Relay Access Denied, Postfix

[Orrb]

Hallo,

habe mir ein Mail Server aus Postfix, Dovecot und Squirrelmail installiert. Das Senden und Empfangen von lokalen Quellen funktioniert einwandfrei, das Empfangen von externen Quellen (getestet mit meiner Email Adresse von Web.de) funktioniert auch, jedoch kann ich keine
E-Mail an meine Web.de Adresse schicken.

Als Fehlermeldung erhalte ich folgendes

Code: Alles auswählen

Message not sent. Server replied:

    Transaction failed
    554 5.7.1 <xxxxxxxxx@web.de>: Relay access denied

Habe schon gelesen das es etwas mit der authentifizierung zu tun hat, jedoch bin ich noch Neuling und würde mich über Hilfe sehr freuen!

Meine Postfix config

Code: Alles auswählen

# SMTP-Banner
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

# deaktiviere die Benachrichtigung lokaler Nutzer, da es vermutlich keine gibt
biff = no

# deaktiviere Autovervollständigung um Verwirrung zu vermeiden
append_dot_mydomain = no
delay_warning_time = 4h

# Ihr Hostname
myhostname = xxx.xx.xx 

# Mailaliase
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

# Defaultdomain
myorigin = /etc/mailname

# Alle nicht virtuellen Domains, für die ihr Server zuständig sein soll
mydestination = $myhostname, localhost.$mydomain, localhost

# Nur Rechner aus diesen Netzen dürfen Mails ohne Authentifizierung versenden
mynetworks = all

# Unsere Mailboxen haben kein Größenlimit
mailbox_size_limit = 0

# Setzt das Trennzeichen zwischen dem Benutzernamen und der Addresserweiterung
recipient_delimiter = +

# Postfix soll auf über alle Netzwerkkarten erreichbar sein
inet_interfaces = all

# Definiere die Maps der Virtuellen Domains
virtual_alias_maps = hash:/etc/postfix/virtual_alias
virtual_alias_domains = /etc/postfix/virtual_domains

# Verwende SASL (SMTP-AUTH)
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

# Erlaube Outlook den Zugriff
broken_sasl_auth_clients = yes

# Nehme keine Mails an, wenn der sendende Rechner nicht entweder innerhalb von 
# my_networks ist, oder sich per SASL authentifiziert hat. Zusätzlich wird keine Mail 
# angenommen, von Domains, die weder einen A, noch einen MX-Record haben und für die der 
# Server nicht  zuständig ist, davon ausgenommen sind alle Rechner in my_networks und alle 
# SASL  authentifzierten.
smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain,  permit_sasl_authenticated, reject_unauth_destination

# Verlange vom Kommunikationspartner einen validen FQDN als Hostnamen, wird dieser nicht 
# gegeben, wird die Mail nicht akzeptiert. Dies vermindert die Spamflut erheblich, da viele 
# Spamgateways schlampig Programmiert sind.
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname

# Der Server soll keine Mails versenden, deren Domain er nicht kennt
smtpd_sender_restrictions = reject_unknown_sender_domain

# HELO wird zur pflicht
smtpd_helo_required = yes

# Verlange strikte RFC-Einhaltung
strict_rfc821_envelopes = yes

# Verwende das Maildir-Format
home_mailbox = Maildir/

Würde gerne auch noch die Mail.log posten jedoch ist die irgendwie leer? Oo

Bitte um Hilfe

Orrb

[daniel74]

Im Moment sieht es für mich danach aus, als wenn du Probleme mit der Authentifizierung der Benutzer hast... Standardmäßig verwendet Postfix Cyrus-SASL und die dazugehörige Konfigurationsdatei /etc/postfix/sasl/smtpd.conf. In dieser Datei kannst du diverse Optionen zum verwendeten Authentifizierungsverfahren angeben. Wenn du Dovecot verwendest,kannst du das auch über Dovecot erledigen,so dass du dir den "Umweg" über Cyrus sparen kannst.

Hast du eine Anleitung verwendet oder hast du die Konfiguration selbst erstellt? Willst du den Postfix-eigenen LDA "virtual" verwenden oder den Dovecot LDA? Auch verwendest du derzeit virtuelle Domains - willst du dann auch virtuelle Benutzer verwenden?

Was steht in /var/log/auth bzw. /var/log/mail.info oder /var/log/mail.err? In einer dieser Logdateien müsste in jedem Fall etwas protokolliert werden...

Persönlich würde ich den Eintrag

Code: Alles auswählen

mynetworks = all

erstmal auf

Code: Alles auswählen

mynetworks = 127.0.0.0/8

ändern. Läuft Squirrelmail auf dem selben Host? Wenn ja,dann sollte (bedingt durch den Eintrag permit_mynetworks) der Versand auch ohne Authentifizierung möglich sein... Hast du bei Squirrelmail noch etwas konfiguriert?

[Orrb]

Hallo,
danke für deine Antwort

habe mit Hilfe diesem Tutorial meinen Mail- Server eingerichtet:
http://www.linuxforen.de/forums/showthread.php?t=240031

nur das ich statt Courier Dovecot verwendet habe (Bei Courier funktionierte irgendwie gar nichts)

Wenn ich ehrlich bin weiß ich gar nicht worin die Unterschiede bei Virtual und nicht Virtual liegt, gibt es da irgendwie Vorteile?
Habe die Einstellung mit "mynetworks" erstmal geändert (Jetzt kommt keine Fehlermeldung mehr wenn ich nach aussen sende, aber es kommt auch keine E-Mail an).

Squirrelmail läuft auf dem selben host und ich habe nur den Symlink gesetzt und danach den Apachen neugestartet.
Habe nochmal in die Log Dateien geschaut und nichts gefunden (Nur wer sich wann eingeloggt hat in den Email Clienten)
Habe ausversehen die mail.log gelöscht und anschließend wieder angelegt, schreibt er deswegen nichts mehr rein?

Danke für die Hilfe!

Orrb

[daniel74]

nur das ich statt Courier Dovecot verwendet habe (Bei Courier funktionierte irgendwie gar nichts)

Dovecot ist in Ordnung.

Wenn ich ehrlich bin weiß ich gar nicht worin die Unterschiede bei Virtual und nicht Virtual liegt, gibt es da irgendwie Vorteile?

"Virtuelle" Benutzer sind Benutzer,die nicht wirklich auf deinem System vorhanden sind, also keinen Eintrag in /etc/passwd bzw. /etc/shadow besitzen. Diese Benutzer können sich auch nicht lokal an deinem System anmelden,da diese ja kein entsprechendes Benutzerkonto besitzen. Wenn du normale Benutzer verwenden würdest, dann müsstest du diese jedesmal mit "useradd..." anlegen.

Die von dir verwendete Anleitung setzt voraus, dass die Benutzer lokal auf dem System existieren. Das ist soweit OK, allerdings muss Dovecot dan ggf. auch auf die PAM-Authentifizierung zurückgreifen. Siehe auch:
http://wiki.dovecot.org/PasswordDatabase

Für die Anmeldung wird dann der Benutzername (meist ohne @domain) mit dem normalen System-Passwort verwendet. Alterbnativ kann Dovecot aber auch mit eigenen Passwort-Dateien oder SQL-Datenbanken und LDAP umgehen.

Habe die Einstellung mit "mynetworks" erstmal geändert (Jetzt kommt keine Fehlermeldung mehr wenn ich nach aussen sende, aber es kommt auch keine E-Mail an).

Hmm, seltsam - wenn Postfix E-Mails nach "außen" versendet, wird normalerweise in /var/log/mail.info etwas protokolliert.

Habe ausversehen die mail.log gelöscht und anschließend wieder angelegt, schreibt er deswegen nichts mehr rein?

Wenn du die Logdateien gelöscht hast, kannst du den Syslog-Daemon neu starten - er legt bei Bedarf die Logdateien neu an. Es sollte reichen,wenn du mit

Code: Alles auswählen

/etc/init.d/sysklogd restart (oder rsyslog)

den Daemon nach dem Löschen der Datei(en) neu startest.

Du solltest auch in jedem Fall die SASL-Authentifizierung auf Dovecot umstellen und Cyrus SASL vernachlässigen. Dovecot und Postfix können dann die gleiche Basis zur Authentifizierung nutzen.

Info:
http://www.postfix.com/SASL_README.html#server_dovecot

Da die von dir verwendete Anleitung schon etwas älter ist und der Autor auch nicht auf die Details eingeht, würde ich diese erstmal nicht weiterverwenden... Hast du Spamassassin etc. ebenfalls schon installiert?

[Orrb]

Ja habe den auch schon mit installiert! Soll ich ihn wieder löschen?
Habe jetzt nochmal in die Logdateien geschaut und folgenden neuen Eintrag gefunden (mail.info)

Code: Alles auswählen

Oct  5 14:30:47 Orrb postfix/qmgr[20363]: 277D61C21B1: from=<xxx@xxx.xxx.xx>, size=719, nrcpt=1 (queue active)
Oct  5 14:30:47 Orrb postfix/smtp[27138]: 277D61C21B1: host mx-ha01.web.de[217.72.192.149] refused to talk to me: 554 Transaction failed. For explanation visit http://freemail.web.de/reject/?ip=84.140.174.11
Oct  5 14:30:47 Orrb postfix/smtp[27138]: 277D61C21B1: to=<xxxxxxxxxxxxxxxxx@web.de>, relay=mx-ha02.web.de[217.72.192.188]:25, delay=22072, delays=22072/0/0.31/0, dsn=4.0.0, status=deferred (host mx-ha02.web.de[217.72.192.188] refused to talk to me: 554 Transaction failed. For explanation visit http://freemail.web.de/reject/?ip=84.140.174.11)

Auch in der Mail.log stehen die gleichen Zeilen zu dem Versuch eine E-Mail an Web.de zu senden!
Ich melde mich aktuell mit keinen virtuellen Benutzern an, sondern mit den die sich auch an der Domäne anmelden können!
Kannst du mir aufgrund des logs vlt weiterhelfen?

Danke

Orrb

[michaels]

Hallo,

du betreibst einen Mail Server an deinem privaten DSL Anschluss (darauf deutet die IP 84.140.174.11 nämlich hin)?

Wenn ja, wirst du ziemliche Probleme mit einigen Anbietern bekommen. Die werden deine Mails einfach nicht annehmen. Web.de scheint wohl einer davon zu sein...

Gruß

[daniel74]

Wie michaels geschrieben hat - du versendest aus einem dynamisch vergebenen IP-Adressbereich. Das geht so nicht und deine E-Mails werden von den meisten Servern abgelehnt werden.

Du solltest Postfix so konfigurieren, dass ein "Relayhost" verwendet wird. Du kannst Postfix so konfigurieren,dass zum Versand von E-Mails der Mailserver deines Providers oder eines Freemail-Anbieters verwendet wird. Siehe auch:
http://www.postfix.com/SASL_README.html#client_sasl

Alle ausgehenden E-Mails werden anschließend über den Server versendet,den du als Relayhost angegeben hast.

[Orrb]

Bei unserem Mailserver, wird es aber auch so gemacht und dort kommen an alle Anbieter, wie web.de und gmx die emails an

Also muss es doch irgendwie eine Lösung geben?

[michaels]

Was meinst du mit "unserem" Mail Server? Da habt ihr bestimmt einen Internet Anschluss mit fester IP und dann ist es wieder etwas anderes.
Wir betreiben auch eigene Mail Server (Postfix) und haben auch nicht solche Probleme. Bei uns läuft allerdings auch alles über feste IP Adressen (CompanyConnect Anschluss).

Eine Lösung wäre natürlich auch eine feste IP...

Gruß

[Orrb]

ok dann hat sich das wohl erledigt
danke für die Hilfe