Postfix: Empfängeradresse abgelehnt: Ungültiges HELO/EHLO

tag-icon tag-icon postfix outlook outlook-2007 email-server
Postfix: Empfängeradresse abgelehnt: Ungültiges HELO/EHLO

Das Problem scheint zu sein, dass MS Outlook 2007 aus irgendeinem seltsamen Grund nur für eine bestimmte Domäne kein SMTP AUTH sendet.

Ich betreibe den iRedMail-Server (er verwendet das Standard-Debian 7/Wheezy, Postfix 2.9.6-2) für meine Domain und einige Dutzend Client-Domains. Das Problem ist, dass ich einen Client habe, der keine E-Mails an mich senden kann (nicht nur an meine E-Mail, sondern an die ganze Domain) – sie werden abgelehnt, reject_non_fqdn_helo_hostnameaber der Client verwendet SMTP AUTH und hat es richtig eingestellt, sodass er die FQDN-Prüfung umgehen sollte. Es sieht nur so aus, als würde der MUA SMTP AUTH nicht nur für meine E-Mail-Adressen und die meiner Kollegen verwenden.

Hat das schon mal jemand gesehen? Wie kann ich dieses Problem umgehen? Jeder Beitrag ist herzlich willkommen!

Könnte es mit MUA zusammenhängen? Sie verwendet Outlook (nicht Express)?

Schauen Sie sich die folgenden Protokollausschnitte an, die unterschiedliche Situationen zeigen. Alle wurden in derselben Konfiguration/denselben MUA/IPs erfasst, ...:

1) das ist OK: Mein Client sendet E-Mails an einen Drittanbieter-Server; mit SMTP AUTH

28. Mai 13:02:13 email2 postfix/smtpd[1191]: Verbindung von <zensiert>
28. Mai 13:02:13 E-Mail2 Postfix/SMTPd[1191]: 28A5D35E61DC: Client=<zensiert>, sasl_method=LOGIN, sasl_username=<[email geschützt]>
28. Mai 13:02:26 E-Mail2 Postfix/Bereinigung[1435]: 28A5D35E61DC: Nachrichten-ID=<006c01ce5b92$d33805e0$79a811a0$@cz>
28. Mai 13:02:44 Email2 Postfix/Qmgr[376]: 28A5D35E61DC: von=<[email geschützt]>, Größe=4392922, Nr. nrcpt=7 (Warteschlange aktiv)
28. Mai 13:02:44 E-Mail2 Postfix/SMTP[1580]: 28A5D35E61DC: an=<[email geschützt]>, Relay=127.0.0.1[127.0.0.1]:10024, Verzögerung=32, Verzögerungen=31/0/0/0,88, DSN=2.0.0, Status=gesendet (250 2.0.0 von MTA(SMTP:[127.0.0.1]:10025): 250 2.0.0 Ok: in die Warteschlange gestellt als B061435E61DE)
28. Mai 13:02:47 email2 postfix/qmgr[376]: 28A5D35E61DC: entfernt

2) das ist OK: Meine Kundin sendet E-Mails an ein lokales Konto (ihre Coleque); sie verwendet SMTP AUTH

28. Mai 13:06:18 email2 postfix/smtpd[2519]: Verbindung von <zensiert>
28. Mai 13:06:18 E-Mail2 Postfix/SMTPd[2519]: 49CE735E61D4: Client=<zensiert>, sasl_method=LOGIN, sasl_username=<[email geschützt]>
28. Mai 13:06:18 E-Mail2 Postfix/Bereinigung[429]: 49CE735E61D4: Nachrichten-ID=<007201ce5b93$5df069c0$19d13d40$@cz>
28. Mai 13:06:19 Email2 Postfix/Qmgr[376]: 49CE735E61D4: von=<[email geschützt]>, Größe=10875, Nr. nrcpt=1 (Warteschlange aktiv)
28. Mai 13:06:19 E-Mail2 Postfix/SMTP[2295]: 49CE735E61D4: an=<[email geschützt]>, Relay=127.0.0.1[127.0.0.1]:10024, Verzögerung=1,6, Verzögerungen=1,2/0/0/0,43, DSN=2.0.0, Status=gesendet (250 2.0.0 von MTA(SMTP:[127.0.0.1]:10025): 250 2.0.0 Ok: in Warteschlange gestellt als CC61F35E61D7)
28. Mai 13:06:19 email2 postfix/qmgr[376]: 49CE735E61D4: entfernt

3) Problem, E-Mail an mein Konto gesendet (gleicher Server, aber andere Domäne), OHNE SMTP-AUTH???:

28. Mai 13:04:38 email2 postfix/smtpd[1433]: Verbindung von <zensiert>
28. Mai 13:04:38 E-Mail2 Postfix/SMTPd[1433]: NOQUEUE: Ablehnung: RCPT von <zensiert>: 554 5.7.1 <my_email>>: Empfängeradresse abgelehnt: Ungültiges HELO/EHLO; Muss ein FQDN oder ein Adressliteral sein, nicht „xxx“; von=<[email geschützt]> to=<meine_Adresse> proto=ESMTP helo=
28. Mai 13:04:41 E-Mail2 Postfix/SMTP[1433]: Verbindung zu <zensiert> trennen

Teil der Postfix-Konfiguration:

smtpd_sender_restrictions = allow_mynetworks,
                            reject_authenticated_sender_login_mismatch,
                            Permit_SASL_Authenticated
smtpd_recipient_restrictions = Ablehnung einer unbekannten Absenderdomäne,
                               reject_unknown_recipient_domain,
                               reject_non_fqdn_sender,
                               Nicht-FQDN-Empfänger ablehnen,
                               nicht aufgelisteten Empfänger ablehnen,
                               check_policy_service inet:127.0.0.1:7777,
                               check_policy_service inet:127.0.0.1:10031,
                               allow_mynetworks,
                               allow_sasl_authenticated,
                               reject_unauth_destination
smtpd_helo_restrictions = meine_Netzwerke_permit,
                          allow_sasl_authenticated,
                          reject_non_fqdn_helo_hostname,
                          reject_invalid_helo_hostname,
                          check_helo_access pcre:/etc/postfix/helo_access.pcre

Siehe Ausgabe vonnach der KonfUndcat main.cfg

Antwort1

HELO/EHLO passiertVordie SMTP-Authentifizierung. Wenn Ihr Server mit konfiguriert ist reject_non_fqdn_helo_hostname = yes, wird er jede Verbindung mit einem ungültigen Hostnamen ablehnenVorzum SMTP-AUTH-Teil gelangen.

Wenn Sie diese Ablehnung beibehalten, wird zwar ein Teil des Spams reduziert, aber auch eine Reihe legitimer Mails werden blockiert. Sie sollten sich die Postfix-Dokumentation genauer ansehen fürreject_invalid_helo_hostnameUndsmtp_helo_restrictionsum herauszufinden, wie dies funktionieren soll.

Antwort2

Sie smtpd_recipient_restrictionssind in Ordnung, vorausgesetzt, dass sich alle Ihre Clients gut verhalten. Da dies nicht der Fall ist (und kein korrektes HELO sendet), sollten Sie zumindest so etwas haben wie

smtpd_recipient_restrictions = reject_unknown_sender_domain, 
                               reject_unknown_recipient_domain, 
                               permit_sasl_authenticated, 
                               reject_non_fqdn_sender, 
                               reject_non_fqdn_recipient, 
                               reject_unlisted_recipient, 
                               check_policy_service inet:127.0.0.1:7777, 
                               check_policy_service inet:127.0.0.1:10031, 
                               permit_mynetworks, 
                               reject_unauth_destination

Noch besser:

smtpd_recipient_restrictions =
    check_recipient_access hash:/etc/postfix/access-recipient-rfc,
    check_client_access cidr:/etc/postfix/access-client,
    check_helo_access hash:/etc/postfix/access-helo,
    check_sender_access hash:/etc/postfix/access-sender,
    check_recipient_access hash:/etc/postfix/access-recipient,
    permit_mynetworks,
    permit_sasl_authenticated, 
    reject_unknown_sender_domain,
    reject_non_fqdn_sender,
    reject_unknown_recipient_domain,
    reject_non_fqdn_recipient,
    reject_rbl_client zen.spamhaus.org,
    reject_rbl_client ix.dnsbl.manitu.net,
    # greylisting
    check_policy_service inet:127.0.0.1:10023,
    # policyd-weight
    check_policy_service inet:127.0.0.1:12525,
    reject_unauth_destination,
    reject_unverified_recipient,
    permit

Darüber hinaus sollten Sie alle Einschränkungen in die integrieren smtpd_recipient_restrictions. DaHELO kommt vor der SASL-Authentifizierung, es hat keinen Sinn, die SASL-Authentifizierung darin zuzulassen smtpd_helo_restrictions.

Im Allgemeinen empfiehlt es sich, nur zu verwenden smtpd_recipient_restrictions, da Sie dort alles erledigen können, es Ihnen das Wiederholen von Aufgaben erspart und der Netzwerk-Overhead durch Verbindungen, die nach „helo“ beendet worden wären, nicht erheblich ist.

Antwort3

Das Problem lag im Policyd (Hinweisgeber). Auf den ersten Blick war im Protokoll nicht zu erkennen, dass die Ablehnung nicht auf eine Postfix-Einschränkung, sondern auf den Policyd zurückzuführen war.

Hintergrund

Ich hatte in der Cluebringers-Gruppe „internal_domains“ nur meine primäre Domäne (nach der Installation) und alle neuen Domänen waren nicht vorhanden ... Um das Problem zu lösen, habe ich beschlossen, die „internal_domains“ zu leeren, und jetzt funktioniert alles wie erwartet.

Danke für all deine Hilfe!

verwandte Informationen