Postfix: "Relay access denied"

[jbezorg]

Hallo NG

Mein Mailserver bekommt Mails die ich extern (zB an web.de) versenden will wieder zurück, und zwar mit folgender Fehlermeldung:

host mydomain.de[a.b.c.d] said: 554
<user@web.de>: Recipient address rejected: Relay access denied
(in reply to RCPT TO command)

Diese Fehlermeldung kommt nur bei externen Emails die nicht an "mydomain.de" gerichtet sind. Innerhalb der Domain klappt der Versand problemlos. Der Empfang (extern und intern) klappt auch reibungslos.
Und das ist meine main.cf:

smtpd_banner = $myhostname - $mail_name
biff = no
append_dot_mydomain = no
delay_warning_time = 4h
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myhostname = andy.tooltime
mydestination = $myhostname, tooltime, localhost
relayhost = mydomain.de
mynetworks = 127.0.0.0/8, 192.168.10.0/24
myorigin = /etc/mailname
mailbox_transport = cyrus
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

Hat jemand 'ne Idee?

Grüssle, Markus

[LessWire]

hallo Markus,

trage doch mal "relayhost = " ein, also leerlassen nach dem Gleichheitszeichen. Mit Deiner Angabe beschränkst Du die Mailzustellung auf interne Empfänger.
Oder hast Du noch einen Mailserver dazwischengeschaltet, dann wäre es wahrscheinlich so ok.

Anschliessend "postfix reload" nicht vergessen.

vg, L.W.

[Stratovarius]

Du kannst mit einer Einwahl-IP keine Mails an einige Mailanbieter versenden. Dazu gehören unter anderem: web, hotmail, aol, gmx, yahoo ...
Diese Mailanbieter sind der Meinung, dass Einwahl-Rechner das größte Problem von Spam sind und blocken diese einfach.
Du musst also den Umweg über einen "ordentlichen" Mailserver gehen ...

mfg
Stratovarius

[jbezorg]

Da der Server eine dynamische IP bekommt liefere ich die Mails bei meinem Provider ab, deshalb relayhost = mydomain.de.
Ich hab bei mydestination auch schon mal mydomain.de rausgenommen, um alle Mails (also interne wie auch externe) über den ordentlichen Mailserver meines Providers zu versenden, das funktioniert einwandfrei an meine internen Empfänger. Aber ich bekomme immer wenn ich an externe Empfänger ein Mail schicken will den obigen Fehler.

[Joghurt]

Ich denke mal, du musst dich beim Mailserver mit SASL authentifizieren, damit er weiss, dass du es bist, und nicht irgendein Spammer, der ihn als open relay mißbrauchen will.

[jbezorg]

SASL klingt gut, aber wieso funktioniert dann der interne Versand? Ich dachte eigentlich, dass die Authentifizierung immer oder gar nicht erforderlich ist, oder täusche ich mich?

LG, Markus

[Joghurt]

Nun, der SMTP-Server muss ja die Mails für seine Mailadressen immer annehmen, ansonsten würde die eMails ja niemals ankommen.

[LessWire]

@Markus: SASL immer oder gar nicht stimmt nicht. An Empfänger, die Du in "mydestination=" definiert hast (z.B. localhost), geht es auch ohne Authentisierung.

[jbezorg]

OK, dann probier ich's mal mit SASL. Hat jemand einen Tip wo man da für Sarge ein vernünftiges HowTo findet? Ich hab bisher nur Anleitungen gefunden in denen beschrieben wird, wie Clients sich an meinem Server authentisieren, aber nichts darüber, wie ich meinem Server beibringe sich beim Provider zu authentisieren.

LG, Markus

[Joghurt]

Du musst postfix-tls installieren, und dann noch ein paar SASL-Module, IIRC (schau einfach mal nach Paketen mit sasl im Namen)
dann die /etc/postfix/main.cf editeren:

Code: Alles auswählen

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
smtp_sasl_security_options =

Und eine Datei /etc/postfix/sasl/sasl_passwd anlegen:

Code: Alles auswählen

relay.server.dnsname USERNAME:PASSWORD

dann noch postmap sasl_passwd und postfix restart.

[jbezorg]

ES TUT!!! Joghurt, Du bist mein Held!!! Ich werde Dich lobend in meinem Tagebuch erwähnen! Du gehst als der Mann (oder Frau oder was auch immer) in meine Linux-Geschichte ein, der mit dem goldenen Tip meinem Mailserver zum Laufen gebracht hat!!! OBER-GEIL!! *freu*

Also, ich schreib mal 'ne kleine Anleitung, falls jemand mal das gleiche Problem hat. Folgt demnächst hier an dieser Stelle. Oder hat jemand einen besseren Ort dafür?

Mille gracie nochmal!!
Grüssle, Markus

[Joghurt]

Danke, danke! Ich freu mich immer, wenn ich helfen konnte!

Du gehst als der Mann (oder Frau oder was auch immer) in meine Linux-Geschichte ein

Ich würde gerne als "Salatschüssel" eingehen.

[jbezorg]

Und hier die Lösung des Problems: SMTP-AUTH in Postfix einrichten (mein Mailserver besteht aus: debian-sarge, postfix, fetchmail, cyrus)

Folgendes habe ich gemacht:

apt-get install postfix-tls libsasl2 libsasl2-modules sasl2-bin

/etc/postfix/main.cf ergänzt / geändert
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
smtp_sasl_security_options = noanonymous
relayhost = auth.smtp.kundenserver.de

/etc/postfix/smtp_auth erstellt (mit nur einer Zeile)
auth.smtp.kundenserver.de BENUTZER:PASSWORT

postmap /etc/postfix/smtp_auth

Vorrübergehend Debugging einschalten in /etc/postfix/master.cf
smtp unix - - - - - smtp -v (cave: NICHT smtpD)

Konfig neu einlesen, Testmail schreiben, freuen …

Somit versendet Postfix Mails an den Provider und verwendet dazu SMTP-AUTH. Davon unberührt ist natürlich, dass der Mailserver immer noch Mails ohne Authentisierung entgegennimmt. Aber dafür gibt’s massenhaft HowTo’s.

Und der Held mit dem richtigen Tip heisst: Salatschüssel

[Gortosch]

Grüße,
ich habe das gleiche gemacht nur mit web.de doch ich bekomme folgende Fehlermeldung:

smtp_sasl_authenticate: smtp.web.de[217.72.192.157]: uncoded initial reply: nethome
May 25 13:44:35 server-keller postfix/smtp[14218]: > smtp.web.de[217.72.192.157]: AUTH PLAIN bmV0aG9tZQBuZXRob21lADQ2MzhyaXR0ZXI=
May 25 13:44:35 server-keller postfix/smtp[14218]: < smtp.web.de[217.72.192.157]: 235 Authentication succeeded
May 25 13:44:35 server-keller postfix/smtp[14218]: Using ESMTP PIPELINING, TCP send buffer size is 4096
May 25 13:44:35 server-keller postfix/smtp[14218]: > smtp.web.de[217.72.192.157]: MAIL FROM:<gortosch@gortosch.homeip.net> SIZE=1018 AUTH=<>
May 25 13:44:35 server-keller postfix/smtp[14218]: > smtp.web.de[217.72.192.157]: RCPT TO:<against_hiphop@gmx.de>
May 25 13:44:35 server-keller postfix/smtp[14218]: > smtp.web.de[217.72.192.157]: DATA
May 25 13:44:35 server-keller postfix/smtp[14218]: < smtp.web.de[217.72.192.157]: 501 ungueltige mail-adresse / invalid mail-address
May 25 13:44:35 server-keller postfix/smtp[14218]: connect to subsystem private/bounce
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr nrequest = 0
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr flags = 0
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr queue_id = 4663C1D041A
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr original_recipient = against_hiphop@gmx.de
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr recipient = against_hiphop@gmx.de
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr offset = 291
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr status = 5.0.0
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr action = failed
May 25 13:44:35 server-keller postfix/smtp[14218]: send attr reason = host smtp.web.de[217.72.192.157] said: 501 ungueltige mail-adresse / invalid mail-address (in reply to MAIL FROM command)

Und bekomme die E-Mail von postfix zurück...

[Joghurt]

Du musst deine web.de-Adresse als Absender verwenden.

[Gortosch]

das dachte ich mir schon...
wie geht das denn?

Oder meinst du im Mailprogramm... wie z.B. Outlook...
wie mach ich es dann in squirremail?

[Gortosch]

ok geht jetzt alles... nur... wenn ich eine E-Mail an t-online schicke kommt die nicht an...
über das webinterface von web.de kommt sie an...
wenn ich an gmx eine schicke funktioniert alles problemlos...

[ZapBee]

Hi,

mein Problem ist ähnlich, aber etwas komplizierter:
Wir haben eine Zentrale und Filialen. Der Cyrus-Webserver versendet Emails nach draußen über t-online, allerdings nur wenn sie aus der Zentrale abgeschickt werden (Netz: 192.168.1.xyz). Die Mails aus den Filialen werden nicht weitergeleitet, mit Fehlermeldung: "Relay Access Denied". Ich vermute mal, weil sie in einem anderen Netz liegen, denn jede Filiale hat ein eigenes (192.168.10.xyz, 192.168.11.xyz, 192.168.12.xyz, ...).
Wo muß ich diese Netze eintragen, damit der Server auch Mails von diesen Rechnern nach draußen versendet?

Danke im voraus
Zap

[herrchen]

Der Cyrus-Webserver versendet Emails nach draußen

das macht ein MTA, wie z.b. postfix oder exim.
welchen verwendet ihr?

Die Mails aus den Filialen werden nicht weitergeleitet, mit Fehlermeldung: "Relay Access Denied".

dein stichwort ist "SMTP-Auth".

herrchen

[ZapBee]

es muß natürlich Mailserver heißen, nicht Webserver

welchen MTA verwendet ihr?

Postfix

dein stichwort ist "SMTP-Auth".

Die Filial-Mails gehen alle über den Cyrus, genau wie die aus der Zentrale. Der Cyrus meldet sich dann bei T-Online an. Ich seh den Unterschied zwischen einer Filiale-Mail und einer Zentrale-Mail nicht (außer eben die Rechner-IP). Oder muß die Filiale sich an unserem Cyrus auch authentifizieren, wenn eine Mail nach extern gehen soll (und nur dann, denn interner Versand klappt ja)?
Sorry für die wahrscheinlich simplen Fragen, aber ich habe das Problem nur übergeholfen bekommen und muß mich erstmal eindenken

Zap

[herrchen]

Oder muß die Filiale sich an unserem Cyrus auch authentifizieren, wenn eine Mail nach extern gehen soll

ja, allerdings hat cyrus mit dem versenden nichts zu tun. cyrus ist ein IMAP-server.
"postfix SMTP-Auth" sollten als suchbegriffe hier und bei google zum erfolg führen.

herrchen

[ZapBee]

aha, danke schonmal für den tipp in die richtung.
ich muß also das Verhalten für eingehende Verbindungen ändern (wie hier http://www.tuxhausen.de/postfix_smtp_auth-4.html beschrieben).
Also mit saslpasswd user und passwörter anlegen usw.
Im Outlook Express muß dann bei "Postausgangsserver" -> "erfordert Authentifizierung" angehakt werden, die Zugangsdaten sollen wie beim Posteingang bleiben.
Und dann sollte es klappen? Habe ich das richtig verstanden?

Danke
Zap

PS: Mich würde noch interessieren, warum der Versand aus der Zentrale klappt und aus Filialen nicht.

[herrchen]

Habe ich das richtig verstanden?

ja.

Mich würde noch interessieren, warum der Versand aus der Zentrale klappt

liegt das womöglich an "mynetworks" in der "main.cf"?

herrchen

[ZapBee]

was spricht dagegen, bei mynetworks eine 192.168.0.0/16 reinzuschreiben? Damit wären dann alle Rechner der Filialen eingeschlossen.

Also mit saslpasswd user und passwörter anlegen usw.
Im Outlook Express muß dann bei "Postausgangsserver" -> "erfordert Authentifizierung" angehakt werden, die Zugangsdaten sollen wie beim Posteingang bleiben.

Tja, habe ich alles gemacht, klappt leider nicht, Fehlermeldung unverändert...
im Log steht:
RCPT from unknown[192.168.20.10] ... relay access denied
d.h. die Authentifizierung klappt nicht. Obwohl user/ passwort angelegt und haken im outlook gesetzt...

Zap

[Percy]

wie siehts damit aus:

in der main.cf

mynetworks = 172.16.0.0/16, 127.0.0.0/8, 192.168.0.0/16 zB


grüsse
P