9
Postfix prüft IPs alle MTA User auf SPAM
Hallo Zusammen,
ich habe folgendes Problem:
Es existeirt ein Exchange, welcher in einem Firmennetzwerk steht. Im Exchange ist das senden über Smarthost aktiviert.
Dieser sendet an den Mailserver.
Dieser Mailserver (Debian 8) mit Postfix blockt alle Versuche über diesen zu senden.
Laut LOG prüft der Mailserver die IP des Clients welcher sich zu Verbinden versucht mit der Meldung, dass die IP-Adresse des Clients auf einer Blacklist steht. Das die IP auf der Blacklist steht, ist nicht mal ungewöhnlich, da die IP's zum größten Teil von DSL-Anschlüssen mit dynamischen IP's kommen.
Die SMTP-regeln sehen folgender Maßen aus:
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unlisted_sender,
reject_unknown_sender_domain
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname,
reject_unknown_reverse_client_hostname,
reject_unauth_destination
ich habe folgendes Problem:
Es existeirt ein Exchange, welcher in einem Firmennetzwerk steht. Im Exchange ist das senden über Smarthost aktiviert.
Dieser sendet an den Mailserver.
Dieser Mailserver (Debian 8) mit Postfix blockt alle Versuche über diesen zu senden.
Laut LOG prüft der Mailserver die IP des Clients welcher sich zu Verbinden versucht mit der Meldung, dass die IP-Adresse des Clients auf einer Blacklist steht. Das die IP auf der Blacklist steht, ist nicht mal ungewöhnlich, da die IP's zum größten Teil von DSL-Anschlüssen mit dynamischen IP's kommen.
Die SMTP-regeln sehen folgender Maßen aus:
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unlisted_sender,
reject_unknown_sender_domain
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname,
reject_unknown_reverse_client_hostname,
reject_unauth_destination
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 302759
Url: https://administrator.de/contentid/302759
Printed on: April 26, 2024 at 20:04 o'clock
9 Comments
Latest comment
Ich hatte schon in den "smtpd_sender_restrictions" ein "check_client_access hash:/etc/postfix/check_clients" eingetragen. In dieser steht die adresse über die ich senden möchte mit "xxx@domain.de OK" .
UPDATE
Des Weiteren läuft "spamassassin" ebenfalls auf dem Server. Auch hier habe ich mit "whitelist_from xxx@domain.de" probiert das Problem zu lösen. Leider ohne Erfolg.
Des Weiteren läuft "spamassassin" ebenfalls auf dem Server. Auch hier habe ich mit "whitelist_from xxx@domain.de" probiert das Problem zu lösen. Leider ohne Erfolg.
Moin,
verpaß dem Firmennetz ein feste IP-Adresse.
lks
verpaß dem Firmennetz ein feste IP-Adresse.
lks
Wenns so einfach wäre....
Geht leider nicht.
Des Weiteren hab ich es auch von einer anderen dynamischen IP probiert. Dort genau das gleiche.
Ich denke wenn ich dem Postfix sage, dass er die Authentifiezierung der einen Smarthostadresse akzeptieren soll, ist alles schick. Aber hier hängt es gerad....
Geht leider nicht.
Des Weiteren hab ich es auch von einer anderen dynamischen IP probiert. Dort genau das gleiche.
Ich denke wenn ich dem Postfix sage, dass er die Authentifiezierung der einen Smarthostadresse akzeptieren soll, ist alles schick. Aber hier hängt es gerad....
Dann nimm eine VPN-verbindung oder ein Zertifikat, über den sich der Exchange ausweist.
lks
lks
Hi danke erstmal für deine Hilfe.
Sicherlich gibt es viele Wege nach Rom. Aber ich würde dies gern erstmal so konfigurieren, um mögliche weitere Fehlerquellen auszuschließen und damit der Mailversand wieder klappt.
Sicherlich gibt es viele Wege nach Rom. Aber ich würde dies gern erstmal so konfigurieren, um mögliche weitere Fehlerquellen auszuschließen und damit der Mailversand wieder klappt.
UPDATE
Auch ein temporäres stoppen des "spamassassin" Dienstes bringt die gleiche Meldung.
Hier nochmal die genaue aus dem Log:
NOQUEUE: reject: RCPT from [xxx.xxx.xxx.xxx]:58705: 550 5.7.1 Service unavailable; client [xxx.xxx.xxx.xxx] blocked using zen.spamhaus.org; from=<admin@domain.de>, to=<xxx@domain2.de>, proto=ESMTP, helo=<[xxx.xxx.xxx.xxx]>
Auch ein temporäres stoppen des "spamassassin" Dienstes bringt die gleiche Meldung.
Hier nochmal die genaue aus dem Log:
NOQUEUE: reject: RCPT from [xxx.xxx.xxx.xxx]:58705: 550 5.7.1 Service unavailable; client [xxx.xxx.xxx.xxx] blocked using zen.spamhaus.org; from=<admin@domain.de>, to=<xxx@domain2.de>, proto=ESMTP, helo=<[xxx.xxx.xxx.xxx]>
Problem wurde gelöst.
Und zwar hab ich komplett vergessen bei "postscreen" nachzuschauen.
Die Adresse bei "postscreen" in die Whitelist eingetragen und schon hat er die SMTP-Anfragen akzeptiert.
Und zwar hab ich komplett vergessen bei "postscreen" nachzuschauen.
Die Adresse bei "postscreen" in die Whitelist eingetragen und schon hat er die SMTP-Anfragen akzeptiert.
Ich habe das mit SASL AUTH gelöst. Auf dem Postfix einen User angelegt, mit /bin/false als shell.
Komplexes Passwort, dann geht das ohne Probleme. Auch mit dynamischer IP-Adresse. Wichtig ist, die Reihenfolge der permit und reject Anweisungen.
Interessant ist, dass der Exchange nicht im Klartext sendet, selbst wenn man die AUTH auf klartext stellt.
Grüße, Henere
Komplexes Passwort, dann geht das ohne Probleme. Auch mit dynamischer IP-Adresse. Wichtig ist, die Reihenfolge der permit und reject Anweisungen.
Interessant ist, dass der Exchange nicht im Klartext sendet, selbst wenn man die AUTH auf klartext stellt.
Grüße, Henere