Hallo,
ein letztes Problem fuer hoffentlich eine lange Zeit: Gestern bekam ich beim Versuch, an eine AOL-eMail-Adresse auszuliefern eine Fehlermeldung, dass der AOL-Relay meine Mail solange nicht entgegennehmen will, so lange ich bei meinem Server das Relaying fremder IPs nicht verbiete. Außerdem gab es den Hinweis, dass meine (dynamische!) IP möglicherweise auf einer Blacklist steht.
Das lies mir keine Ruhe - hatte ja schließlich den exim so konfiguriert, dass er nur für das interne Netz als Relay dient:
host_accept_relay = localhost : 192.168.0.0/16
Deshalb hab ich vorhin den Versuch von einem externen Rechner aus gemacht:
----- 1. Variante ------------------------------------------------- Hier war es wie oben beschrieben dem exim verboten, fuer fremde IPs zu relayen:
rob:[s8186] >telnet 62.153.12.173 25 Trying... Connected to 62.153.12.173. Escape character is '^]'. 220 medix.mynet.mp ESMTP Exim 3.36 #1 Wed, 31 Jul 2002 10:37:30 +0200 helo rob 250 medix.mynet.mp Hello rob [141.56.15.17] mail from:matthias@medix.mynet.mp 250 matthias@medix.mynet.mp is syntactically correct rcpt to: matthias@peticom.de 550 relaying to matthias@peticom.de prohibited by administrator ^^^ an dieser Stelle reagiert exim auf die fremde IP und zieht Konsequenzen...
----- 2. Variante ------------------------------------------------- Testweise in der exim.conf den rob (141.56.15.17) eingetragen: --> host_accept_relay = localhost : 192.168.0.0/16 : 141.56.15.17 Nun ergibt sich folgendes:
rob:[s8186] >telnet 62.153.12.173 25 Trying... Connected to 62.153.12.173. Escape character is '^]'. 220 medix.mynet.mp ESMTP Exim 3.36 #1 Wed, 31 Jul 2002 10:39:01 +0200 helo tob 250 medix.mynet.mp Hello tob [141.56.15.17] mail from:matthias@medix.mynet.mp 250 matthias@medix.mynet.mp is syntactically correct rcpt to: matthias@peticom.de 250 matthias@peticom.de is syntactically correct
Also bestätigt sich die Vermutung bei der 1. Variante. Die 550- Meldung ist die _erste_ Reaktion von exim auf unzulässige IPs.
* Bei anderen Mail-Relays (z.B. rob) bekomme ich schon nach dem * "mail from: " eine Meldung, dass man keine Mails für fremde Netze * weiterleitet!?!
Nun zurueck zu meiner Frage: Kann es sein, dass AOL die Relay- Konfiguration meines Servers ueberprueft, indem sie ein zufaelliges "mail from: " mit einer erfundenen Adresse auf den exim machen? Da der exim die Ueberpruefung der Sender-IP erst nach dem "rcpt to:" vornimmt - gibt es bei "mail from:" immer eine positive (250) zurueck und der AOL-Server denkt, der exim waere offen wie ein Scheunentor...
Zwangsweise lasse ich jetzt neben der t-online.de (die sowieso alles externe verbieten) auch die aol.com ueber gmx routen.
Dennoch zwei Fragen: 1. Ist das Verhalten von exim in o.g. Beispiel normal?
2. In der jetzigen Konfiguration akzeptiert exim auch Absenderadressen von Usern, die es gar nicht gibt. Wo kann ich einstellen, dass er bereits beim "mail from:" eine Ueberpruefung vornimmt und unbekannte Adressen abweist?
Meine exim.conf koennt ihr unter http://www.htw-dresden.de/~s8186/exim.conf einsehen.
Viele Grüße, Matthias
On Wed, 31 Jul 2002 11:06:56 +0200, Matthias Petermann wrote:
Außerdem gab es den Hinweis, dass meine (dynamische!) IP möglicherweise auf einer Blacklist steht.
Von welcher IP aus hast du denn mit dem AOL-Mailserver geredet? Zufällig von einer T-Online-Adresse oder sowas?
AOL nimmt vermutlich wegen Schutz vor Spam keine Mails von bekannten DialUP-IPs entgegen. Du wirst die Mail an AOL über den SMTP-Relay deines Providers abkippen müssen.
Reinhard
Hallo Reinhard,
On Wed, Jul 31, 2002 at 01:00:53PM +0200, Reinhard Foerster wrote:
Von welcher IP aus hast du denn mit dem AOL-Mailserver geredet? Zufällig von einer T-Online-Adresse oder sowas?
Ja, von einem Provider, der die T-Online-Plattform benutzt (1&1). Die Fehlermeldung von AOL ist natuerlich mehrdeutig - kann gut sein, dass der gesamte T-Online-Adressbereich auf der in der Fehler- meldung erwähnten Blacklist eingetragen ist. Dann brauch ich mich nicht zu wundern. Mir machte nur die Relay-Geschichte Sorgen, aber mein exim scheint schon halbwegs sicher zu sein.
Matthias
am Wed, dem 31.07.2002, um 12:31:47 +0200 mailte Matthias Petermann folgendes:
nicht zu wundern. Mir machte nur die Relay-Geschichte Sorgen, aber mein exim scheint schon halbwegs sicher zu sein.
Test es doch einfach mit "telnet relay-test.mail-abuse.org"
Wenn 'socket error' oder so kommt, ist okay. Ansonsten mach Dir Sorgen...
Andreas
Hallo Andreas,
On Wed, Jul 31, 2002 at 01:58:12PM +0200, Andreas Kretschmer wrote:
Test es doch einfach mit "telnet relay-test.mail-abuse.org" Wenn 'socket error' oder so kommt, ist okay. Ansonsten mach Dir Sorgen...
Danke :-) Komfortabler gehts ja fast nicht mehr... Alle Tests sind mit einer 5xx'er Fehlermeldung ausgestiegen (siehe Protokollausschnitt). Was meinst Du mit "socket error"? Wäre es besser, wenn der Mailserver von außen gar nicht zu erreichen wäre, d.H. ich den Port 25 für eingehende Verbindungen sperre (Firewall)?
Matthias
----- Protokoll ------------------------------------ [root@medix /root]# telnet relay-test.mail-abuse.org Trying 204.152.187.123... Connected to cygnus.mail-abuse.org. Escape character is '^]'. Connecting to 62.153.14.210 ... <<< 220 medix.mynet.mp ESMTP Exim 3.36 #1 Wed, 31 Jul 2002 13:09:18 +0200
HELO cygnus.mail-abuse.org
<<< 250 medix.mynet.mp Hello cygnus.mail-abuse.org [204.152.187.123] :Relay test: #Quote test
mail from: spamtest@p3E990ED2.dip0.t-ipconnect.de
<<< 250 spamtest@p3E990ED2.dip0.t-ipconnect.de is syntactically correct
rcpt to: <"nobody@mail-abuse.org">
<<< 501 <"nobody@mail-abuse.org">: recipient address must contain a domain
rset
<<< 250 Reset OK :Relay test: #Test 1
mail from: nobody@mail-abuse.org
<<< 250 nobody@mail-abuse.org is syntactically correct
rcpt to: nobody@mail-abuse.org
<<< 550 relaying to nobody@mail-abuse.org prohibited by administrator
rset
<<< 250 Reset OK :Relay test: #Test 2
mail from: spamtest@maps1.pa.vix.com
<<< 250 spamtest@maps1.pa.vix.com is syntactically correct
rcpt to: nobody@mail-abuse.org
<<< 550 relaying to <nobody@mail-abus . . . .
rset
<<< 250 Reset OK
QUIT
<<< 221 medix.mynet.mp closing connection Tested host banner: 220 medix.mynet.mp ESMTP Exim 3.36 #1 Wed, 31 Jul 2002 13:09:18 +0200 System appeared to reject relay attempts Connection closed by foreign host.
On Wed, Jul 31, 2002 at 01:18:03PM +0200, Matthias Petermann wrote:
Wäre es besser, wenn der Mailserver von außen gar nicht zu erreichen wäre, d.H. ich den Port 25 für eingehende Verbindungen sperre (Firewall)?
Dienste die man nach außen nicht anbietet, sollte man auch nicht nach außen öffnen. Sowas ist sonst immer ein potiellen Angriffspunkt. Falls die Software, die den Dienst anbietet, keine Möglichkeit hat, diesen nur auf bestimmten Interfaces anzubieten, dann solltest Du über einen Paketfilter nachdenken, der diese Ports dichtmacht.
Gruß, Eric
am Wed, dem 31.07.2002, um 13:58:12 +0200 mailte Andreas Kretschmer folgendes:
Test es doch einfach mit "telnet relay-test.mail-abuse.org"
Wenn 'socket error' oder so kommt, ist okay. Ansonsten mach Dir Sorgen...
Nachtrag:
Wenn Du keine Ports anbietest (iptables), kommt das:
,----[ Test von Firewallrechner aus ] | sgs-fw:~ # telnet relay-test.mail-abuse.org | Trying 204.152.187.123... | Connected to relay-test.mail-abuse.org. | Escape character is '^]'. | /proj/maps/bin/in.relaytest: socket failed [Bad file descriptor] | Connecting to 217.3.104.225 ... | Connection closed by foreign host. | sgs-fw:~ # `----
Wie es aussieht, wenn der Port ins Internet zwar frei ist, Relaying aber verboten, habe ich noch nicht untersucht. Ich denke aber, Du willst es gar nicht erst freigeben...
Andreas
On 31.07.02 Andreas Kretschmer (andreas.kretschmer@schollglas.com) wrote:
Moin,
Wie es aussieht, wenn der Port ins Internet zwar frei ist, Relaying aber verboten, habe ich noch nicht untersucht. Ich denke aber, Du willst es gar nicht erst freigeben...
drachi:[hille] >telnet 213.7.206.94 25 Trying 213.7.206.94... Connected to 213.7.206.94. Escape character is '^]'. 220 drachi.dresden.de ESMTP Sendmail 8.9.3/8.9.3/Debian 8.9.3-21; Wed, 31 Jul 2002 17:25:08 +0200 HELO drachi 250 drachi.dresden.de Hello hille@Bce5e.pppool.de [213.7.206.94], pleased to meet you MAIL FROM: hille42@web.de 550 Access denied
H.
On Wed, 31 Jul 2002 12:31:47 +0200, Matthias Petermann wrote:
Ja, von einem Provider, der die T-Online-Plattform benutzt (1&1). Die Fehlermeldung von AOL ist natuerlich mehrdeutig - kann gut sein, dass der gesamte T-Online-Adressbereich auf der in der Fehler- meldung erwähnten Blacklist eingetragen ist. Dann brauch ich mich nicht zu wundern.
Jo. Nutze den von 1&1 angegeben SMTP-Relay und gut is. IMO ist das der Rechner mail.online.de Wenn du exim mit eximconfig konfigurierst, gibst du diesen Host an wenn nach "smarthost" gefragt wird. Wenn du die exim.conf per Hand editierst sollte etwa folgender Router eingetragen sein:
smarthost: driver = domainlist transport = remote_smtp route_list = "* online.mail.de bydns_a"
Alles, was nicht in die local_domains geht, wird damit per SMTP an die angegebene Kiste weitergeleitet.
Reinhard
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Eric Schaefer -
Hilmar Preusse -
Matthias Petermann -
Reinhard Foerster