Postfix Smtp client=unknown *gelöst*

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Postfix Smtp client=unknown *gelöst*

Beitrag von weshalb » 31.10.2016 13:53:11

Hallo Leute,

wie der Titel schon sagt, habe ich ab und zu ein Problem mit meinen internen Mailusern.
debian postfix/smtpd[52243]: warning: hostname clientname.domänenname.local does not resolve to address 192.168.2.21: Name or service not known
Oct 27 10:40:06 debian postfix/smtpd[52243]: connect from unknown[192.168.2.21]
Oct 27 10:40:06 debian postfix/smtpd[52243]: Anonymous TLS connection established from unknown[192.168.2.21]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Oct 27 10:40:07 debian postfix/smtpd[52243]: 99D33602F5: client=unknown[192.168.2.21], sasl_method=LOGIN, sasl_username=EinvorhandenerMailUser
Mit Fail2ban werden dann durch meine Unknown Regex mal ganz schnell mal interne User ausgeschlossen. Klar könnte ich die Regel für das interne Netzwerk abschalten, doch falls ein Angiff auf den Server über eine kompromitierte Maschine erfolgt, bin ich ja quasi gefährdet.

Ich verstehe nur nicht, wie der Name des Clients plus Domain in die Anmelderoutine zum SMTP kommt. Macht er ja auch nicht immer, aber eben ab und zu.

Hat jemand vielleicht hilfreiche Antworten? Vielen Dank.
Zuletzt geändert von weshalb am 08.11.2016 12:56:59, insgesamt 1-mal geändert.

Benutzeravatar
sbruder
Beiträge: 333
Registriert: 24.06.2016 13:54:36
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Franken

Re: Postfix Smtp client=unknown

Beitrag von sbruder » 02.11.2016 12:58:58

Hallo,
weshalb hat geschrieben: wie der Titel schon sagt, habe ich ab und zu ein Problem mit meinen internen Mailusern.
mail.log hat geschrieben:debian postfix/smtpd[52243]: warning: hostname clientname.domänenname.local does not resolve to address 192.168.2.21: Name or service not known
Oct 27 10:40:06 debian postfix/smtpd[52243]: connect from unknown[192.168.2.21]
Oct 27 10:40:06 debian postfix/smtpd[52243]: Anonymous TLS connection established from unknown[192.168.2.21]: TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)
Oct 27 10:40:07 debian postfix/smtpd[52243]: 99D33602F5: client=unknown[192.168.2.21], sasl_method=LOGIN, sasl_username=EinvorhandenerMailUser
Mit Fail2ban werden dann durch meine Unknown Regex mal ganz schnell mal interne User ausgeschlossen. Klar könnte ich die Regel für das interne Netzwerk abschalten, doch falls ein Angiff auf den Server über eine kompromitierte Maschine erfolgt, bin ich ja quasi gefährdet.

Ich verstehe nur nicht, wie der Name des Clients plus Domain in die Anmelderoutine zum SMTP kommt. Macht er ja auch nicht immer, aber eben ab und zu.
Der Name des Clients plus Domain kommt entweder direkt vom Client oder vom reverse-DNS.

Verbesserungsvorschläge/Lösungsansätze:

* „.local“ durch was anderes ersetzen (z.B. „.localdomain“ oder (falls vorhanden) eine externe Domain)
* Durch ↑ könnte der A-Eintrag des DNS’ auf die IP-Adresse gesetzt werden (eventuell direkt vom DHCPd (falls DHCP benutzt wird))
* Statt fail2ban nach uwnknown suchen zu lassen → Postfix einstellen nur Verbindungen von rDNS besitzenden Hostnamen anzunehmen

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Postfix Smtp client=unknown

Beitrag von weshalb » 07.11.2016 16:57:41

Vielen Dank für die Anreize. Wenn ich es richtig verstanden habe, stimmt etwas mit der Namensauflösung nicht.

Ich habe jetzt einfach mal in der resolv.conf noch etwas überarbeitet und bei search zusäztlich den domänennamen angegeben, worin sich die Clients befinden. (ist ja auch der DNS Server)

host clientname.domänenname.local

clientname.domänenname.local has address 192.168.2.21
Umgekehrt genauso.
host 192.168.2.21
30.2.168.192.in-addr.arpa domain name pointer clientname.domänenname.local.


Das heißt für mich, mein Debianserver kann über den genutzten DNS Eintrag den Client namenstechnisch auflösen. Ich wüßte deshalb nicht, was es bringen sollte, die Domäne am Ende umzubenennen oder stehe ich da immer noch auf dem Schlauch.

Der Fehler bleibt jedenfalls bestehen.
debian postfix/smtpd[52243]: warning: hostname clientname.domänenname.local does not resolve to address 192.168.2.21: Name or service not known

Hat noch jemand einen Rat?

Benutzeravatar
sbruder
Beiträge: 333
Registriert: 24.06.2016 13:54:36
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Franken

Re: Postfix Smtp client=unknown

Beitrag von sbruder » 07.11.2016 20:18:28

weshalb hat geschrieben: Das heißt für mich, mein Debianserver kann über den genutzten DNS Eintrag den Client namenstechnisch auflösen. Ich wüßte deshalb nicht, was es bringen sollte, die Domäne am Ende umzubenennen oder stehe ich da immer noch auf dem Schlauch.
Naja, die Domain ».local« ist für Multicast-DNS reserviert [1], deswege könnte es sein, dass host »normales« DNS macht, Postfix aber multicast DNS (Host löst übrigens auf die 30.2.168.192.in-addr.arpa. auf, also auch noch ein Fehler, den es zu Lösen gilt).

Probier das und das umbenennen der Domain in ».localdomain«.

[1] https://tools.ietf.org/html/rfc6762

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Postfix Smtp client=unknown

Beitrag von weshalb » 07.11.2016 23:55:25

(Host löst übrigens auf die 30.2.168.192.in-addr.arpa. auf, also auch noch ein Fehler, den es zu Lösen gilt).
Sorry, war ein Tippfehler. Da stand schon 21.2.168.192.in-addr.arpa .


Den Rest schaue ich mir mal an.

Benutzeravatar
weshalb
Beiträge: 1265
Registriert: 16.05.2012 14:19:49

Re: Postfix Smtp client=unknown

Beitrag von weshalb » 08.11.2016 12:42:57

Woanders habe ich nun lesen können, dass Postfix mit Rootrechten seine DNS-Abfragen nicht richtig tätigt. Habe jetzt den chrootparameter in der master.conf abgeändert und siehe da:
debian postfix/master[7407]: daemon started -- version 2.11.3, configuration /etc/postfix
Nov 8 08:03:39 debian postfix/smtpd[7412]: connect from clientname.domänenname.local[192.168.2.21]
Nov 8 08:03:39 debian postfix/smtpd[7412]: Anonymous TLS connection established from clientname.domänenname.local[192.168.2.21]: TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits)
Nov 8 08:03:40 debian postfix/smtpd[7412]: 7150860F8F: client=clientname.domänenname.local[192.168.2.21], sasl_method=LOGIN, sasl_username=EinvorhandenerMailUser

Antworten