Re: Postfix lässt nach Upgrade nicht alle Domains mehr senden

Achim Lammerts mlpbu at admin.syntaxys.net
Sa Dez 7 18:37:11 CET 2019


Ist das mit Proxmox realisiert und mit dessen Firewall? Damit hatte ich 
auch Probleme. Beim Aufsetzen der virtuellen Umgebung habe ich mir 
gleich ein superdupertolles Regelset mitkonfiguriert und das hatte mich 
permanent geärgert. Am Ende hab ich das alles wieder in die Tonne 
gekloppt und jeder virtuelle Host hat jetzt sein eigenes Regelset. Damit 
kommt auch fail2ban wesentlich besser klar.

Und bei der Proxmox-FW unbedingt beachten: Das ganze Regelgedöns wird 
zwar unterhalb /etc/pve/firewall schön abgelegt, die Konfiguration des 
physischen Host beim Systemstartaber aus einer sqlite-db unter 
/var/lib/pve-cluster geladen. Heißt so viel wie, wenn Du Dich selbst 
aussperrst, musst Du erst die Datenbank bereinigen, damit Du die Kiste 
wieder an den Start bekommst.

Tipp: Du kannst beim rsyslogd das mail.log des einen Hosts per udp port 
514 an den anderen Host schicken. Wenn auf beiden Hosts das f2b mit dem 
selben Filterset läuft, wird auch die action nahezu zeitgleich 
ausgelöst. Ob das bidirektional klappt, hab ich aber noch nicht 
getestet. Auf alle Fälle bekommt mein Mailstore/Postausgangserver die 
Angriffe auf den Posteingangserver mit und macht für die jeweiligen IPs 
auch gleich dicht.


Am 07.12.19 um 12:16 schrieb Andreas:
>
> Am Samstag, 7. Dezember 2019, 10:15:02 CET schrieb Achim Lammerts:
>
> > Die Problembeschreibung ist für mich nicht ganz klar. Der Host
>
> > mail.swabia.tld nimmt überhaupt keine Mails mehr an? Ich würde das ganz
>
> > basic über eine telnet-Verbindung testen:
>
> >
>
> > 
> https://www.thomas-krenn.com/de/wiki/TCP_Port_25_(smtp)_Zugriff_mit_telnet_%
>
> > C3%BCberpr%C3%BCfen (ohne auth)
>
> >
>
> > https://www.ndchost.com/wiki/mail/test-smtp-auth-telnet
>
> > (mit auth, falls nötig)
>
> >
>
> > Wenn der Postfix die Mail nicht annimmt, sagt er gleich warum. Wenn er
>
> > sie annimmt und nicht ausliefert, geistert sie irgendwo in der Queue
>
> > rum. In beiden Fällen steht normalerweise der Grund dafür im mail.log
>
> > und mit mailq siehst Du, was in der Queue hängt.
>
> >
>
> > Nach einem System-Upgrade ändern sich normalerweise keine DNS-Einträge.
>
> > Es kann sein, dass der named nicht mehr läuft und daher die Adressen
>
> > nicht mehr aufgelöst werden können, aber mit dem Postfix hat das nichts
>
> > zu tun. Daher verstehe ich den dig response nicht. Lässt sich
>
> > mail.swabia.tld anpingen? Ist der Host nicht erreichbar oder der Postfix
>
> > nicht?
>
> >
>
> > Wie oben beschrieben, würde ich einfach mal per telnet mit dem chatten,
>
> > dann sieht man schon, was mit dem los ist.
>
> Der mail.swabia.tld ist anpingbar. Und
>
> mx:/etc/postfix # mailq Mail queue is empty
>
> Allerdings lag der Fehler möglicherweise weniger bei Postfix selbst 
> als bei der IPTables-Firewall auf dem KVM-Host, der ebenfalls ein 
> Upgrade erfahren hatte. Der Mailserver ist eine VM, die hinter der 
> Firewall steht.
>
> Komplettes Löschen aller Rules und Neustart der Firewall haben gewirkt.
>
> Besten Dank für die Beteiligung
>
> Andreas
>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20191207/b0c05621/attachment-0001.html>


Mehr Informationen über die Mailingliste Postfixbuch-users