Hallo zusammen,
vor langer Zeit habe ich das Thema schon mal aufgebracht (beginnend mit https://lug-freiburg.de/mailman/pipermail/flug/2017-March/002711.html) und auch schon eine ganze Reihe von Antworten von euch bekommen - leider ohne mit dem Problem dann letztlich zu Rande zu kommen. Kurz gesagt ging es darum, meinen Mailserver so einzurichten, dass er von bestimmten Gegenstellen auch akzeptiert wird.
Jetzt habe ich mich aus einer Reihe von (zugegebenermaßen teilweise fragwürdigen) Gründen entschlossen, auf einen neuen Server umzusteigen und Einiges diesmal richtig(er) anzugehen. Mit das WIchtigste dabei ist allerdings tatsächlich die korrekte Einrichtung des Mailservers. Und nach mehreren Tagen des Lesens und Verstehensversuchen muss ich doch bei euch nachfragen, bevor ich einen ersten "live"-Versuch starte. Ich bekomme immer noch nicht ausreichend klar die Abhängigkeiten und Verhältnisse der verschiedenen Einträge im DNS-System in meinen Kopf rein.
Ausgangspunkt:
* Ich habe einen (Debian 9-) Root-Server, bei dem ich den größten Teil der DNS-Einträge selbst einstellen kann, allerdings nicht im System selbst, sondern in einem Web-Interface des Providers. * Auf dem ist Postfix als MTA und Dovecot als IMAP-Server installiert (und weitgehend konfiguriert). * Ich habe eine feste IP und einen festen Hostnamen. Einstellen kann ich: * "myhostname" in Postfix * Reverse-DNS-Eintrag. Hier zeigt die (fest vorgegebene) IP-Adresse auf den FDQN des Servers, also den echten Hostnamen des Rechners. (Dieser ist eine Subdomain von startdedicated.de als einer großen Sammel-Domain des Providers) * Für jede Domain separat den MX-Record, der standardmäßig auf den Servernamen zeigt * (für jede Domain beliebig viele Einträge der Typen A, CNAME, MX, NS, SRV, TXT (wobei zwei NS-Einträge bereits fest vorgegeben sind).
Da ein Problem bei meinem letzten/bisherigen Server eine Inkonsistenz bei der Zuordnung von Postfix-Hostname, realem Hostnamen und IP (bzw. dem Reverse-DNS) gewesen zu sein schient, wollte ich zunächst meinen Mailserver ganz defensiv unter dem echten Hostnamen annoncieren. Das geht aber wohl nicht, da Let's Encrypt sich geweigert hat, ein Zertifikat für NNN.startdedicated.de zu erstellen, weil davon zu viele ausgestellt worden sind. Ich muss also doch so etwas wie mail.ursliska.de einrichten, da ich kein selbst-signiertes Zertifikat mehr nehmen will (da sich die Mail-Clients doch ziemlich zieren, das zu akzeptieren).
Soweit ich sehen kann, müsste ich nun
* für Postfix dieses mail.ursliska.de als $myhostname eintragen * mail.ursliska als MX-Record für jede Domain anlegen
Allerdings ist der MX-Record ja (wenn ich es recht verstehe) nur dazu da, dass Server, die eine Mail *an* eine Domain verschicken, wissen, wo der zuständige Server zu finden ist. Soweit ich gelesen habe, sollte der Postfix-Hostname völlig unabhängig vom Hostnamen des Servers sein, also ohne weiteres mail.ursliska.de auf einem NNN.startdedicated.de-Server zulassn.
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de (in meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht auf den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Ich muss zugeben, dass ich das Ganze mit jeder Denk-Iteration weniger verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin, auch in Postfix den original-Servernamen zu verwenden, damit der Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des Providers schreiben kann, müsste ich tatsächlich noch etwas genauer verstehen, was da eigentlich das Problem ist.
Ich wäre für jeden, auch kleinen (aber konkreten und zielführenden) Hinweis dankbar.
Herzliche Grüße Urs
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska ul@openlilylib.org schrieb:
....
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de (in meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht auf den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen". Wichtig ist zu vertehen dass ein MX-Eintrag, soll er Standardkonform sein, _nicht_ auf einen CNAME-Eintrag (also einen "Alias") zeigen soll sondern auf den A-Eintrag ... das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn der MX auf einen CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup machen um an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Ich muss zugeben, dass ich das Ganze mit jeder Denk-Iteration weniger verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin, auch in Postfix den original-Servernamen zu verwenden, damit der Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des Providers schreiben kann, müsste ich tatsächlich noch etwas genauer verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten das aber als Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server). Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja selbst einrichten kannst). Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain zuständig ist. Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine Domain _keinen_ SPF-Eintrag gibt.
HTH & Gruss RalfD
Hallo Urs, noch ein kleiner Nachtrag:
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten das aber als Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server). Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja selbst einrichten kannst). Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain zuständig ist. Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine Domain _keinen_ SPF-Eintrag gibt.
Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag hast. Da sollte es eigentlich keine Probleme geben. Sehen auch andere so:
https://mxtoolbox.com/domain/openlilylib.org/
Gruss RalfD
HTH & Gruss RalfD
Am 07.10.2017 um 00:05 schrieb Ralf Mattes:
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska ul@openlilylib.org schrieb:
....
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de (in meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht auf den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen".
Was dann? "myhostname" ist der Name, mit dem der Server sich gegenüber anderen Servern identifiziert, etwa beim HELO http://www.postfix.org/postconf.5.html#myhostname
Der Fehler (siehe LInk oben) deutet darauf hin, dass der PTR-RR nicht korrekt auf den Mailserver zurückführt. Und wenn ich das richtig verstehe, ist das auch klar, denn wenn ich in Postfix z.B. mail.ursliska.de einstelle, wird der Reverse-DNS-Eintrag trotzdem auf XXX.startdedicated.de zurückverweisen.
Heißt das, dass manche großen Provider verlangen, dass sich der Mailserver mit dem echten Servernamen vorstellt? Das kann doch eigentlich fast nicht sein - wie ist es denn, wenn ich als ISP auf einem Server mehrere Mailserver laufen lasse?
Wichtig ist zu vertehen dass ein MX-Eintrag, soll er Standardkonform sein, _nicht_ auf einen CNAME-Eintrag (also einen "Alias") zeigen soll sondern auf den A-Eintrag ... das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn der MX auf einen CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup machen um an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Wenn ich es richtig verstehe, wird der MX-Eintrag auch nur dafür verwendet, den Server zu finden, wenn eine Mail *an* mich geschickt werden soll. Also: Mail-Adresse irgendwas@ursliska.de, dann wird aus dem MX-Record für ursliska.de entnommen, bei welchem Mailserver man sich anmelden muss. Hier könnte ja problemlos ein virtueller Servername, der echte Hostname oder auch die IP stehen, nicht?
Wenn ich den Mailserver als Subdomain einer "echten" Domain laufen lasse, brauche ich aber einen extra A-Record für diese Subdomain, ja? Der Eintrag mit Subdomain "*" reicht nicht?
Ich muss zugeben, dass ich das Ganze mit jeder Denk-Iteration weniger verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin, auch in Postfix den original-Servernamen zu verwenden, damit der Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des Providers schreiben kann, müsste ich tatsächlich noch etwas genauer verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten das aber als Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Also, ich habe einen Server mit eigener IP gemietet, einen Root-Server, ja. Im Web-Interface des Providers kann ich einen beliebigen Reverse-DNS-Eintrag zu der IP vergeben. Der zeigt vorgegeben (und sicher richtig) auf den Hostnamen des Servers.
Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja selbst einrichten kannst). Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain zuständig ist. Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine Domain _keinen_ SPF-Eintrag gibt.
Laut https://postmaster.gmx.net/de/best-practice prüft GMX einen vorhandenen SPF-Eintrag (scheint ihn aber nicht zu fordern) *und* verlangt einen korrekten PTR-RR. Klar, das geht nochmal zurück zu dem, was ich oben geschrieben habe, aber wenn ich es nicht falsch verstehe, erwartet GMX, dass der Reverse-Record meiner IP-Adresse auf den Namen verweist, den Postfix beim HELO angibt. Wenn das stimmt, habe ich zwei Möglichkeiten:
* Verwende in Postfix den echten Servernamen als myhostname * Verwende in Postfix einen virtuellen Namen wie mail.ursliska.de und setze den Reverse-DNS-Eintrag auf diesen. Zusätzlich muss es dann für mail.ursliska.de einen A-Record geben, der korrekt auf die IP auflöst.
Die erste Lösung scheint ungeeignet, weil ich erstens für diesen Server kein echtes LetsEncrypt-Zertifikat bekomme, und weil ich mit startdedicated.de als Domain wohl auch Gefahr laufe, bei einigen Prüfungen abgelehnt zu werden.
Die zweite Lösung dagegen dürfte die Mail-Prüfung zufrieden stellen. Aber dann habe ich ja einen Reverse-DNS-Eintrag, der nur für den Mailserver korrekt ist. Der Reverse-Eintrag sollte doch auf den Server "als solchen" zeigen und nicht auf eine beliebige darauf gehostete Domain, oder nicht?
HTH & Gruss RalfD
Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag hast. Da sollte es eigentlich keine Probleme geben. Sehen auch andere so:
Hm. Aber genau dieser Check beschwert sich unter der Kategorie Mailserver doch über das Fehlen eines DNS-Eintrags. Oder verstehe ich das falsch und DMARC ist nochmal eine ganz andere Baustelle?
Diesen SPF-Eintrag hatte ich noch nicht, als das Problem ursprünglich auftrat, das spätere Hinzufügen hat aber nichts mehr geändert.
Ich habe es jetzt auch nochmal auf meinem (alten) Server probiert mit ganz sorgfältigen Einstellungen: Postfix-myhostname mail.openlilylib.org SFP-Eintrag in allen Domains MX-Record auf mail.openlilylib.org (ist beim Versenden aber egal) Reverse-Eintrag auf den echten Host.
Eine Mail an meine GMail-Adresse kam an (GMail hatte bisher aber auch kein Problem gemacht), und in den Headern stehen mehrere Hinweise auf eine erfolgreiche SPF-Kontrolle sowie
Received: from mail.openlilylib.org (orion2208.startdedicated.de. [85.25.93.165])
was auf eine korrekte Auflösung des Mail-Servernamens auf den Host und die IP hindeutet.
Ein Versuch, eine Mail an Web.de zu schicken, scheint aber gescheitert zu sein, zumindest habe ich sie noch nicht erhalten.
Ich würde ja sonst einfach auf dem neuen Server rumprobieren, aber nach den bisherigen Erfahrungen würde ich es doch start bevorzugen, wenn der erste Kontakt mit dem Netz gleich "richtig" laufen würde, um nicht gleich von vornherein wieder in irgendwelchen Block-Listen zu landen.
Herzliche Grüße Urs
Freiburger Linux User Group Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
Hallo,
On Fri, Oct 06, 2017 at 11:26:44PM +0200, Urs Liska wrote:
- Ich habe einen (Debian 9-) Root-Server, bei dem ich den größten Teil der DNS-Einträge selbst einstellen kann, allerdings nicht im System selbst, sondern in einem Web-Interface des Providers.
- Auf dem ist Postfix als MTA und Dovecot als IMAP-Server installiert (und weitgehend konfiguriert).
- Ich habe eine feste IP und einen festen Hostnamen. Einstellen kann ich:
- "myhostname" in Postfix
Soweit so gut.
- Reverse-DNS-Eintrag. Hier zeigt die (fest vorgegebene) IP-Adresse auf den FDQN des Servers, also den echten Hostnamen des Rechners. (Dieser ist eine Subdomain von startdedicated.de als einer großen Sammel-Domain des Providers)
Hier ist ein Konzept bei Dir falsch. Es gibt nicht *den* FQDN eines Hosts. Ich habe den reverse DNS-Namen meines Mailservers auf "arcturus.kleine-konig.org" zeigen, und das ist auch, was ich im postfix (/etc/mailname) verwende.
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de (in meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht auf den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Viele Serveradmins (so auch United Internet mit gmx und web.de) verlangen, dass ein einliefernder MTA sich per HELO (oder EHLO) mit dem Namen vorstellt, auf den der PTR-Record für dessen IP zeigt. Zudem darf das laut Deines Link kein Name sein, der von Deinem Provider vorgegeben wird.
Ergo musst Du das so machen wie ich oben: Gibt Deinem Server einen Namen (ich würde hier keine Funktion implizieren, also nicht "mail" oder so). Den konfigurierst Du dann auch als mailname und trägst den als reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären. -> freenode/#flug.
Liebe Grüße Uwe
Am 7. Oktober 2017 21:03:12 MESZ schrieb "Uwe Kleine-König" uwe@kleine-koenig.org:
Hallo,
On Fri, Oct 06, 2017 at 11:26:44PM +0200, Urs Liska wrote:
- Ich habe einen (Debian 9-) Root-Server, bei dem ich den größten
Teil
der DNS-Einträge selbst einstellen kann, allerdings nicht im
System
selbst, sondern in einem Web-Interface des Providers.
- Auf dem ist Postfix als MTA und Dovecot als IMAP-Server
installiert
(und weitgehend konfiguriert).
- Ich habe eine feste IP und einen festen Hostnamen. Einstellen kann ich:
- "myhostname" in Postfix
Soweit so gut.
- Reverse-DNS-Eintrag. Hier zeigt die (fest vorgegebene) IP-Adresse auf den FDQN des Servers, also den echten Hostnamen des Rechners. (Dieser ist eine Subdomain von startdedicated.de als einer großen Sammel-Domain des Providers)
Hier ist ein Konzept bei Dir falsch. Es gibt nicht *den* FQDN eines Hosts. Ich habe den reverse DNS-Namen meines Mailservers auf "arcturus.kleine-konig.org" zeigen, und das ist auch, was ich im postfix (/etc/mailname) verwende.
Ok. Ich kann hier demnach einen Fantasienamen angeben, aber nur für die *Sub*domain. Als Domain kommen nur die in Frage, die ich tatsächlich registriert habe?
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und
web.de (in
meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet,
dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver
zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht
auf
den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Viele Serveradmins (so auch United Internet mit gmx und web.de) verlangen, dass ein einliefernder MTA sich per HELO (oder EHLO) mit dem Namen vorstellt, auf den der PTR-Record für dessen IP zeigt. Zudem darf das laut Deines Link kein Name sein, der von Deinem Provider vorgegeben wird.
Ergo musst Du das so machen wie ich oben: Gibt Deinem Server einen Namen (ich würde hier keine Funktion implizieren, also nicht "mail" oder so).
Ok. Blöde Frage: kann ich in meinem Linux den Hostnamen des Servers ändern? D.h. ändern kann ich ihn natürlich, aber stört das nicht die "Findbarkeit"?
Den konfigurierst Du dann auch als mailname und trägst den als reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären. -> freenode/#flug.
Noch nicht, aber das lässt sich ja ändern ;-) Bin allerdings unterwegs und weiß nicht, wann ich mich wieder online gehen kann.
Gruß Urs
Liebe Grüße Uwe
Hallo Urs,
On Sat, Oct 07, 2017 at 09:26:55PM +0200, Urs Liska wrote:
Am 7. Oktober 2017 21:03:12 MESZ schrieb "Uwe Kleine-König" uwe@kleine-koenig.org:
Hallo,
On Fri, Oct 06, 2017 at 11:26:44PM +0200, Urs Liska wrote:
- Ich habe einen (Debian 9-) Root-Server, bei dem ich den größten
Teil
der DNS-Einträge selbst einstellen kann, allerdings nicht im
System
selbst, sondern in einem Web-Interface des Providers.
- Auf dem ist Postfix als MTA und Dovecot als IMAP-Server
installiert
(und weitgehend konfiguriert).
- Ich habe eine feste IP und einen festen Hostnamen. Einstellen kann ich:
- "myhostname" in Postfix
Soweit so gut.
- Reverse-DNS-Eintrag. Hier zeigt die (fest vorgegebene) IP-Adresse auf den FDQN des Servers, also den echten Hostnamen des Rechners. (Dieser ist eine Subdomain von startdedicated.de als einer großen Sammel-Domain des Providers)
Hier ist ein Konzept bei Dir falsch. Es gibt nicht *den* FQDN eines Hosts. Ich habe den reverse DNS-Namen meines Mailservers auf "arcturus.kleine-konig.org" zeigen, und das ist auch, was ich im postfix (/etc/mailname) verwende.
Ok. Ich kann hier demnach einen Fantasienamen angeben, aber nur für die *Sub*domain. Als Domain kommen nur die in Frage, die ich tatsächlich registriert habe?
Das kommt nur auf die Checks an, die da in der Webseite Deines Hosters implementiert sind. Theoretisch kannst Du da reinschreiben was Du willst, solange es sich an die Regeln eines Hostnamens hält. Sinnvoll ist aber nur, wenn Du was reinschreibst was sich andersrum auch wieder auf die IP auflöst.
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und
web.de (in
meinem archivierten Post und auf https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet,
dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver
zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht
auf
den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Viele Serveradmins (so auch United Internet mit gmx und web.de) verlangen, dass ein einliefernder MTA sich per HELO (oder EHLO) mit dem Namen vorstellt, auf den der PTR-Record für dessen IP zeigt. Zudem darf das laut Deines Link kein Name sein, der von Deinem Provider vorgegeben wird.
Ergo musst Du das so machen wie ich oben: Gibt Deinem Server einen Namen (ich würde hier keine Funktion implizieren, also nicht "mail" oder so).
Ok. Blöde Frage: kann ich in meinem Linux den Hostnamen des Servers ändern? D.h. ändern kann ich ihn natürlich, aber stört das nicht die "Findbarkeit"?
Richtig. Ein Server muss nicht wissen unter welchen Namen im DNS sich seine IP verbirgt. Und wenn Du den klausimausi.ursliska.de nennst und der Name nicht im DNS auftaucht, ist das auch egal bis Du als klausimausi eine Mail bei GMX oder so abliefern willst.
Den konfigurierst Du dann auch als mailname und trägst den als reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären. -> freenode/#flug.
Noch nicht, aber das lässt sich ja ändern ;-) Bin allerdings unterwegs und weiß nicht, wann ich mich wieder online gehen kann.
In der Regel idle ich da. Sprich mich einfach an, vielleicht triffst Du mich ja gerade online an.
Liebe Grüße Uwe
Am 08.10.2017 um 00:11 schrieb Uwe Kleine-König:
...
Ok. Blöde Frage: kann ich in meinem Linux den Hostnamen des Servers ändern? D.h. ändern kann ich ihn natürlich, aber stört das nicht die "Findbarkeit"?
Richtig. Ein Server muss nicht wissen unter welchen Namen im DNS sich seine IP verbirgt. Und wenn Du den klausimausi.ursliska.de nennst und der Name nicht im DNS auftaucht, ist das auch egal bis Du als klausimausi eine Mail bei GMX oder so abliefern willst.
Den konfigurierst Du dann auch als mailname und trägst den als reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären. -> freenode/#flug.
Noch nicht, aber das lässt sich ja ändern ;-) Bin allerdings unterwegs und weiß nicht, wann ich mich wieder online gehen kann.
In der Regel idle ich da. Sprich mich einfach an, vielleicht triffst Du mich ja gerade online an.
Bin grade auf dem Heimweg und werde mich demnächst wieder an die Sache machen. Bevor ich mcih auf die Suche nach dem IRC mache, habe ich es richtig verstanden, kann ich Folgendes machen:
* In /etc/hostname einen neuen, von meinen Domains abgedeckten Namen wie z.B. delta.ursliska.de eintragen * Diesen Namen als myhostname für Postfix eintragen * Prüfen, ob irgendwo sonst unter /etc noch der bisherige Hostname hartcodiert ist und ggfs. aktualisieren * Reverse-DNS-Eintrag für meine Server-IP auf diesen Namen setzen * Für diesen Namen einen A-Record eintragen, der auf die IP des Servers verweist * Diesen Namen auch als MX-Record für alle meine Domains eintragen * Server neustarten. Damit ggfs. warten, bis die DNS-Server aktualisiert worden sind.
Dann müsste ich mich wieder per SSH einloggen können, unter dem neuen Servernamen und zur Not über die IP, richtig?
Dafür hätte ich gerne eine Bestätigung, bevor ich mich aus meinem Server aussperre und eine Neuinstallation beauftragen muss ;-)
Gruß Urs
Hallo Urs,
On Mon, Oct 09, 2017 at 03:52:34PM +0200, Urs Liska wrote:
Bin grade auf dem Heimweg und werde mich demnächst wieder an die Sache machen. Bevor ich mcih auf die Suche nach dem IRC mache,
Am einfachsten:
http://webchat.freenode.net/?channels=%23flug
habe ich es richtig verstanden, kann ich Folgendes machen:
- In /etc/hostname einen neuen, von meinen Domains abgedeckten Namen wie z.B. delta.ursliska.de eintragen
- Diesen Namen als myhostname für Postfix eintragen
- Prüfen, ob irgendwo sonst unter /etc noch der bisherige Hostname hartcodiert ist und ggfs. aktualisieren
- Reverse-DNS-Eintrag für meine Server-IP auf diesen Namen setzen
- Für diesen Namen einen A-Record eintragen, der auf die IP des Servers verweist
AAAA-Record nicht vergessen :-)
- Diesen Namen auch als MX-Record für alle meine Domains eintragen
- Server neustarten. Damit ggfs. warten, bis die DNS-Server aktualisiert worden sind.
Server neustarten brauchst Du nicht. Am besten vor der Änderung schon die Lifetime der DNS-Daten runtersetzen, dann muss man nicht so lange warten.
Dann müsste ich mich wieder per SSH einloggen können, unter dem neuen Servernamen und zur Not über die IP, richtig?
Per IP kannst Du Dich immer einloggen, und da Dein Kind mehrere Namen haben kann, kannst Du Dich auch immer über orionXY.startdedicated.de verbinden.
Dafür hätte ich gerne eine Bestätigung, bevor ich mich aus meinem Server aussperre und eine Neuinstallation beauftragen muss ;-)
Solange Du die IP Deiner Maschine kennst und der sshd läuft, sperrst Du Dich nicht aus.
Liebe Grüße Uwe
So, ein Zwischenbericht: Ich habe jetzt erfolgreich den Hostnamen meines Servers geändert, alle DNS-Einträge geändert und erstmal eine Domain mit den korrekten Einstellungen für den Mailserver versehen. Interessanterweise kommen nach über einem Tag immer noch vereinzelte Mails am alten Server an, die TTL der DNS-Server scheinen also nicht unbedingt jeden zu interessieren ...
Das wesentliche Ergebnis ist erstmal, dass ich erfolgreich Mails an GMX- und hotmail-Adressen verschicken konnte, demnach habe ich wohl alles richtig gemacht. Die Detailarbeit kommt noch, derzeit rödelt offlineIMAP (das ich nebenbei auch noch "anpacken" musste (https://github.com/OfflineIMAP/offlineimap/blob/master/Changelog.md)) dabei, etliche GB an Mails vom alten auf den neuen Server zu ziehen.
Eine Frage ist dabei noch verblieben: MXToolbox (https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen eines DMARC-EIntrags für den Mailserver. Hat jemand dazu Erfahrungen oder eine Meinung, sollte ich das auch noch einrichten, bevor ich meinen Postfix in größerem Umfang auf die Öffentlichkeit loslasse? Ich denke, daran hängt noch etwas größerer Aufwand, da wohl zunächst noch ein DKIM-Server eingerichtet werden will. Außerdem habe ich gelesen, dass DMARC u.U. Probleme bei Mailinglisten verursachen kann. Wenn ich nämlich einen DMARC-Eintrag habe und der Server eines Empfängers diesen auswertet, würde der feststellen, dass die Mail von einem Server kommt (z.B. gnu.org), der eben *nicht* in meiner ursliska.de-Domain genannt ist. Das gleiche soll angeblich auch schon bei SPF-EInträgen passieren können.
Wie gesagt, weiß da jemand noch mehr zu?
Fürs erste auf jeden Fall mal schon herzlichen Dank für den Zuspruch bisher. Ich denke, ich bin auf einem guten Weg.
HG Urs
Am 10.10.2017 um 08:29 schrieb Uwe Kleine-König:
Hallo Urs,
On Mon, Oct 09, 2017 at 03:52:34PM +0200, Urs Liska wrote:
Bin grade auf dem Heimweg und werde mich demnächst wieder an die Sache machen. Bevor ich mcih auf die Suche nach dem IRC mache,
Am einfachsten:
http://webchat.freenode.net/?channels=%23flug
habe ich es richtig verstanden, kann ich Folgendes machen:
- In /etc/hostname einen neuen, von meinen Domains abgedeckten Namen wie z.B. delta.ursliska.de eintragen
- Diesen Namen als myhostname für Postfix eintragen
- Prüfen, ob irgendwo sonst unter /etc noch der bisherige Hostname hartcodiert ist und ggfs. aktualisieren
- Reverse-DNS-Eintrag für meine Server-IP auf diesen Namen setzen
- Für diesen Namen einen A-Record eintragen, der auf die IP des Servers verweist
AAAA-Record nicht vergessen :-)
- Diesen Namen auch als MX-Record für alle meine Domains eintragen
- Server neustarten. Damit ggfs. warten, bis die DNS-Server aktualisiert worden sind.
Server neustarten brauchst Du nicht. Am besten vor der Änderung schon die Lifetime der DNS-Daten runtersetzen, dann muss man nicht so lange warten.
Dann müsste ich mich wieder per SSH einloggen können, unter dem neuen Servernamen und zur Not über die IP, richtig?
Per IP kannst Du Dich immer einloggen, und da Dein Kind mehrere Namen haben kann, kannst Du Dich auch immer über orionXY.startdedicated.de verbinden.
Dafür hätte ich gerne eine Bestätigung, bevor ich mich aus meinem Server aussperre und eine Neuinstallation beauftragen muss ;-)
Solange Du die IP Deiner Maschine kennst und der sshd läuft, sperrst Du Dich nicht aus.
Liebe Grüße Uwe
Freiburger Linux User Group Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
Hallo Urs,
On Wed, Oct 11, 2017 at 05:35:55PM +0200, Urs Liska wrote:
So, ein Zwischenbericht: Ich habe jetzt erfolgreich den Hostnamen meines Servers geändert, alle DNS-Einträge geändert und erstmal eine Domain mit den korrekten Einstellungen für den Mailserver versehen. Interessanterweise kommen nach über einem Tag immer noch vereinzelte Mails am alten Server an, die TTL der DNS-Server scheinen also nicht unbedingt jeden zu interessieren ... Das wesentliche Ergebnis ist erstmal, dass ich erfolgreich Mails an GMX- und hotmail-Adressen verschicken konnte, demnach habe ich wohl alles richtig gemacht.
Jo, sieht gut aus. (Ausser dass Du keine IPv6-Adresse hast.)
Die Detailarbeit kommt noch, derzeit rödelt offlineIMAP (das ich nebenbei auch noch "anpacken" musste (https://github.com/OfflineIMAP/offlineimap/blob/master/Changelog.md)) dabei, etliche GB an Mails vom alten auf den neuen Server zu ziehen.
Eine Frage ist dabei noch verblieben: MXToolbox (https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen eines DMARC-EIntrags für den Mailserver. Hat jemand dazu Erfahrungen oder eine Meinung, sollte ich das auch noch einrichten, bevor ich meinen Postfix in größerem Umfang auf die Öffentlichkeit loslasse?
Ich mache weder DMARC noch DKIM noch SPF. Mails an GMX und Google kann ich trotzdem ausliefern.
Ich denke, daran hängt noch etwas größerer Aufwand, da wohl zunächst noch ein DKIM-Server eingerichtet werden will. Außerdem habe ich gelesen, dass DMARC u.U. Probleme bei Mailinglisten verursachen kann.
DMARC kenne ich nicht wirklich, aber ich habe auch schon Probleme mit DKIM gesehen: A schickt eine DKIM-signierte Mail an eine ML, ML ändert den Betreff um [$MLNAME] einzufügen und A lehnt das Ergebnis ab, weil die Signatur kaputt ist. (Man kann jetzt die Signatur entfernen, aber dann kommen bald die ersten, die die Mail ablehnen, weil Mails von A signiert sein müssen ...)
Wenn ich nämlich einen DMARC-Eintrag habe und der Server eines Empfängers diesen auswertet, würde der feststellen, dass die Mail von einem Server kommt (z.B. gnu.org), der eben *nicht* in meiner ursliska.de-Domain genannt ist. Das gleiche soll angeblich auch schon bei SPF-EInträgen passieren können.
Es kommt darauf an, welcher Absender hier herangezogen wird. Wenn es der Envelope-From ist, ist das kein Problem, weil Mailinglisten i.d.R. einen eigenen verwenden und nicht das Original. Bei Forwards hingegen wird das nicht umgeschrieben und somit geht das mit SPF kaputt.
Liebe Grüße Uwe
Am 12.10.2017 um 09:24 schrieb Uwe Kleine-König:
Hallo Urs,
On Wed, Oct 11, 2017 at 05:35:55PM +0200, Urs Liska wrote:
So, ein Zwischenbericht: Ich habe jetzt erfolgreich den Hostnamen meines Servers geändert, alle DNS-Einträge geändert und erstmal eine Domain mit den korrekten Einstellungen für den Mailserver versehen. Interessanterweise kommen nach über einem Tag immer noch vereinzelte Mails am alten Server an, die TTL der DNS-Server scheinen also nicht unbedingt jeden zu interessieren ... Das wesentliche Ergebnis ist erstmal, dass ich erfolgreich Mails an GMX- und hotmail-Adressen verschicken konnte, demnach habe ich wohl alles richtig gemacht.
Jo, sieht gut aus. (Ausser dass Du keine IPv6-Adresse hast.)
Wenn ich das richtig sehe, habe ich auch keine. Ich nehme an, das wäre eine Sache des Hosting-Vertrages - man hat doch nicht automatisch durch die IPv4 auch eine IPv6-Adresse, oder?
Die Detailarbeit kommt noch, derzeit rödelt offlineIMAP (das ich nebenbei auch noch "anpacken" musste (https://github.com/OfflineIMAP/offlineimap/blob/master/Changelog.md)) dabei, etliche GB an Mails vom alten auf den neuen Server zu ziehen.
Eine Frage ist dabei noch verblieben: MXToolbox (https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen eines DMARC-EIntrags für den Mailserver. Hat jemand dazu Erfahrungen oder eine Meinung, sollte ich das auch noch einrichten, bevor ich meinen Postfix in größerem Umfang auf die Öffentlichkeit loslasse?
Ich mache weder DMARC noch DKIM noch SPF. Mails an GMX und Google kann ich trotzdem ausliefern.
Ja, ich denke, mein Problem war nicht das *Fehlen* eines SPF-Eintrags (auch wenn ich gelesen habe, dass die großen Provider solche Mails tendenziell bevorzugen (es gilt aber auch, dass man keine Mails auf Grund des Fehlens von SPF ablehnen darf), sondern der Mismatch zwischen Postfix-Hostnamen und Reverse-DNS
Ich denke, daran hängt noch etwas größerer Aufwand, da wohl zunächst noch ein DKIM-Server eingerichtet werden will. Außerdem habe ich gelesen, dass DMARC u.U. Probleme bei Mailinglisten verursachen kann.
DMARC kenne ich nicht wirklich, aber ich habe auch schon Probleme mit DKIM gesehen: A schickt eine DKIM-signierte Mail an eine ML, ML ändert den Betreff um [$MLNAME] einzufügen und A lehnt das Ergebnis ab, weil die Signatur kaputt ist. (Man kann jetzt die Signatur entfernen, aber dann kommen bald die ersten, die die Mail ablehnen, weil Mails von A signiert sein müssen ...)
Wenn ich nämlich einen DMARC-Eintrag habe und der Server eines Empfängers diesen auswertet, würde der feststellen, dass die Mail von einem Server kommt (z.B. gnu.org), der eben *nicht* in meiner ursliska.de-Domain genannt ist. Das gleiche soll angeblich auch schon bei SPF-EInträgen passieren können.
Es kommt darauf an, welcher Absender hier herangezogen wird. Wenn es der Envelope-From ist, ist das kein Problem, weil Mailinglisten i.d.R. einen eigenen verwenden und nicht das Original. Bei Forwards hingegen wird das nicht umgeschrieben und somit geht das mit SPF kaputt.
In dem Artikel, den ich gelesen habe, stand, dass man auf diese Weise sogar dafür sorgen kann, dass *andere* Mailinglisten-Nutzer zwangsabgemeldet werden. Wenn nämlich deren Provider die Mail ablehnt, geht sie als Bounce zurück an die ML, die dann irgendwann allergisch reagiert ... Der Vorwurf an SPF und DMARC lautet demnach auch, dass diese die Mailinglisten zwingen würden, die Mails umzuschreiben.
Ich warte mal ab, ob mit dem SPF-Eintrag irgendwelche Probleme auftauchen und lasse das mit DMARC erstmal.
Vielen Dank und herzliche Grüße Urs
Liebe Grüße Uwe
Freiburger Linux User Group Mail an die Liste: flug@lug-freiburg.de Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
Hallo Urs,
On 10/12/2017 09:41 AM, Urs Liska wrote:
Ich warte mal ab, ob mit dem SPF-Eintrag irgendwelche Probleme auftauchen und lasse das mit DMARC erstmal.
Du hast konfiguriert:
v=spf1 ip4:85.25.3.15 ip4:85.25.93.165 -all
d.h., wenn jemand eine Mail von *@ursliska.de bekommt und die nicht von einer der beiden legacy-IPs oben kommt, soll er die kommentarlos wegwerfen.
Das wird z.B. passieren, wenn Du eine Mail an info@handwerkerdeinesvertrauens.de schickst, und der Mailserver für handwerkerdeinesvertrauens.de leitet das weiter an kalle@gmx.de, weil das die Adresse ist, die Dein Klempner liest. Der GMX-Mailserver schmeißt Deine Mail dann weg, weil sie von dir@ursliska kommt, aber vom MX der Domain handwerkerdeinesvertrauens.de eingeliefert wird. Du bekommst dann u.U. keine Rückmeldung darüber, dass Kalle Deine Mail nicht gekriegt hat.
Liebe Grüße Uwe
Hallo,
On 10/11/2017 05:35 PM, Urs Liska wrote:
Eine Frage ist dabei noch verblieben: MXToolbox (https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen eines DMARC-EIntrags für den Mailserver.
Wenn Du noch anderen automatischen Analysen nachgehen willst:
http://dnsviz.net/d/ursliska.de/dnssec/
hat noch ein paar Warnungen à la:
ursliska.de/A: The server responded with no OPT record, rather than with RCODE FORMERR. (217.172.161.234, 217.172.162.55, UDP_0_EDNS0_32768_4096)
Ich verstehe die allerdings nicht, und vermutlich ist das ein Problem der Nameserver Deines Providers.
Liebe Grüße Uwe
-
Ralf Mattes -
Urs Liska -
Uwe Kleine-König