge identisch, und auch die postfix-config ist 1:1 übernommen
Beim Wechsel des Servers habe ich nur die DNS-Einträge des mailservers angepasst.
Keinen Schimmer was bei meinem aktuellen setup anders ist.
Danke für den Tipp.
Aber da war ich auch schon und alles sieht sauber aus.
SMTP Reverse DNS Mismatch - OK - 14X.2XX.3X.X1 resolves to mail.meinedomain.de
SMTP Valid Hostname - OK - Reverse DNS is a valid Hostname
SPF hat sich auch nicht geändert : v=spf1 a mx -all
Hatte ich auch schon angepasst auf : v=spf1 a mx a:fw.meinedomain.net ip4:[IP der FW]/32 -all
brachte keine Änderung
Aber da war ich auch schon und alles sieht sauber aus.
SMTP Reverse DNS Mismatch - OK - 14X.2XX.3X.X1 resolves to mail.meinedomain.de
SMTP Valid Hostname - OK - Reverse DNS is a valid Hostname
SPF hat sich auch nicht geändert : v=spf1 a mx -all
Hatte ich auch schon angepasst auf : v=spf1 a mx a:fw.meinedomain.net ip4:[IP der FW]/32 -all
brachte keine Änderung
Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
Dann bleiben eigentlich nur noch fehlerhafte NAT Einstellungen an der FW als Fehlerquelle übrig - hört sich nach SNAT an.Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
Zitat von @SlainteMhath:
Variante 3 habe ich ja aktuell im Einsatz
Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
Dann bleiben eigentlich nur noch fehlerhafte NAT Einstellungen an der FW als Fehlerquelle übrig - hört sich nach SNAT an.Die Anfragen an den Mailserver laufen direkt bei dessen IP auf und der PTR passt auch.
Wenn er generel Port 25 auf den Msilserver leitet, ist da garantiert irgendwo eine implizite NAT-Regel aktiv.
Deswegen hatte ich oben nachgefragt, ob er NAT macht.
lks
Auf der pfSense sind lediglich die default Regeln im Bereich Outbound-NAT aktiv.
Die sind aber auf dem alten Server auch aktiv gewesen.
Die sind aber auf dem alten Server auch aktiv gewesen.
default Regeln im Bereich Outbound-NAT aktiv.
d.h.? Alle Source-IPs werden in Richtung Internet auf die IP der FW umgeschrieben?
So würde ich das jedenfalls deuten ...
Als NAT Address steht WAN Address drin
Und NAT-Regeln gibt es sonst keine.
Habe nur eine passende Firewall-Rule für Port 25.
Aber da ist dann ja nix mit NAT, wenn ich das richtig sehe.
Als NAT Address steht WAN Address drin
Und NAT-Regeln gibt es sonst keine.
Habe nur eine passende Firewall-Rule für Port 25.
Aber da ist dann ja nix mit NAT, wenn ich das richtig sehe.
Als NAT Address steht WAN Address drin
Jo, naja, dann is ja klar das dein Mailserver beim "Gegner" mit der IP und dem PTR der FW ankommt, oder nicht?!Was du brauchst ist ein 1:1 NAT für die "separate IP" (siehe mein Post oben, Option 3). oder eine Ausnahme an der pF die den Mailserver vom NATing ausnimmt.
Zitat von @SlainteMhath:
Was du brauchst ist ein 1:1 NAT für die "separate IP" (siehe mein Post oben, Option 3).
Als NAT Address steht WAN Address drin
Jo, naja, dann is ja klar das dein Mailserver beim "Gegner" mit der IP und dem PTR der FW ankommt, oder nicht?!Was du brauchst ist ein 1:1 NAT für die "separate IP" (siehe mein Post oben, Option 3).
Er braucht gar kein NAT, wenn öffentliche IPAdressen hinter der Firewall hat.
NAT abschalten und gut ist.
lks
So ...
... NAT habe ich jetzt mal disabled.
Musste allerdings auch bei Hetzner wieder die PTR anpassen.
Mal sehen, wie lange das dauert, bis alles greift ...
... NAT habe ich jetzt mal disabled.
Musste allerdings auch bei Hetzner wieder die PTR anpassen.
Mal sehen, wie lange das dauert, bis alles greift ...
Er braucht gar kein NAT, wenn öffentliche IPAdressen hinter der Firewall hat.
Ja, mag sein das du da recht hast. Allerdings frage ich mich dann schon wie die pF und die Hosts " in einem bei Hetzner gerouteten Subnet" konfiguriert sind?!
Feedback:
Mit disabled Outbound NAT geht nix mehr ...
Nicht einmal ein ping ins www ...
Fürchte, ich muss mich hier noch etwas genauer in die Thematik NAT auf der pfSense einlesen.
Einfaches disable der Outbound Rule bringt jedenfalls nix ...
Bin jetzt erstmal wieder dabei gelandet, myhostname in der main.cf auf die firewall zu setzen.
Läuft wenigstens ... wenn auch nicht befriedigend.
Mit disabled Outbound NAT geht nix mehr ...
Nicht einmal ein ping ins www ...
Fürchte, ich muss mich hier noch etwas genauer in die Thematik NAT auf der pfSense einlesen.
Einfaches disable der Outbound Rule bringt jedenfalls nix ...
Bin jetzt erstmal wieder dabei gelandet, myhostname in der main.cf auf die firewall zu setzen.
Läuft wenigstens ... wenn auch nicht befriedigend.
Hallo,
wie sieht deine Netzwerkkonfiguration aus?
-> Routed oder Bridged?
-> Einzelne IPs oder ein Subnetz?
Beachte dass es bei Hetzner ein paar Besonderheiten gibt. Siehe dazu die folgenden KB Einträge:
https://wiki.hetzner.de/index.php/Virtualisierung
https://wiki.hetzner.de/index.php/Proxmox_VE
Viele Grüße,
Exception
wie sieht deine Netzwerkkonfiguration aus?
-> Routed oder Bridged?
-> Einzelne IPs oder ein Subnetz?
Beachte dass es bei Hetzner ein paar Besonderheiten gibt. Siehe dazu die folgenden KB Einträge:
https://wiki.hetzner.de/index.php/Virtualisierung
https://wiki.hetzner.de/index.php/Proxmox_VE
Viele Grüße,
Exception
Es handelt sich um ein Routed-Setup.
Der Proxmox läuft auf der ersten Server-IP.
Ich habe eine weitere IP für den Server, auf die das Subnet geroutet ist.
Auf dieser läuft meine Router-VM (pfSense).
vmbr0 ist somit das WAN-Interface mit der zweiten IP
vmbr1 ist das LAN-Interface auf dem die IPs des Subnet verfügbar sind.
Ich fürchte, ich habe meinen Fehler auch schon gefunden:
:: HIER :: ist beschrieben, wie es konfiguriert werden muss, damit das 1:1 NAT funktioniert.
Und da liegt auch schon mein Problem, fürchte ich: Ich habe keine Virtual IPs verwendet.
Meine pfSense verwendet kein privates Netz auf der LAN-site sondern direkt die IPs des gerouteten Subnetzes.
Jetzt muss ich erstmal drüber nachdenken, ob/wie ich es schaffe, das anzupassen, da ich hier auch ein VPN habe, dass die Adressen des Subnetzes beinhaltet.
Der Proxmox läuft auf der ersten Server-IP.
Ich habe eine weitere IP für den Server, auf die das Subnet geroutet ist.
Auf dieser läuft meine Router-VM (pfSense).
vmbr0 ist somit das WAN-Interface mit der zweiten IP
vmbr1 ist das LAN-Interface auf dem die IPs des Subnet verfügbar sind.
Ich fürchte, ich habe meinen Fehler auch schon gefunden:
:: HIER :: ist beschrieben, wie es konfiguriert werden muss, damit das 1:1 NAT funktioniert.
Und da liegt auch schon mein Problem, fürchte ich: Ich habe keine Virtual IPs verwendet.
Meine pfSense verwendet kein privates Netz auf der LAN-site sondern direkt die IPs des gerouteten Subnetzes.
Jetzt muss ich erstmal drüber nachdenken, ob/wie ich es schaffe, das anzupassen, da ich hier auch ein VPN habe, dass die Adressen des Subnetzes beinhaltet.
