This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Relay / SMTP Proxy Problem

Guten Abend,

ich betreibe seit einer Woche mein privates Projekt auf einem Rootserver:

- Proxmox HV + Proxmox Firewall + IPTables mit öffentlicher IP -> iptables geben alle Ports ordnungsgemäß an die UTM weiter und funktionieren.

-- Subnet 192.168.100.0/24 abgesichert durch eine Software-UTM inkl. Subnetting -> hier hinter befinden sich die VMs (DC, Exchange, Owncloud etc)

Ich weiß langsam nicht mehr weiter und scheitere so langsam daran, ausgehende Mails über die UTM laufen zu lassen - bestimmt wieder nur ein kleines Problem, wer weiß... Der MS Exchange kann ohne Smarthost problemfrei empfangen und versenden. Sofern ich die UTM als Smarthost dazu nehme, kriege ich ich Mails mehr raus. Fehler wie angegeben 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain.

Ich habe bereits anonyme Connectors angelegt (ohne Erfolg und natürlich mit Transportrollenneustart) die keine Abhilfe schafften. Meine DNS Records sind extern alle ok, intern lösen die entsprechenden Adressen/Einträge auf interne IPs auf.

Was ich mich frage: kann es sein, dass ich eventuell falsch natte?

Ich wäre für jede Hilfe dankbar. Ich weiß nicht, welche Infos ihr benötigt - ich stelle sie natürlich so schnell wie möglich.

MFG

This thread was automatically locked due to age.

Top Replies

jprusch over 4 years ago in reply to kewinter +1

Hallo Eddi, ich galube, dein IP-Setup ist schräg: "Internal" liegt im Netz 192.168.100.0/24 "External" liegt im Netz 192.168.100.0/22, das umfasst aber das andere Netzwerk. Damit kann das IP-Routing…

Parents

0 dirk privat over 4 years ago

Hallo,

ein paar Fragen...

- Bleiben die Mails im exchange-Server höngen oder in der SG?

- hast du unter "Email Protection/SMTP/Relaying/Host-based Relay" den Exchange Server eingetragen?

Im Mail-Manager sind unter SMTP-LOG Zustell-Informationen zu finden. Mehr Details gibt es durch Doppelklick auf die Symbole in diesem log.

Dirk
Cancel
Vote Up 0 Vote Down

Cancel

0 kewinter over 4 years ago in reply to dirk privat

Hallo Dirk,

danke dir für dein Interesse

- die Mails bleiben in der SG hängen

- der Exchange ist im Host-Based Relay eingetragen.

- der Bounce-Error spiegelt eigentlich nur den Error aus dem Ursprungspost wider:

2020-11-07 19:04:13 SMTP error from remote mail server after RCPT TO:<***@gmail.com>: host gmail-smtp-in.l.google.com [74.125.133.26]: 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain
2020-11-07 19:04:18 ***@gmail.com P=<prvs=05809945b8=****@domain.de R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<***@gmail.com>: host gmail-smtp-in.l.google.com [74.125.133.26]: 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain

Was anderes habe ich leider nicht zum rätseln. Auch im SMTP Live Log ist nichts zu sehen.

0 dirk privat over 4 years ago in reply to kewinter

es sieht so aus, als würde der gmail-server die mail nicht weiterleiten wollen.

Ist die mail an diesen Server adressiert, oder ist der gmail-server auch nur weiterleitender smart-host?

Im letzteren Fall ... ist die sendende Domain bei gmail registriert?

Wie sieht die Meldung bei einer Mail an andere Domänen aus?
Cancel
Vote Up 0 Vote Down

Cancel
0 kewinter over 4 years ago in reply to dirk privat

Das Spannende an der Sache ist ja, dass ohne SG als Relay und Smarthost die Mails direkt an dieselbe Gmail-Adresse rausgehen. Die Gmail-Adresse ist einfach nur meine private "Spam" Adresse, die musste dafür herhalten.

Ich habe dasselbe Phänomen bei outlook.com Adressen. Auch hier wird wegen non-accepted Domain ein Mail-Daemon generiert.
Cancel
Vote Up 0 Vote Down

Cancel
0 jprusch over 4 years ago in reply to kewinter

Hast du hier unter" Email Protection/SMTP/Advanced" etwas stehen?

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 kewinter over 4 years ago in reply to jprusch

Hi Philipp,

nein. Da habe ich nichts. Ich möchte ja die SG als Smarthost verwenden.

BG

Eddi
Cancel
Vote Up 0 Vote Down

Cancel
0 jprusch over 4 years ago in reply to kewinter

Hallo Eddi,

was ist denn bei "Email Protection/Routing" unter Domains eingetragen?

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 kewinter over 4 years ago in reply to jprusch

Unter Domains findet sich meine Domain "domain.de", unter Host List der interne Exchange Server "domain-ex". Verify Recipients steht auf "with Callout".

Mails kommen auch in der Domäne über den SMTP-Proxy der UTM an, werden registriert und natürlich gescannt. Das ist nicht das Problem. Es werden einfach keine rausgelassen.

Kann es am SPF oder einem Connector liegen? Das wäre noch etwas, wo ich eventuell noch einen Fehler sehen könnte.
Cancel
Vote Up 0 Vote Down

Cancel
0 jprusch over 4 years ago in reply to kewinter

Hallo Eddi,

ich poste mal meinen Exchange-Connector, da steht nichts Geheimes drin (die IP ist das interne Interface der Sophos) :

Wichtig: in der Sophos darf kein "transparenter Modus" mehr aktiv sein.

Und: für deine externe IP-Adresse musst du auch einen Reverse-DNS angelegt haben.

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel

0 kewinter over 4 years ago in reply to jprusch

Alles so eingerichtet wie auf deinem Connector. Hier mal ein "detaillierterer" Logauszug - TLS Skipping habe ich für diesen Test erstmal ausgeschaltet (obwohl ein 30tägiges ZeroSSL Cert für die Domain erstellt wurde, SG und Exchange nutzen es bereits). Exceptions habe ich mal eingeschaltet, damit gmail nicht wirklich irgendwie geblockt wird:

2020:11:09-21:51:23 mail exim-in[5034]: 2020-11-09 21:51:23 SMTP connection from [192.168.100.151]:31413 (TCP/IP connection count = 1)

2020:11:09-21:51:23 mail exim-in[2085]: 2020-11-09 21:51:23 TLS error on connection from (domain-ex.domain.local) [192.168.100.151]:31413 (SSL_accept): error:1408A0C1:SSL routines:ssl3_get_client_hello:no shared cipher

2020:11:09-21:51:23 mail exim-in[2085]: 2020-11-09 21:51:23 TLS client disconnected cleanly (rejected our certificate?)

2020:11:09-21:51:23 mail exim-in[2085]: 2020-11-09 21:51:23 SMTP connection from (domain-ex.domain.local) [192.168.100.151]:31413 closed by EOF

2020:11:09-21:51:23 mail exim-in[5034]: 2020-11-09 21:51:23 SMTP connection from [192.168.100.151]:31414 (TCP/IP connection count = 1)

2020:11:09-21:51:23 mail exim-in[2086]: 2020-11-09 21:51:23 H=(domain-ex.domain.local) [192.168.100.151]:31414 Warning: Exception matched: Skipping greylisting for this message

2020:11:09-21:51:23 mail exim-in[2086]: 2020-11-09 21:51:23 H=(domain-ex.domain.local) [192.168.100.151]:31414 Warning: Exception matched: Skipping antispam for this message

2020:11:09-21:51:23 mail exim-in[2086]: 2020-11-09 21:51:23 [192.168.100.151] F=<*@domain.de> R=<*@gmail.com> Accepted: from relay

2020:11:09-21:51:23 mail exim-in[2086]: 2020-11-09 21:51:23 1kcE8J-0000Xe-0v <= *@domain.de H=(domain-ex.domain.local) [192.168.100.151]:31414 P=esmtp S=1919 id=c74fc01f15a0404e8706a3171fa87cc1@domain.de

2020:11:09-21:51:23 mail exim-in[2086]: 2020-11-09 21:51:23 SMTP connection from (domain-ex.domain.local) [192.168.100.151]:31414 closed by QUIT

2020:11:09-21:51:24 mail smtpd[5028]: QMGR[5028]: 1kcE8J-0000Xe-0v moved to work queue

2020:11:09-21:51:30 mail smtpd[2089]: SCANNER[2089]: 1kcE8Q-0000Xh-Gb <= *@domain.de R=1kcE8J-0000Xe-0v P=INPUT S=745

2020:11:09-21:51:30 mail smtpd[2089]: SCANNER[2089]: id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="192.168.100.151" from="*@domain.de" to="*@gmail.com" subject="sadfsd" queueid="1kcE8Q-0000Xh-Gb" size="745"

2020:11:09-21:51:30 mail smtpd[2089]: SCANNER[2089]: 1kcE8J-0000Xe-0v => work R=SCANNER T=SCANNER

2020:11:09-21:51:30 mail smtpd[2089]: SCANNER[2089]: 1kcE8J-0000Xe-0v Completed

2020:11:09-21:51:40 mail exim-out[2093]: 2020-11-09 21:51:40 1kcE8Q-0000Xh-Gb ** *@gmail.com P=<*@domain.de> R=dnslookup T=remote_smtp: SMTP error from remote mail server after RCPT TO:<*@gmail.com>: host gmail-smtp-in.l.google.com [66.102.1.27]: 550 5.7.54 SMTP; Unable to relay recipient in non-accepted domain

2020:11:09-21:51:41 mail exim-out[2098]: 2020-11-09 21:51:41 1kcE8b-0000Xq-0K <= <> R=1kcE8Q-0000Xh-Gb U=exim P=local S=2932

2020:11:09-21:51:41 mail exim-out[2093]: 2020-11-09 21:51:41 1kcE8Q-0000Xh-Gb Completed

2020:11:09-21:52:00 mail smtpd[2089]: SCANNER[2089]: Nothing to do, exiting.

rDNS löst auch korrekt auf mail.domain.de auf.

mxtoolbox verrät mir bei einem SMTP Test

Connecting to öffentlicheIP

220 mail.domain.de ESMTP ready. [214 ms]
EHLO keeper-us-east-1c.mxtoolbox.com
250-mail.domain.de Hello keeper-us-east-1c.mxtoolbox.com [18.205.72.90]
250-SIZE 52428800
250-8BITMIME
250-PIPELINING
250-STARTTLS
250 HELP [203 ms]
MAIL FROM:<supertool@mxtoolboxsmtpdiag.com>
250 OK [205 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>

SendSMTPCommand: You hung up on us after we connected. Please whitelist us. (connection lost)

LookupServer 1588ms

wobei letzteres gewollt ist durch die UTM. Will ja kein Spam-Relay werden

Die SG droppt das natürlich auch wie gewollt

2020:11:09-22:09:37 mail exim-in[5034]: 2020-11-09 22:09:37 SMTP connection from [18.205.72.90]:10666 (TCP/IP connection count = 1)
2020:11:09-22:09:38 mail exim-in[3740]: 2020-11-09 22:09:38 H=keeper-us-east-1c.mxtoolbox.com [18.205.72.90]:10666 F=<supertool@mxtoolboxsmtpdiag.com> rejected RCPT <test@mxtoolboxsmtpdiag.com>: Relay not permitted
2020:11:09-22:09:38 mail exim-in[3740]: 2020-11-09 22:09:38 SMTP connection from keeper-us-east-1c.mxtoolbox.com [18.205.72.90]:10666 closed by DROP in ACL

Scheinbar muss es einfach am Connector liegen. Ich verstehe nur nicht, warum es nicht funktionieren möchte...

Post vervollständigen
[edited by: Eddi Winter at 9:14 PM (GMT -8) on 9 Nov 2020]

Reply