[postfix-users] ipv6 reverse dns lookup
Hallo,
ich sehe in meinem Log gerade folgende Meldung:
postfix/smtpd[1150]: NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]: 450 4.7.1 Client host rejected: cannot find your hostname, [2a01:4f8:190:33ed::2]; from=news1@boerse-aktuell.de to=<...> proto=ESMTP helo=<news.boerse-aktuell.de>
Hab ich da was falsch konfiguriert? Für die ip gibt es einen Reverse DNS Eintrag.
* Joachim Fahrner jf@fahrner.name:
Hallo,
ich sehe in meinem Log gerade folgende Meldung:
postfix/smtpd[1150]: NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]: 450 4.7.1 Client host rejected: cannot find your hostname, [2a01:4f8:190:33ed::2]; from=news1@boerse-aktuell.de to=<...> proto=ESMTP helo=<news.boerse-aktuell.de>
Hab ich da was falsch konfiguriert? Für die ip gibt es einen Reverse DNS Eintrag.
Sieht sauber aus:
$ dig -x 2a01:4f8:190:33ed::2 +short www.boerse-aktuell.de.
Klappt das so auch auf dem Mailserver, der die Fehlermeldung wirft?
p@rick
Am Freitag, den 12.09.2014, 08:53 +0200 schrieb Patrick Ben Koetter:
Sieht sauber aus:
$ dig -x 2a01:4f8:190:33ed::2 +short www.boerse-aktuell.de.
Klappt das so auch auf dem Mailserver, der die Fehlermeldung wirft?
Ja, der spuckt das gleiche aus.
* Joachim Fahrner jf@fahrner.name:
Am Freitag, den 12.09.2014, 08:53 +0200 schrieb Patrick Ben Koetter:
Sieht sauber aus:
$ dig -x 2a01:4f8:190:33ed::2 +short www.boerse-aktuell.de.
Klappt das so auch auf dem Mailserver, der die Fehlermeldung wirft?
Ja, der spuckt das gleiche aus.
Postfix chrooted? Ist die /var/spool/postfix/etc/resolv.conf wie die /etc/resolv.conf?
p@rick
Am Freitag, den 12.09.2014, 09:15 +0200 schrieb Patrick Ben Koetter:
Postfix chrooted?
Nein.
* Joachim Fahrner jf@fahrner.name:
Am Freitag, den 12.09.2014, 09:15 +0200 schrieb Patrick Ben Koetter:
Postfix chrooted?
Nein.
SELinux? AppArmor?
smtpd mal verbose laufen lassen und Szenario nachstellen. Sagt das LOG dann mehr?
Am Freitag, den 12.09.2014, 09:27 +0200 schrieb Patrick Ben Koetter:
SELinux? AppArmor?
Auch nein.
smtpd mal verbose laufen lassen und Szenario nachstellen. Sagt das LOG dann mehr?
Das wird schwierig, ich bekomme ja nicht so oft Mail von v6 Adressen.
Am Freitag, den 12.09.2014, 09:27 +0200 schrieb Patrick Ben Koetter:
smtpd mal verbose laufen lassen und Szenario nachstellen. Sagt das LOG dann mehr?
Ich hab da noch einen Warning 2 Zeilen vorher übersehen, vielleicht liegts daran?
Sep 11 19:47:50 s2 postfix/postscreen[1141]: CONNECT from [2a01:4f8:190:33ed::2]:37838 to [2a01:4f8:d13:3016::2]:25 Sep 11 19:47:56 s2 postfix/postscreen[1141]: PASS NEW [2a01:4f8:190:33ed::2]:37838 Sep 11 19:47:57 s2 postfix/smtpd[1150]: warning: hostname www.boerse-aktuell.de does not resolve to address 2a01:4f8:190:33ed::2: Name or service not known Sep 11 19:47:57 s2 postfix/smtpd[1150]: connect from unknown[2a01:4f8:190:33ed::2] Sep 11 19:47:57 s2 postfix/smtpd[1150]: NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]: 450 4.7.1 Client host rejected: cannot find your hostname, [2a01:4f8:190:33ed::2]; from=news1@boerse-aktuell.de to=<...> proto=ESMTP helo=<news.boerse-aktuell.de>
Am 2014-09-12 09:44, schrieb Joachim Fahrner:
Am Freitag, den 12.09.2014, 09:27 +0200 schrieb Patrick Ben Koetter:
smtpd mal verbose laufen lassen und Szenario nachstellen. Sagt das LOG dann mehr?
Ich hab da noch einen Warning 2 Zeilen vorher übersehen, vielleicht liegts daran?
Sep 11 19:47:50 s2 postfix/postscreen[1141]: CONNECT from [2a01:4f8:190:33ed::2]:37838 to [2a01:4f8:d13:3016::2]:25 Sep 11 19:47:56 s2 postfix/postscreen[1141]: PASS NEW [2a01:4f8:190:33ed::2]:37838 Sep 11 19:47:57 s2 postfix/smtpd[1150]: warning: hostname www.boerse-aktuell.de [1] does not resolve to address 2a01:4f8:190:33ed::2: Name or service not known Sep 11 19:47:57 s2 postfix/smtpd[1150]: connect from unknown[2a01:4f8:190:33ed::2] Sep 11 19:47:57 s2 postfix/smtpd[1150]: NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]: 450 4.7.1 Client host rejected: cannot find your hostname, [2a01:4f8:190:33ed::2]; from=news1@boerse-aktuell.de to=<...> proto=ESMTP helo=<news.boerse-aktuell.de>
es könnte - neben dem fehlenden AAAA für den "Dreieckscheck" von www.boerse-aktuell.de - auch der inkonsistente HELO name sein.. natürlich ist news.boerse.aktuell.de ein CNAME auf www.boerse-aktuell.de, aber sollte das System sich im HELO nicht immer mit seinem FQDN melden statt mit einem seiner Aliase..? Die Aliase sind doch nur für incoming..
Christian
Am Freitag, den 12.09.2014, 12:23 +0200 schrieb Christian Bricart:
es könnte - neben dem fehlenden AAAA für den "Dreieckscheck" von www.boerse-aktuell.de - auch der inkonsistente HELO name sein.. natürlich ist news.boerse.aktuell.de ein CNAME auf www.boerse-aktuell.de, aber sollte das System sich im HELO nicht immer mit seinem FQDN melden statt mit einem seiner Aliase..? Die Aliase sind doch nur für incoming..
Sauberer wär's auf jeden Fall. Ich habe die Erfahrung gemacht dass diese ganzen Newsletter-Versandserver alle fehlkonfiguriert sind. Deswegen ist der Hostname-Check bei mir (derzeit) auch nur ein Warning.
Am 12.09.2014 um 07:28 schrieb Joachim Fahrner:
Hallo,
ich sehe in meinem Log gerade folgende Meldung:
postfix/smtpd[1150]: NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]: 450 4.7.1 Client host rejected: cannot find your hostname, [2a01:4f8:190:33ed::2]; from=<news1@boerse-aktuell.de mailto:news1@boerse-aktuell.de> to=<... mailto:jf@fah> proto=ESMTP helo=<news.boerse-aktuell.de>
Hab ich da was falsch konfiguriert? Für die ip gibt es einen Reverse DNS Eintrag.
stimmt
dig -x 2a01:4f8:190:33ed::2
; <<>> DiG 9.9.5-3-Ubuntu <<>> -x 2a01:4f8:190:33ed::2 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21785 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.d.e.3.3.0.9.1.0.8.f.4.0.1.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION: 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.d.e.3.3.0.9.1.0.8.f.4.0.1.0.a.2.ip6.arpa. 7200 IN PTR www.boerse-aktuell.de.
jetzt muss du nur noch herausfinden ob die DNS server die dein Postfix nutzt auch alle immer das gleiche/dieses Resultat ergeben,
wie ist die conf
hast du
reject_unknown_client_hostname (with Postfix < 2.3: reject_unknown_client) Reject the request when 1) the client IP address->name mapping fails, 2) the name->address mapping fails, or 3) the name->address mapping does not match the client IP address. This is a stronger restriction than the reject_unknown_reverse_client_hostname feature, which triggers only under condition 1) above. The unknown_client_reject_code parameter specifies the response code for rejected requests (default: 450). The reply is always 450 in case the address->name or name->address lookup failed due to a temporary problem. ?
off topic hast du denn eine durchgaengige Ipv6 Umgebung, wenn nicht waere grundsaetzlich auch anzuraten ipv6 abzuschalten
-- Mit besten Grüßen Joachim Fahrner
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Hallo,
Am Freitag, den 12.09.2014, 11:00 +0200 schrieb Robert Schetterer:
jetzt muss du nur noch herausfinden ob die DNS server die dein Postfix nutzt auch alle immer das gleiche/dieses Resultat ergeben,
Ich hab einen "unbound" auf dem Server laufen.
wie ist die conf
grep reject_ /etc/postfix/main.cf:
warn_if_reject reject_unknown_client_hostname reject_non_fqdn_helo_hostname warn_if_reject reject_invalid_helo_hostname reject_rhsbl_helo dbl.spamhaus.org reject_unauth_pipelining reject_non_fqdn_sender reject_unknown_sender_domain reject_sender_login_mismatch reject_unauth_pipelining reject_rhsbl_sender dbl.spamhaus.org reject_unauth_destination reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining reject_unauth_pipelining, reject_multi_recipient_bounce
Am 12.09.2014 um 11:49 schrieb Joachim Fahrner:
Hallo,
Am Freitag, den 12.09.2014, 11:00 +0200 schrieb Robert Schetterer:
jetzt muss du nur noch herausfinden ob die DNS server die dein Postfix nutzt auch alle immer das gleiche/dieses Resultat ergeben,
Ich hab einen "unbound" auf dem Server laufen.
wie ist die conf
grep reject_ /etc/postfix/main.cf:
warn_if_reject reject_unknown_client_hostname reject_non_fqdn_helo_hostname warn_if_reject reject_invalid_helo_hostname reject_rhsbl_helo dbl.spamhaus.org reject_unauth_pipelining reject_non_fqdn_sender reject_unknown_sender_domain reject_sender_login_mismatch reject_unauth_pipelining reject_rhsbl_sender dbl.spamhaus.org reject_unauth_destination reject_non_fqdn_recipient reject_unknown_recipient_domain reject_unauth_pipelining reject_unauth_pipelining, reject_multi_recipient_bounce
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
solltest du aendern ( weil zu hart in der wirklichen Welt ) z.B
smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, ... reject_unknown_reverse_client_hostname, ... reject_unauth_pipelining
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, ... reject_invalid_hostname, reject_non_fqdn_hostname, check_helo_access hash:/etc/postfix/helo_access, reject_unauth_pipelining
aussdem solltest du in jeder Stage zusaetzliche white und blacklists nutzen mit zb access tables
wie zb
/etc/postfix/helo_access
localhost REJECT You used localhost in your helo but i am localhost check your helo and try again localhost.localdomain REJECT You used localhost.localdomain in your helo but i am localhost check your helo and try again 1.2.4.5 REJECT You are not me my.server.de REJECT You are not me
evtl auch mal hier reinsehen
https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-...
ausserdem scheinst du
unknown_client_reject_code auf 5XX geaendert zu haben , das kann man machen, default ist aber ein 4XX das wuerde bei DNS Problemen keine endgueltige Ablehnung senden
der entscheidente Punkt war aber eine fehlende DNS Aufloesung,so wie ich das sehe, dem musst du ebenfalls nachgehen wenn du weiter DNS basierende reject rules anwenden willst
Best Regards MfG Robert Schetterer
Am Freitag, den 12.09.2014, 13:17 +0200 schrieb Robert Schetterer:
ausserdem scheinst du
unknown_client_reject_code auf 5XX geaendert zu haben , das kann man machen, default ist aber ein 4XX das wuerde bei DNS Problemen keine endgueltige Ablehnung senden
Nein, habe ich nicht. Woraus schliesst du das?
der entscheidente Punkt war aber eine fehlende DNS Aufloesung,so wie ich das sehe, dem musst du ebenfalls nachgehen wenn du weiter DNS basierende reject rules anwenden willst
Warum? Was hat da gefehlt?
Am 12.09.2014 um 14:26 schrieb Joachim Fahrner:
Am Freitag, den 12.09.2014, 13:17 +0200 schrieb Robert Schetterer:
ausserdem scheinst du
unknown_client_reject_code auf 5XX geaendert zu haben , das kann man machen, default ist aber ein 4XX das wuerde bei DNS Problemen keine endgueltige Ablehnung senden
Nein, habe ich nicht. Woraus schliesst du das?
sorry mein Fehler da ist der 4XX siehe
postfix/smtpd[1150]: NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]: 450 4.7.1 <<< Client host rejected: cannot find your hostname, [2a01:4f8:190:33ed::2]; from=news1@boerse-aktuell.de to=<...> proto=ESMTP helo=<news.boerse-aktuell.de>
der entscheidente Punkt war aber eine fehlende DNS Aufloesung,so wie ich das sehe, dem musst du ebenfalls nachgehen wenn du weiter DNS basierende reject rules anwenden willst
Warum? Was hat da gefehlt?
das muss du rausfinden, da fehlte die dns aufloesung
reject_unknown_client_hostname ist aber real ohnehin zu streng, damit wirst du nicht froh werden nutze besser reject_unknown_reverse_client_hostname, das mit dem "warn" wuerde ich ganz lassen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Freitag, den 12.09.2014, 14:42 +0200 schrieb Robert Schetterer:
das muss du rausfinden, da fehlte die dns aufloesung
Wieso? Die klappt doch. Der Fehler war doch auf der Gegenseite: es kommt eine ipv6 Adresse daher, Rückwärtsauflösung ergibt www.boerse-aktuell.de, aber www.boerse-aktuell.de besitzt keinen AAAA Eintrag. Wo soll mein DNS den denn herzaubern?
Am 12.09.2014 um 14:52 schrieb Joachim Fahrner:
Am Freitag, den 12.09.2014, 14:42 +0200 schrieb Robert Schetterer:
das muss du rausfinden, da fehlte die dns aufloesung
Wieso? Die klappt doch. Der Fehler war doch auf der Gegenseite: es kommt eine ipv6 Adresse daher, Rückwärtsauflösung ergibt www.boerse-aktuell.de, aber www.boerse-aktuell.de besitzt keinen AAAA Eintrag. Wo soll mein DNS den denn herzaubern?
dein postfix
sagt
NOQUEUE: reject_warning: RCPT from unknown[2a01:4f8:190:33ed::2]
unknown sollte meinen 2a01:4f8:190:33ed::2 kann "grade" nicht aufgeloest werden ( kommt vor )
den reverse gibt es
dig -x 2a01:4f8:190:33ed::2
; <<>> DiG 9.7.0-P1 <<>> -x 2a01:4f8:190:33ed::2 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28875 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 13, ADDITIONAL: 10
;; QUESTION SECTION: ;2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.d.e.3.3.0.9.1.0.8.f.4.0.1.0.a.2.ip6.arpa. IN PTR
;; ANSWER SECTION: 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.d.e.3.3.0.9.1.0.8.f.4.0.1.0.a.2.ip6.arpa. 7200 IN PTR www.boerse-aktuell.de.
reject_unknown_client_hostname (with Postfix < 2.3: reject_unknown_client) Reject the request when 1) the client IP address->name mapping fails, 2) the name->address mapping fails, or 3) the name->address mapping does not match the client IP address.
dig -t aaaa www.boerse-aktuell.de
; <<>> DiG 9.7.0-P1 <<>> -t aaaa www.boerse-aktuell.de ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52153 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION: ;www.boerse-aktuell.de. IN AAAA
;; AUTHORITY SECTION: boerse-aktuell.de. 10800 IN SOA ns1.triwdata.ch. support.triwdata.ch. 2014012401 43200 3600 604800 86400
;; Query time: 63 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: Fri Sep 12 15:05:32 2014 ;; MSG SIZE rcvd: 98
gibts nicht
das kommt aber oft vor
deshalb besser
reject_unknown_reverse_client_hostname nutzen
sieht fuer mich so aus dass deine warn if reject nicht geht ?
mehr faellt mir dazu nicht ein
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Freitag, den 12.09.2014, 13:17 +0200 schrieb Robert Schetterer:
evtl auch mal hier reinsehen
https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-...
Interessant. Die Verzögerung beim Greylisting stört mich auch oft. Dein Beispiel ist aber für die smtpd Restriktionen. Geht das auch beim postscreen? Hast du dafür auch ein Beispiel?
Am 12.09.2014 um 15:03 schrieb Joachim Fahrner:
Am Freitag, den 12.09.2014, 13:17 +0200 schrieb Robert Schetterer:
evtl auch mal hier reinsehen
https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-...
Interessant. Die Verzögerung beim Greylisting stört mich auch oft. Dein Beispiel ist aber für die smtpd Restriktionen. Geht das auch beim postscreen? Hast du dafür auch ein Beispiel?
bei postscreen kannst whitelists zb cidr nutzen
z.b. von
http://rob0.nodns4.us/postscreen.html
# postscreen(8) settings ### Before-220 tests postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr postscreen_blacklist_action = drop postscreen_dnsbl_action = enforce postscreen_dnsbl_reply_map = pcre:$config_directory/postscreen_dnsbl_reply_map.pcre postscreen_dnsbl_sites = zen.spamhaus.org*3 b.barracudacentral.org*2 bl.spameatingmonkey.net*2 dnsbl.ahbl.org*2 bl.spamcop.net dnsbl.sorbs.net psbl.surriel.com bl.mailspike.net swl.spamhaus.org*-4 list.dnswl.org=127.[0..255].[0..255].0*-2 list.dnswl.org=127.[0..255].[0..255].1*-3 list.dnswl.org=127.[0..255].[0..255].[2..255]*-4 postscreen_dnsbl_threshold = 3 postscreen_greet_action = enforce postscreen_whitelist_interfaces = 207.223.116.211 !207.223.116.208/29 !216.23.247.72/29 static:all ### End of before-220 tests ### After-220 tests ### WARNING -- See "Tests after the 220 SMTP server greeting" in the ### Postscreen Howto and *UNDERSTAND* it *BEFORE* you enable the ### following tests! postscreen_bare_newline_action = enforce postscreen_bare_newline_enable = yes postscreen_non_smtp_command_enable = yes postscreen_pipelining_enable = yes ### ADDENDUM: Any one of the foregoing three *_enable settings may cause ### significant and annoying mail delays.
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Freitag, den 12.09.2014, 15:20 +0200 schrieb Robert Schetterer:
https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-...
Interessant. Die Verzögerung beim Greylisting stört mich auch oft. Dein Beispiel ist aber für die smtpd Restriktionen. Geht das auch beim postscreen? Hast du dafür auch ein Beispiel?
bei postscreen kannst whitelists zb cidr nutzen
Also nochmal zum Verständnis: die RBL-Checks mache ich ja zu 100% im postscreen. Wenn ich deinem Beispiel aus dem Link oben folgen will, dann lasse ich da die Klasse rblcheck einfach weg, oder?
Und für SPF Checks brauche ich doch keine Klasse, die kann ich doch ruhig immer machen, oder? Die verursachen ja keine Verzögerung.
Also bräuchte ich nur eine Klasse, die für das greylisting, oder?
Am 12.09.2014 um 15:27 schrieb Joachim Fahrner:
Am Freitag, den 12.09.2014, 15:20 +0200 schrieb Robert Schetterer:
https://sys4.de/de/blog/2013/10/09/selektive-rbl-spf-greylisting-checks-mit-...
Interessant. Die Verzögerung beim Greylisting stört mich auch oft. Dein Beispiel ist aber für die smtpd Restriktionen. Geht das auch beim postscreen? Hast du dafür auch ein Beispiel?
bei postscreen kannst whitelists zb cidr nutzen
Also nochmal zum Verständnis: die RBL-Checks mache ich ja zu 100% im postscreen. Wenn ich deinem Beispiel aus dem Link oben folgen will, dann lasse ich da die Klasse rblcheck einfach weg, oder?
oder beliebig kombinieren
Und für SPF Checks brauche ich doch keine Klasse, die kann ich doch ruhig immer machen, oder? Die verursachen ja keine Verzögerung.
kann man weg lassen und/oder milter loesen, je nachdem
Also bräuchte ich nur eine Klasse, die für das greylisting, oder?
ja du kannst es auch nur fuer greylistng nutzen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am Freitag, den 12.09.2014, 11:00 +0200 schrieb Robert Schetterer:
hast du denn eine durchgaengige Ipv6 Umgebung, wenn nicht waere grundsaetzlich auch anzuraten ipv6 abzuschalten
Ich denke schon. Hab mir mal von einem Google Account eine Testmail gesendet, die kommt auch via v6 an und da kommt das Warning nicht.
Ich denke das liegt daran dass www.boerse-aktuell.de keinen AAAA Record hat.
participants (4)
-
Christian Bricart -
Joachim Fahrner -
Patrick Ben Koetter -
Robert Schetterer