AVM Fritzbox Push-Nachricht wird abgelegt
Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu diskutieren, aber ich versuche es mal.
In einer Fritzbox (FB) 7590 (und sicher auch in anderen Modellen) kann man z.B. bei Faxempfang das Fax las sog. „Push-Nachricht“ an einen EMail-Empfänger senden, den man in die FB einträgt. Die KOnfigurationsmöglichkeit ist nicht sehr reichhaltig. Man kann einige Standard-Anbieter wie google mail, Telekom, etc. etc. angeben und man kann auch einen eigenen Server angeben samt port Nr. (587 in meinem Falle).
Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem Server mit : (aus /var/log/mail.log)
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox> Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox>
Ich habe das als Supportanfrage an AVM gesendet, aber die lakonische Antwort ist, da ich den Fehler ja schon bei meinem Mailserver lokalisiert habe, solle ich mich gefälligst auch dort selber darum kümmern oder eine andere Email-Adresse als Adressaten verwenden.
Ich nehme an, es gibt in Postfix einen Schalter, mit dem man das Argument des HELO Commands ignorieren kann? Aber damit begibt man sich ja einer Sicherheitsstufe.
(verwende zwar dovecot, aber das ist doch wahrscheinlich eine postfix-Angelegenheit, oder?)
Viele Grüße
Christoph
Hallo Christoph,
bei authentifizierten Clients ist die Postfix Einstellung die zu dem Reject führt wenig hilfreich meiner Meinung nach. Wenn du kannst, konfiguriere Postfix so um, dass er diese Regel für submission/587 nicht anwendet, nur für smtpd/25.
Es handelt sich dabei um "reject_non_fqdn_helo_hostname" (alter Bezeichner: reject_non_fqdn_hostname). Wenn du das HELO zumindest ein wenig prüfen willst, nimm "reject_invalid_helo_hostname"
Dokumentation: http://www.postfix.org/postconf.5.html#smtpd_helo_restrictions
Viele Grüße
Andreas
Christoph Kukulies wrote on 30.01.21 14:26:
Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu diskutieren, aber ich versuche es mal.
In einer Fritzbox (FB) 7590 (und sicher auch in anderen Modellen) kann man z.B. bei Faxempfang das Fax las sog. „Push-Nachricht“ an einen EMail-Empfänger senden, den man in die FB einträgt. Die KOnfigurationsmöglichkeit ist nicht sehr reichhaltig. Man kann einige Standard-Anbieter wie google mail, Telekom, etc. etc. angeben und man kann auch einen eigenen Server angeben samt port Nr. (587 in meinem Falle).
Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem Server mit : (aus /var/log/mail.log)
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <*fritzbox*>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de> to=<kuku@kuku.de mailto:kuku@kuku.de> proto=ESMTP helo=<*fritzbox*> Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <*fritzbox*>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de> to=<kuku@kuku.de mailto:kuku@kuku.de> proto=ESMTP helo=<*fritzbox*>
Ich habe das als Supportanfrage an AVM gesendet, aber die lakonische Antwort ist, da ich den Fehler ja schon bei meinem Mailserver lokalisiert habe, solle ich mich gefälligst auch dort selber darum kümmern oder eine andere Email-Adresse als Adressaten verwenden.
Ich nehme an, es gibt in Postfix einen Schalter, mit dem man das Argument des HELO Commands ignorieren kann? Aber damit begibt man sich ja einer Sicherheitsstufe.
(verwende zwar dovecot, aber das ist doch wahrscheinlich eine postfix-Angelegenheit, oder?)
Viele Grüße
Christoph
Hallo Christoph,
vermutlich hast du diesen Parameter gesetzt. Wenn du den rausnimmst müsste es gehen.
http://www.postfix.org/postconf.5.html#reject_non_fqdn_helo_hostname
Am 2021-01-30 14:26, schrieb Christoph Kukulies:
Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu diskutieren, aber ich versuche es mal.
In einer Fritzbox (FB) 7590 (und sicher auch in anderen Modellen) kann man z.B. bei Faxempfang das Fax las sog. „Push-Nachricht" an einen EMail-Empfänger senden, den man in die FB einträgt. Die KOnfigurationsmöglichkeit ist nicht sehr reichhaltig. Man kann einige Standard-Anbieter wie google mail, Telekom, etc. etc. angeben und man kann auch einen eigenen Server angeben samt port Nr. (587 in meinem Falle).
Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem Server mit : (aus /var/log/mail.log)
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de [1][80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox> Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de [1][80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox>
Ich habe das als Supportanfrage an AVM gesendet, aber die lakonische Antwort ist, da ich den Fehler ja schon bei meinem Mailserver lokalisiert habe, solle ich mich gefälligst auch dort selber darum kümmern oder eine andere Email-Adresse als Adressaten verwenden.
Ich nehme an, es gibt in Postfix einen Schalter, mit dem man das Argument des HELO Commands ignorieren kann? Aber damit begibt man sich ja einer Sicherheitsstufe.
(verwende zwar dovecot, aber das ist doch wahrscheinlich eine postfix-Angelegenheit, oder?)
Viele Grüße
Christoph
Links: ------ [1] http://p50823bxx.dip0.t-ipconnect.de
Allerdings gab es einen Syntaxfehler, nachdem ich ein #-Sign in die Passage geändert habe. Dachte, so ein inline comment geht. Ich lösche nicht gerne völlig, sondern lass auch gerne auskommentiert stehen, damit man später weiß warum. Das mag eine Mentalitätsfrage sein. Manche löschen rigoros. Na, egal.
Jedenfalls war der Syntaxfehler hartnäckig. Die Zeile
smtpd_error_sleep_time = 1s
war plötzlich der Fehler. Sie wurde auch nicht mehr als bekannte Option im Syntaxhilighting angezeigt.
Ist die Option obsolet geworden, seit mein postfix das letzte mal ein reload gemacht hat?
Ich hatte
service postfix reload
eingegeben. Und bekam dieses:
Feb 4 15:50:33 kuku systemd[1]: Reloading Postfix Mail Transport Agent (instance -). Feb 4 15:50:33 kuku postmulti[5304]: fatal: /etc/postfix/main.cf, line 87: missing '=' after attribute name: "smtpd_ error_sleep_time = 1s" Feb 4 15:50:34 kuku systemd[1]: postfix@-.service: Control process exited, code=exited status=1 Feb 4 15:50:34 kuku systemd[1]: Reload failed for Postfix Mail Transport Agent (instance -).
— Christoph
Am 04.02.2021 um 15:53 schrieb Christoph Kukulies kuku@kukulies.org:
Ich danke allen, die auf meine Frage geantwortet haben.
(Anm.: das Subject hätte „wird *nicht* abgelegt“ heißen sollen). Das sind immer die Typos, die man sich am wenigsten wünscht. :)
Ich habe noch mal in meine main.cf geschaut und finde folgenden (von mir höchst selbst einmal vorgenommenen Eintrag - warum auch immer):
#++ CPK 2017-02-21 disable_vrfy_command = yes smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit smtpd_error_sleep_time = 1s smtpd_soft_error_limit = 10 smtpd_hard_error_limit = 20
— Christoph
Am 30.01.2021 um 14:50 schrieb J. Fahrner <jf@fahrner.name mailto:jf@fahrner.name>:
Hallo Christoph,
vermutlich hast du diesen Parameter gesetzt. Wenn du den rausnimmst müsste es gehen.
http://www.postfix.org/postconf.5.html#reject_non_fqdn_helo_hostname http://www.postfix.org/postconf.5.html#reject_non_fqdn_helo_hostname
Am 2021-01-30 14:26, schrieb Christoph Kukulies:
Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu diskutieren, aber ich versuche es mal.
In einer Fritzbox (FB) 7590 (und sicher auch in anderen Modellen) kann man z.B. bei Faxempfang das Fax las sog. „Push-Nachricht" an einen EMail-Empfänger senden, den man in die FB einträgt. Die KOnfigurationsmöglichkeit ist nicht sehr reichhaltig. Man kann einige Standard-Anbieter wie google mail, Telekom, etc. etc. angeben und man kann auch einen eigenen Server angeben samt port Nr. (587 in meinem Falle).
Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem Server mit : (aus /var/log/mail.log)
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de/[80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de> to=<kuku@kuku.de mailto:kuku@kuku.de> proto=ESMTP helo=<fritzbox> Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de/[80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de> to=<kuku@kuku.de mailto:kuku@kuku.de> proto=ESMTP helo=<fritzbox>
Ich habe das als Supportanfrage an AVM gesendet, aber die lakonische Antwort ist, da ich den Fehler ja schon bei meinem Mailserver lokalisiert habe, solle ich mich gefälligst auch dort selber darum kümmern oder eine andere Email-Adresse als Adressaten verwenden.
Ich nehme an, es gibt in Postfix einen Schalter, mit dem man das Argument des HELO Commands ignorieren kann? Aber damit begibt man sich ja einer Sicherheitsstufe.
(verwende zwar dovecot, aber das ist doch wahrscheinlich eine postfix-Angelegenheit, oder?)
Viele Grüße
Christoph
<0xA9189208.asc>
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname,
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de [80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de > to=<kuku@kuku.de mailto:kuku@kuku.de > proto=ESMTP helo=<fritzbox>
Der Inhalt von helo verstößt ja offensichtlich gegen diese beiden Checks.
Du könntest einen pcre-check davor einbauen und die fritzbox als OK durchwinken.
Ist keiner 100% saubere Lösung, aber wenn man die FB nicht anders einstellen kann.. besser als die ganzen checks rauszutun.
Greets,
Ludi
On 30.01.2021 14:26, Christoph Kukulies wrote:
Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem Server mit : (aus /var/log/mail.log)
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <*fritzbox*>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de> to=<kuku@kuku.de mailto:kuku@kuku.de> proto=ESMTP helo=<*fritzbox*> Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de http://p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <*fritzbox*>: Helo command rejected: need fully-qualified hostname; from=<kuku@kuku.de mailto:kuku@kuku.de> to=<kuku@kuku.de mailto:kuku@kuku.de> proto=ESMTP helo=<*fritzbox*>
Ich habe das als Supportanfrage an AVM gesendet, aber die lakonische Antwort ist, da ich den Fehler ja schon bei meinem Mailserver lokalisiert habe, solle ich mich gefälligst auch dort selber darum kümmern oder eine andere Email-Adresse als Adressaten verwenden.
damit haben sie irgendwie ja recht;
Ich nehme an, es gibt in Postfix einen Schalter, mit dem man das Argument des HELO Commands ignorieren kann? Aber damit begibt man sich ja einer Sicherheitsstufe.
nicht direkt ...
(verwende zwar dovecot, aber das ist doch wahrscheinlich eine postfix-Angelegenheit, oder?)
ja ist es; Du musst das in der master.cf realisieren, da Du f. den Submission Port andere Einstellungen brauchst als sonst;
würde z.B. so aussehen
submission inet n - n - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_delay_reject=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o smtpd_helo_restrictions=permit_sasl_authenticated,reject -o smtpd_sender_restrictions=permit_sasl_authenticated,reject -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
soll heissen, sobald man sich authentifiziert, werden diverse Restriktionen welche in der main.cf configuriert sind ignoriert;
ein anderer Mailserver der eine Mail abliefern/zustellen will authentifiziert sich nicht;
Grüße,
Walter
p.s. das ist kein Forum sondern eine Mailingliste;
Hallo Christoph,
On Sa, 2021-01-30 at 14:26 +0100, Christoph Kukulies wrote:
Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu diskutieren, aber ich versuche es mal.
[...]
5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox>
Wie Du richtig anmerkst, stört sich Dein postfix am HELO, das ist aber normalerweise nur dann ein Problem, wenn Du versuchst Emails ohne Authentifizierung einzuliefern - also so als ob Deine Fritzbox der Mailserver einer anderen Domain wäre. Ich vermute wenn Du das mit dem helo gelöst hast, wird die Email wegen Spammerkmalen (falsches From, dialup IP-Adresse als Quelle, etc.) abgelehnt werden.
Ich vermute, dass sich Deine Fritzbox nicht mit Benutzername und Passwort an Deinem Server authentifiziert und/oder kein TLS macht.
Der Königsweg wäre also auf Deinem Server einen Account nebst Mailadresse für die Fritzbox anzulegen und ihr beizubringen diese Adresse als Absender zu nehmen und sich mit den Anmeldedaten des Accounts als Benutzer zu authentifizieren.
Viel Erfolg und weiter viel Spaß am Gerät,
Florian
Christoph,
* Christoph Kukulies kuku@kukulies.org:
Ich weiß nicht, ob dies hier das richtige Forum ist, um mein Problem zu diskutieren, aber ich versuche es mal.
In einer Fritzbox (FB) 7590 (und sicher auch in anderen Modellen) kann man z.B. bei Faxempfang das Fax las sog. „Push-Nachricht“ an einen EMail-Empfänger senden, den man in die FB einträgt. Die KOnfigurationsmöglichkeit ist nicht sehr reichhaltig. Man kann einige Standard-Anbieter wie google mail, Telekom, etc. etc. angeben und man kann auch einen eigenen Server angeben samt port Nr. (587 in meinem Falle).
Wenn ich dann den Pushnachricht Test mache, bounct die Email an meinem Server mit : (aus /var/log/mail.log)
Jan 30 12:25:00 kuku postfix/submission/smtpd[14173]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox> Jan 30 13:25:20 kuku postfix/submission/smtpd[14573]: NOQUEUE: reject: RCPT from p50823bxx.dip0.t-ipconnect.de[80.130.59.249]: 504 5.5.2 <fritzbox>: Helo command rejected: need fully-qualified hostname; from=kuku@kuku.de to=kuku@kuku.de proto=ESMTP helo=<fritzbox>
auf dem submission-Port, dort wo nur authentifizierte Clients einliefern, jene Clients abzulehnen, welche keinen FQDN-Hostnamen senden, wird Dir nicht nur bei der Fritzbox Ärger einbringen. Die wenigsten Desktop-Clients – und damit die meisten Submission Clients – senden einen FQDN-Hostnamen.
Nimm die Restriktion raus, die auf den FQDN besteht und Dein Fritzbox wird daran nicht mehr scheitern. Weil sie sich ja auch per SMTP AUTH am Submission-Server anmeldet, kannst Du einen missbräuchliche Nutzung nahezu ausschliessen.
p@rick
Patrick Ben Koetter wrote:
auf dem submission-Port, dort wo nur authentifizierte Clients einliefern, jene Clients abzulehnen, welche keinen FQDN-Hostnamen senden, wird Dir nicht nur bei der Fritzbox Ärger einbringen. Die wenigsten Desktop-Clients – und damit die meisten Submission Clients – senden einen FQDN-Hostnamen.
Nimm die Restriktion raus, die auf den FQDN besteht und Dein Fritzbox wird daran nicht mehr scheitern. Weil sie sich ja auch per SMTP AUTH am Submission-Server anmeldet, kannst Du einen missbräuchliche Nutzung nahezu ausschliessen.
Selbst wenn man nicht den submission port verwendet kann man authentifizierte Sender von allen Restriktionen ausnehmen. Von einem meiner Rechner:
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated check_policy_service inet:127.0.0.1:2525 reject_unauth_destination check_sender_access regexp:/etc/postfix/senderwhitelist reject_unknown_sender_domain reject_unknown_reverse_client_hostname check_client_access hash:/etc/postfix/client_access check_client_access cidr:/etc/postfix/client.cidr reject_non_fqdn_helo_hostname check_sender_access regexp:/etc/postfix/senderregexs reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2 check_recipient_access hash:/etc/postfix/spezialrecipient
Oder auf nem andern Rechner:
smtpd_helo_restrictions = permit_sasl_authenticated permit_mynetworks reject_non_fqdn_helo_hostname
participants (8)
-
Andreas Ziegler -
Christoph Kukulies -
Florian Streibelt -
J. Fahrner -
Juergen Dollinger -
ludicree@gmail.com -
Patrick Ben Koetter -
Walter H.