sschultewolter
Goto Top

SMTP nach aussen weiterleiten

Hallo,

ich habe ein Frage zu dem weiterleiten von SMTP Paketen.

Bei uns im Netzwerk sind div. LTE Router mit privaten APN im Einsatz. Da es sich hier um einen privaten APN handelt, können diese selber keine Mails nach draussen schicken.

Ich habe da bislang halt als SMTP IP die Adresse einen Linux Rechners bei uns im Netzwerk genommen.
Dieser hat die Pakete nach aussen dann weitergeleitet. Da happerts gerade, es will nicht mehr so, wie es auf einem alten System gelaufen hat.

Pakete kommen bis zum Linux Rechner an. Bislang war das so in den iptables eingetragen,


  1. SMTP Pakete eingehend werden zugelassen
iptables -A INPUT -i enp3s0 -p tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 25 -j DNAT --to-destination IPEXTERN:25
iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE

Das funktioniert nun aber nicht mehr. Auf dem alten System lief es, jedoch wurde dort über Jahre hinweg vieles geändert sodass ich nicht mehr komplett nachvollziehen kann, ob das ganze aus einem anderen grund nur funktioniert hat.

Der Linux Rechner ist mit Linux Mint neuaufgesetzt und ich bin dabei, entsprechend alles noch gleich mit zu dokumentieren, damit das nicht ncoh einmal forkommt.

Content-ID: 572338

Url: https://administrator.de/contentid/572338

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

tikayevent
tikayevent 16.05.2020 um 16:54:50 Uhr
Goto Top
Warum richtest du nicht einfach einen Linux Server als SMTP Relay ein und trägst diesen dann in den Routern als SMTP-Server ein? Dann brauchst du nicht mit Umleitungen arbeiten.

Für die Einrichtung eines SMTP Relays findet man genügend Anleitungen, die sowas in wenigen Minuten realisierbar machen.
LordGurke
LordGurke 16.05.2020 um 17:43:30 Uhr
Goto Top
Die Frage ist auch, wofür du zwingend Port 25 benötigst?
Wenn du Clients hast, die darüber mit Login E-Mails versenden sollen, verwende einfach Port 587 (Submission) oder Port 465 (SMTPS) - diese beiden Ports sind nämlich explizit für diesen Zweck vorgesehen und haben vor Jahrzehnten bereits Port 25 für diesen Zweck ersetzt.
sschultewolter
sschultewolter 16.05.2020 um 18:49:23 Uhr
Goto Top
Die Geräte hinter den Routern können kein SMTPS oder ähnliches. Sind ca 10 Jahre alte SPS Systeme. Dort geht nur die Email Meldung über SMTP-Auth. 587 als Port würde gehen, bzw. es kommt im Rechenzentrum an der richtigen Stelle an, würde aber ansich das Problem nicht lösen.

In den SPS Anlagen ist als SMTP-IP der Linux Rechner bei uns im Netz angegeben, da er mit der öffentlichen IP Adresse von Strato etc. nichts anfangen kann, bzw. diese natürlich nicht finden kann.

Somit habe ich diese mit dem Linux Rechner immer nach aussen geroutet. Dann müsste ich auch sämtliche Filtereinstellungen im Emailprogramm nicht abändern, da diese als Bedingung die eingestellte Emailadresse haben.
tikayevent
tikayevent 16.05.2020 um 19:15:59 Uhr
Goto Top
Dann setz auf der IP einfach ein SMTP-Relay hin, welches die Mails an Strato weitergibt.

Kann es einfach sein, dass Strato, wie fast alle deutschen Anbieter keine unverschlüsseltes SMTP mehr annimmt?
BirdyB
BirdyB 16.05.2020 um 20:07:03 Uhr
Goto Top
Bist du sicher, dass der alte Linux-Server kein SMTP-Relay war und einfach nur die Pakete weitergeleitet hat?
sschultewolter
sschultewolter 16.05.2020 um 23:52:31 Uhr
Goto Top
Ja, bin mir da eigentlich sicher. Der kleine Rechner, auf dem das bislang lief ist derzeit ausser Betrieb, da hat ein vermutlicher Festplattenfehler das ganze System abgeschlossen im Bereich des Grub Bootloaders. Das ist eine andere Baustelle, der Rechner ist knapp 10 Jahre alt gewesen und sollte sowieso getauscht werden.

Ein Relay Server wäre für diesen Einsatzzweck vermutlich auch etwas aufwendiger.

Externe Anlage sendet eine Email über SMTP-Auth eine Email ab. Da der eigentliche SMTP Server nicht erreichbar ist (befindet sich im WWW), muss das ganze über den Linux Rechner rausgeroutet werden. Somit steht in der externen Anlage als SMTP IP Adresse auch die lokale IP des Linux Rechners. Dieser soll das Protokoll weiterleiten an den eigentlichen SMTP Server im WWW.


@tikayevent: Strato war bis vor 2 Wochen der letzte Anbieter der unverschlüsseltes SMTP annimmt. Ist inzwischen abgeschaltet worden. Das ganze geht nun an einen anderen SMTP Server im WWW, der dafür extra aufgesetzt wurde (liegt beim Hersteller der Anlagen)
tikayevent
tikayevent 16.05.2020 um 23:58:22 Uhr
Goto Top
Ein SMTP-Relay mit Postfix hat eine Konfiguration mit 13 Zeilen und läuft selbst auf der schwächsten Hardware. Ein Raspberry Pi wäre noch so schnell dafür.
sschultewolter
sschultewolter 17.05.2020 aktualisiert um 13:42:33 Uhr
Goto Top
Hab es erst einmal wie folgt hinbekommen auf die "alte" Methode

# /etc/sysctl.conf
"#net.ipv4.ip_forward" -> net.ipv4.ip_forward"  

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t nat -A PREROUTING -p TCP -i enp3s0 --dport 25 -j DNAT --to 85.215.7.6
iptables -t nat -A POSTROUTING -o enp3s0 -j MASQUERADE 

apt install iptables-peristent
iptables-save > /etc/iptables/rules.v4
BirdyB
BirdyB 17.05.2020 um 16:33:36 Uhr
Goto Top
Okay, aber warum installierst du keinen SMTP-Relay wie z.B. hier beschrieben: https://www.cyberciti.biz/faq/how-to-configure-postfix-relayhost-smartho ...
Damit kannst du die Mails dann auch mit einem Provider deiner Wahl versenden, also auch mit TLS.