Postfix: Helo command rejected: Host not found

[rok]

Hallo!
Ich habe einen Mailstore Proxy im lokalen Netzwerk stehen, der seine Arbeit prima verrichtet.
Jetzt möchte ein Drittanbieter über seine Software im Netz Mails versenden, über SMTP vom Mailstore.
Wir machen das bereits mit Mailclients wie Outlook. Mailstore hat einen Proxy, welcher die Mails dann nach Archivierung an den Mailprovider-MX weiter gibt. Man gibt im Mailclient nicht die Adresse des Providers an, sondern die lokales des Proxys. Dort ist dann die Adresse des Providers hinterlegt. Wie gesagt, die Mailclientsoftware macht das prima.
Die Software des Drittanbieters macht das nicht, denn es kommt die Fehlermeldung:
"System.Net.Mail.SmtpFailedRecipientException: Postfach nicht verfügbar. Die Serverantwort war: 4.7.1 <servername.domäne.local>: Helo command rejected: Host not found"

Was macht die Software des Drittanbieters anders als die Mailclients?

Könnte es am fehlenden SPF-Eintrag liegen?
Oder sind die smtpd_helo_restrictions beim Provider zu krass?

Code: Alles auswählen

smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo

[HZB]

Hallo!
Ich habe einen Mailstore Proxy im lokalen Netzwerk stehen, der seine Arbeit prima verrichtet.
Jetzt möchte ein Drittanbieter über seine Software im Netz Mails versenden, über SMTP vom Mailstore.

im Netz bedeutet in Deinem lokalen oder Internet ? Wenn lokal dann schau mal was in permit_mynetworks steht. Vielleicht fehlt da nur der Server vom Drittanbieter.

Die Software des Drittanbieters macht das nicht, denn es kommt die Fehlermeldung:
"System.Net.Mail.SmtpFailedRecipientException: Postfach nicht verfügbar. Die Serverantwort war: 4.7.1 <servername.domäne.local>: Helo command rejected: Host not found"

domäne.local wäre wenn es via Internet ist auch nicht auflösbar. Der Drittabieter hat da wohl vergessen den HELO Hostname richtig zu setzen

Code: Alles auswählen

smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_invalid_helo_hostname, reject_unknown_helo_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo

Wozu 2 mal check_helo_access ?

[rok]

im Netz bedeutet in Deinem lokalen oder Internet ? Wenn lokal dann schau mal was in permit_mynetworks steht. Vielleicht fehlt da nur der Server vom Drittanbieter.

Der Mailstore funktioniert wie ein Web-Proxy. Er reicht aber alles 1:1 an den Mailserver weiter. Er steht im lokalen Netz. Der Mailserver (Postfix) steht im Internet.

domäne.local wäre wenn es via Internet ist auch nicht auflösbar. Der Drittabieter hat da wohl vergessen den HELO Hostname richtig zu setzen

Wenn ich mir andere Einträge im mail.log vom Postfix auf dem Mailserver ansehe, dann gibt es dort die abenteuerlichsten HELOs, wenn Mails von Nutzern versendet werden. Meist sind das die Rechnernamen (kein FQDN; Bsp: "Nils" oder "Macbook").

[HZB]

im Netz bedeutet in Deinem lokalen oder Internet ? Wenn lokal dann schau mal was in permit_mynetworks steht. Vielleicht fehlt da nur der Server vom Drittanbieter.

Der Mailstore funktioniert wie ein Web-Proxy. Er reicht aber alles 1:1 an den Mailserver weiter. Er steht im lokalen Netz. Der Mailserver (Postfix) steht im Internet.

domäne.local wäre wenn es via Internet ist auch nicht auflösbar. Der Drittabieter hat da wohl vergessen den HELO Hostname richtig zu setzen

Wenn ich mir andere Einträge im mail.log vom Postfix auf dem Mailserver ansehe, dann gibt es dort die abenteuerlichsten HELOs, wenn Mails von Nutzern versendet werden. Meist sind das die Rechnernamen (kein FQDN; Bsp: "Nils" oder "Macbook").

Die fängst Du mit permit_mynetworks ab. Versuch mal die IP des Drittanbierters dort einzutragen

[rok]

OK, danke! Probiere ich. Derzeit bekommt er aber ne andere Fehlermeldung: "Access denied". Hat er zu viel getestet und wird geblockt? Im fail2ban steht nichts.

[rok]

OK, ich habe jetzt die Möglichkeit selbst zu testen, indem ich den Prozess anstoße. So geht das debuggen einfacher.

Die fängst Du mit permit_mynetworks ab. Versuch mal die IP des Drittanbierters dort einzutragen

Du meinst bestimmt, dass ich den Parameter mynetworks anpassen soll, oder? Dort habe ich jetzt die lokale IP Adresse des Mailstore-Proxy (192.168.44.13 (servername.domäne.local)) eingetragen, bekomme aber immer noch die Fehlermeldung:

Aug 27 14:07:26 frx01 postfix/submission/smtpd[64766]: NOQUEUE: reject: RCPT from pdxxx.dip0.t-ipconnect.de[217.92.xxx.xxx]: 554 5.7.1 <pdxxx.dip0.t-ipconnect.de[217.92.155.20]>: Client host rejected: Access denied; from=<sales@domain.de> to=<ich@meine-domain.de> proto=ESMTP helo=<servername.domäne.local>

Kann das sein, dass Postfix denkt, es bekommt die Mail von einem Server zugestellt und nicht von einem Client und deshalb einen gültigen HELO sehen will?

Trage ich die externe IP (217.92.xxx.xxx) meines privaten Netzwerks in die "mynetworks" klappt es. Ist das der richtige Weg?

[HZB]

OK, ich habe jetzt die Möglichkeit selbst zu testen, indem ich den Prozess anstoße. So geht das debuggen einfacher.

Die fängst Du mit permit_mynetworks ab. Versuch mal die IP des Drittanbierters dort einzutragen

Du meinst bestimmt, dass ich den Parameter mynetworks anpassen soll, oder?

Ja genau mynetworks

Dort habe ich jetzt die lokale IP Adresse des Mailstore-Proxy (192.168.44.13 (servername.domäne.local)) eingetragen, bekomme aber immer noch die Fehlermeldung:

Aug 27 14:07:26 frx01 postfix/submission/smtpd[64766]: NOQUEUE: reject: RCPT from pdxxx.dip0.t-ipconnect.de[217.92.xxx.xxx]: 554 5.7.1 <pdxxx.dip0.t-ipconnect.de[217.92.155.20]>: Client host rejected: Access denied; from=<sales@domain.de> to=<ich@meine-domain.de> proto=ESMTP helo=<servername.domäne.local>

Kann das sein, dass Postfix denkt, es bekommt die Mail von einem Server zugestellt und nicht von einem Client und deshalb einen gültigen HELO sehen will?

Trage ich die externe IP (217.92.xxx.xxx) meines privaten Netzwerks in die "mynetworks" klappt es. Ist das der richtige Weg?

Ja es müsste schon die externe IP sein.

Aber wenn ich mir ansehe was da kommt dann ist das jenseits von gut und böse.
Ich dachte bis jetzt das "nur" der HELO Hostname falsch ist, aber es sieht so aus also ob die gar nichts konfiguriert haben.

Also so ist das ein Workaround der funktioniert. Ich würde aber mal beim Drittanbierter einwerfen das das so ein Käse ist und Sie sich um eine richtige Konfiguration Ihres Mailservers bemühen sollten.

[rok]

Ja, ich habe da schon darauf hingewiesen, dass das von meiner Seite nicht so bleibt.
Gekontert wurde: bei anderen Installationen gibt es keine Probleme, liegt also an mir.

Genutzt wird irgend eine .NET Bibliothek, für das versenden von Mails.
Nur was läuft da schief?
Ich frage nur so blöd, weil, wenn der Drittanbieter direkt meinen Server nutzt (statt den Mailproxy, der alles 1zu1 weiter leitet), funktioniert das versenden und die Fehlermeldung kommt nicht. Nutzt er den internen Mailstore, dann kommt die Fehlermeldung "Client host rejected: Access denied".

[HZB]

Ja, ich habe da schon darauf hingewiesen, dass das von meiner Seite nicht so bleibt.
Gekontert wurde: bei anderen Installationen gibt es keine Probleme, liegt also an mir.

Genutzt wird irgend eine .NET Bibliothek, für das versenden von Mails.
Nur was läuft da schief?
Ich frage nur so blöd, weil, wenn der Drittanbieter direkt meinen Server nutzt (statt den Mailproxy, der alles 1zu1 weiter leitet), funktioniert das versenden und die Fehlermeldung kommt nicht. Nutzt er den internen Mailstore, dann kommt die Fehlermeldung "Client host rejected: Access denied".

So ganz versteh ich es glaube ich noch nicht.
Der Mailstore steht bei Dir im internen Netz und leitet die mails dann via Mailproxy an 1&1 weiter ?

Wenn der Drittanbierter den mailstore nutzt dann klappt es. Wenn er den mailproxy verwendet nicht ?

Wo hast Du jetzt den mynetwork parameter geändert ?