6 Oct
2017
6 Oct
'17
11:26 p.m.
Hallo zusammen,
vor langer Zeit habe ich das Thema schon mal aufgebracht (beginnend mit
https://lug-freiburg.de/mailman/pipermail/flug/2017-March/002711.html)
und auch schon eine ganze Reihe von Antworten von euch bekommen - leider
ohne mit dem Problem dann letztlich zu Rande zu kommen. Kurz gesagt ging
es darum, meinen Mailserver so einzurichten, dass er von bestimmten
Gegenstellen auch akzeptiert wird.
Jetzt habe ich mich aus einer Reihe von (zugegebenermaßen teilweise
fragwürdigen) Gründen entschlossen, auf einen neuen Server umzusteigen
und Einiges diesmal richtig(er) anzugehen. Mit das WIchtigste dabei ist
allerdings tatsächlich die korrekte Einrichtung des Mailservers. Und
nach mehreren Tagen des Lesens und Verstehensversuchen muss ich doch bei
euch nachfragen, bevor ich einen ersten "live"-Versuch starte. Ich
bekomme immer noch nicht ausreichend klar die Abhängigkeiten und
Verhältnisse der verschiedenen Einträge im DNS-System in meinen Kopf rein.
Ausgangspunkt:
* Ich habe einen (Debian 9-) Root-Server, bei dem ich den größten Teil
der DNS-Einträge selbst einstellen kann, allerdings nicht im System
selbst, sondern in einem Web-Interface des Providers.
* Auf dem ist Postfix als MTA und Dovecot als IMAP-Server installiert
(und weitgehend konfiguriert).
* Ich habe eine feste IP und einen festen Hostnamen.
Einstellen kann ich:
* "myhostname" in Postfix
* Reverse-DNS-Eintrag. Hier zeigt die (fest vorgegebene) IP-Adresse
auf den FDQN des Servers, also den echten Hostnamen des Rechners.
(Dieser ist eine Subdomain von startdedicated.de als einer großen
Sammel-Domain des Providers)
* Für jede Domain separat den MX-Record, der standardmäßig auf den
Servernamen zeigt
* (für jede Domain beliebig viele Einträge der Typen A, CNAME, MX, NS,
SRV, TXT (wobei zwei NS-Einträge bereits fest vorgegeben sind).
Da ein Problem bei meinem letzten/bisherigen Server eine Inkonsistenz
bei der Zuordnung von Postfix-Hostname, realem Hostnamen und IP (bzw.
dem Reverse-DNS) gewesen zu sein schient, wollte ich zunächst meinen
Mailserver ganz defensiv unter dem echten Hostnamen annoncieren. Das
geht aber wohl nicht, da Let's Encrypt sich geweigert hat, ein
Zertifikat für NNN.startdedicated.de zu erstellen, weil davon zu viele
ausgestellt worden sind. Ich muss also doch so etwas wie
mail.ursliska.de einrichten, da ich kein selbst-signiertes Zertifikat
mehr nehmen will (da sich die Mail-Clients doch ziemlich zieren, das zu
akzeptieren).
Soweit ich sehen kann, müsste ich nun
* für Postfix dieses mail.ursliska.de als $myhostname eintragen
* mail.ursliska als MX-Record für jede Domain anlegen
Allerdings ist der MX-Record ja (wenn ich es recht verstehe) nur dazu
da, dass Server, die eine Mail *an* eine Domain verschicken, wissen, wo
der zuständige Server zu finden ist.
Soweit ich gelesen habe, sollte der Postfix-Hostname völlig unabhängig
vom Hostnamen des Servers sein, also ohne weiteres mail.ursliska.de auf
einem NNN.startdedicated.de-Server zulassn.
Was ich nicht verstehe, ist, dass die Fehlermeldung von GMX und web.de
(in meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er
verweist nicht auf den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Ich muss zugeben, dass ich das Ganze mit jeder Denk-Iteration weniger
verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin,
auch in Postfix den original-Servernamen zu verwenden, damit der
Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des
Providers schreiben kann, müsste ich tatsächlich noch etwas genauer
verstehen, was da eigentlich das Problem ist.
Ich wäre für jeden, auch kleinen (aber konkreten und zielführenden)
Hinweis dankbar.
Herzliche Grüße
Urs
--
ul(a)openlilylib.org
https://openlilylib.org
http://lilypondblog.org
7 Oct
7 Oct
12:05 a.m.
New subject: [Flug] ?==?utf-8?q? Mailserver DNS-Einträge
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska <ul(a)openlilylib.org> schrieb:
....
Was ich nicht verstehe, ist, dass die Fehlermeldung
von GMX und web.de
(in meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er
verweist nicht auf den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen".
Wichtig ist zu vertehen dass ein MX-Eintrag, soll er Standardkonform sein, _nicht_ auf
einen CNAME-Eintrag
(also einen "Alias") zeigen soll sondern auf den A-Eintrag ...
das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn
der MX auf einen
CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup
machen um
an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Ich muss zugeben, dass ich das Ganze mit jeder
Denk-Iteration weniger
verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin,
auch in Postfix den original-Servernamen zu verwenden, damit der
Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des
Providers schreiben kann, müsste ich tatsächlich noch etwas genauer
verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten das
aber als
Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich
hilft es für Deinen
Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja
selbst einrichten kannst).
Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain
zuständig ist.
Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine
Domain _keinen_
SPF-Eintrag gibt.
HTH & Gruss RalfD
1:30 a.m.
New subject: [Flug] ?==?utf-8?q? Mailserver DNS-Einträge
Hallo Urs,
noch ein kleiner Nachtrag:
Nein, das mit den Reverse-Einträgen sollte nicht zwingend sein (manche Provider bieten
das aber als
Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Wahrscheinlich ist das eher eine der vielen Spam-Bremsen bei Providern. Wahrscheilich
hilft es für Deinen
Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja
selbst einrichten kannst).
Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain
zuständig ist.
Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine
Domain _keinen_
SPF-Eintrag gibt.
Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag hast. Da sollte es eigentlich keine
Probleme geben.
Sehen auch andere so:
https://mxtoolbox.com/domain/openlilylib.org/
Gruss RalfD
HTH & Gruss RalfD
4:37 p.m.
Am 07.10.2017 um 00:05 schrieb Ralf Mattes:
Also, ich habe einen Server mit eigener IP gemietet, einen Root-Server, ja.
Im Web-Interface des Providers kann ich einen beliebigen
Reverse-DNS-Eintrag zu der IP vergeben. Der zeigt vorgegeben (und sicher
richtig) auf den Hostnamen des Servers.
Am Freitag, 06. Oktober 2017 23:26 CEST, Urs Liska <ul(a)openlilylib.org> schrieb:
....
Was dann? "myhostname" ist der Name, mit dem der Server sich gegenüber
anderen Servern identifiziert, etwa beim HELO
http://www.postfix.org/postconf.5.html#myhostname
Der Fehler (siehe LInk oben) deutet darauf hin, dass der PTR-RR nicht
korrekt auf den Mailserver zurückführt. Und wenn ich das richtig
verstehe, ist das auch klar, denn wenn ich in Postfix z.B.
mail.ursliska.de einstelle, wird der Reverse-DNS-Eintrag trotzdem auf
XXX.startdedicated.de zurückverweisen.
Heißt das, dass manche großen Provider verlangen, dass sich der
Mailserver mit dem echten Servernamen vorstellt? Das kann doch
eigentlich fast nicht sein - wie ist es denn, wenn ich als ISP auf einem
Server mehrere Mailserver laufen lasse?
Was ich nicht verstehe, ist, dass die
Fehlermeldung von GMX und web.de
(in meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet, dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den
Mailserver zurückverweist. Aber das tut er ja auch nicht, denn er
verweist nicht auf den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Dein Postfix-Server hat keinen "Hostnamen". Wichtig ist zu vertehen dass ein MX-Eintrag, soll er
Standardkonform sein, _nicht_ auf einen CNAME-Eintrag
(also einen "Alias") zeigen soll sondern auf den A-Eintrag ...
das betrifft erst einmal noch nicht den Reverse-Lookup (Hintergrund und Rationale: wenn
der MX auf einen
CNAME-Eintrag verweist dann muss der versendende Server noch einen weiteren DNS-Lookup
machen um
an die IP-Adresse des Empfängers zu kommen. Grosse Provider finden sowas uncool ... ;-)
Wenn ich es richtig verstehe, wird der MX-Eintrag auch nur dafür
verwendet, den Server zu finden, wenn eine Mail *an* mich geschickt
werden soll. Also: Mail-Adresse irgendwas(a)ursliska.de, dann wird aus dem
MX-Record für ursliska.de entnommen, bei welchem Mailserver man sich
anmelden muss. Hier könnte ja problemlos ein virtueller Servername, der
echte Hostname oder auch die IP stehen, nicht?
Wenn ich den Mailserver als Subdomain einer "echten" Domain laufen
lasse, brauche ich aber einen extra A-Record für diese Subdomain, ja?
Der Eintrag mit Subdomain "*" reicht nicht?
Ich muss zugeben, dass ich das Ganze mit jeder
Denk-Iteration weniger
verstehe. Es kann doch eigentlich nicht sein, dass ich gezwungen bin,
auch in Postfix den original-Servernamen zu verwenden, damit der
Revers-DNS-Eintrag übereinstimmt, oder? Bevor ich hier dem Support des
Providers schreiben kann, müsste ich tatsächlich noch etwas genauer
verstehen, was da eigentlich das Problem ist.
Nein, das mit den Reverse-Einträgen
sollte nicht zwingend sein (manche Provider bieten das aber als
Service an - so das überhaupt geht. Dazu braucht man ja einen "Root"-Server).
Wahrscheinlich ist das eher eine der vielen
Spam-Bremsen bei Providern. Wahrscheilich hilft es für Deinen
Mailserver zumindest einen SPF-Eintrag zu erstellen (das ist ein TXT-Eintrag den Du ja
selbst einrichten kannst).
Dann kann der Empfänger im DNS nachsehen ob der Versender überhaupt für eine Domain
zuständig ist.
Ich könnte mir vorstellen das GMX et al. einen Reverse Lookup machen wenn's für eine
Domain _keinen_
SPF-Eintrag gibt.
Laut https://postmaster.gmx.net/de/best-practice prüft GMX einen
vorhandenen SPF-Eintrag (scheint ihn aber nicht zu fordern) *und*
verlangt einen korrekten PTR-RR.
Klar, das geht nochmal zurück zu dem, was ich oben geschrieben habe,
aber wenn ich es nicht falsch verstehe, erwartet GMX, dass der
Reverse-Record meiner IP-Adresse auf den Namen verweist, den Postfix
beim HELO angibt. Wenn das stimmt, habe ich zwei Möglichkeiten:
* Verwende in Postfix den echten Servernamen als myhostname
* Verwende in Postfix einen virtuellen Namen wie mail.ursliska.de und
setze den Reverse-DNS-Eintrag auf diesen. Zusätzlich muss es dann
für mail.ursliska.de einen A-Record geben, der korrekt auf die IP
auflöst.
Die erste Lösung scheint ungeeignet, weil ich erstens für diesen Server
kein echtes LetsEncrypt-Zertifikat bekomme, und weil ich mit
startdedicated.de als Domain wohl auch Gefahr laufe, bei einigen
Prüfungen abgelehnt zu werden.
Die zweite Lösung dagegen dürfte die Mail-Prüfung zufrieden stellen.
Aber dann habe ich ja einen Reverse-DNS-Eintrag, der nur für den
Mailserver korrekt ist. Der Reverse-Eintrag sollte doch auf den Server
"als solchen" zeigen und nicht auf eine beliebige darauf gehostete
Domain, oder nicht?
HTH & Gruss RalfD
Sorry, ich sehe gerade dass Du ja einen SPF-Eintrag
hast. Da sollte es eigentlich keine Probleme geben.
Sehen auch andere so:
https://mxtoolbox.com/domain/openlilylib.org/
Hm. Aber genau dieser Check beschwert sich unter der Kategorie
Mailserver doch über das Fehlen eines DNS-Eintrags. Oder verstehe ich
das falsch und DMARC ist nochmal eine ganz andere Baustelle?
Diesen SPF-Eintrag hatte ich noch nicht, als das Problem ursprünglich
auftrat, das spätere Hinzufügen hat aber nichts mehr geändert.
Ich habe es jetzt auch nochmal auf meinem (alten) Server probiert mit
ganz sorgfältigen Einstellungen:
Postfix-myhostname mail.openlilylib.org
SFP-Eintrag in allen Domains
MX-Record auf mail.openlilylib.org (ist beim Versenden aber egal)
Reverse-Eintrag auf den echten Host.
Eine Mail an meine GMail-Adresse kam an (GMail hatte bisher aber auch
kein Problem gemacht), und in den Headern stehen mehrere Hinweise auf
eine erfolgreiche SPF-Kontrolle sowie
Received: from mail.openlilylib.org (orion2208.startdedicated.de. [85.25.93.165])
was auf eine korrekte Auflösung des Mail-Servernamens auf den Host und
die IP hindeutet.
Ein Versuch, eine Mail an Web.de zu schicken, scheint aber gescheitert
zu sein, zumindest habe ich sie noch nicht erhalten.
Ich würde ja sonst einfach auf dem neuen Server rumprobieren, aber nach
den bisherigen Erfahrungen würde ich es doch start bevorzugen, wenn der
erste Kontakt mit dem Netz gleich "richtig" laufen würde, um nicht
gleich von vornherein wieder in irgendwelchen Block-Listen zu landen.
Herzliche Grüße
Urs
_______________________________________________
Freiburger Linux User Group
Mail an die Liste: flug(a)lug-freiburg.de
Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
--
ul(a)openlilylib.org
https://openlilylib.org
http://lilypondblog.org
9:03 p.m.
Hallo,
On Fri, Oct 06, 2017 at 11:26:44PM +0200, Urs Liska wrote:
* Ich habe einen (Debian 9-) Root-Server, bei dem ich
den größten Teil
der DNS-Einträge selbst einstellen kann, allerdings nicht im System
selbst, sondern in einem Web-Interface des Providers.
* Auf dem ist Postfix als MTA und Dovecot als IMAP-Server installiert
(und weitgehend konfiguriert).
* Ich habe eine feste IP und einen festen Hostnamen.
Einstellen kann ich:
* "myhostname" in Postfix
Soweit so gut.
* Reverse-DNS-Eintrag. Hier zeigt die (fest
vorgegebene) IP-Adresse
auf den FDQN des Servers, also den echten Hostnamen des Rechners.
(Dieser ist eine Subdomain von startdedicated.de als einer großen
Sammel-Domain des Providers)
Hier ist ein Konzept bei Dir falsch. Es gibt nicht *den* FQDN eines
Hosts. Ich habe den reverse DNS-Namen meines Mailservers auf
"arcturus.kleine-konig.org" zeigen, und das ist auch, was ich im postfix
(/etc/mailname) verwende.
Was ich nicht verstehe, ist, dass die Fehlermeldung
von GMX und web.de (in
meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf hindeutet,
dass der PTR-RR (Reverse-DNS-Eintrag) nicht korrekt auf den Mailserver
zurückverweist. Aber das tut er ja auch nicht, denn er verweist nicht auf
den Hostnamen des Postfix-, sondern auf den des Linux-Servers.
Viele Serveradmins (so auch United Internet mit gmx und web.de)
verlangen, dass ein einliefernder MTA sich per HELO (oder EHLO) mit dem
Namen vorstellt, auf den der PTR-Record für dessen IP zeigt. Zudem darf
das laut Deines Link kein Name sein, der von Deinem Provider vorgegeben
wird.
Ergo musst Du das so machen wie ich oben: Gibt Deinem Server einen Namen
(ich würde hier keine Funktion implizieren, also nicht "mail" oder so).
Den konfigurierst Du dann auch als mailname und trägst den als
reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären.
-> freenode/#flug.
Liebe Grüße
Uwe
9:26 p.m.
Am 7. Oktober 2017 21:03:12 MESZ schrieb "Uwe Kleine-König"
<uwe(a)kleine-koenig.org>rg>:
Ok.
Blöde Frage: kann ich in meinem Linux den Hostnamen des Servers ändern? D.h. ändern kann
ich ihn natürlich, aber stört das nicht die "Findbarkeit"?
Hallo,
On Fri, Oct 06, 2017 at 11:26:44PM +0200, Urs Liska wrote:
Ok.
Ich kann hier demnach einen Fantasienamen angeben, aber nur für die *Sub*domain. Als
Domain kommen nur die in Frage, die ich tatsächlich registriert habe?
* Ich habe einen (Debian 9-) Root-Server, bei
dem ich den größten
Teil
der DNS-Einträge selbst einstellen kann,
allerdings nicht im
System
selbst, sondern in einem Web-Interface des
Providers.
* Auf dem ist Postfix als MTA und Dovecot als IMAP-Server
installiert
(und weitgehend konfiguriert).
* Ich habe eine feste IP und einen festen Hostnamen.
Einstellen kann ich:
* "myhostname" in Postfix
Soweit so gut.
* Reverse-DNS-Eintrag. Hier zeigt die (fest
vorgegebene) IP-Adresse
auf den FDQN des Servers, also den echten Hostnamen des Rechners.
(Dieser ist eine Subdomain von startdedicated.de als einer großen
Sammel-Domain des Providers)
Hier ist ein Konzept bei Dir falsch. Es gibt nicht *den* FQDN eines
Hosts. Ich habe den reverse DNS-Namen meines Mailservers auf
"arcturus.kleine-konig.org" zeigen, und das ist auch, was ich im
postfix
(/etc/mailname) verwende. Was ich nicht verstehe, ist, dass die
Fehlermeldung von GMX und
web.de (in
meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet,
dass der PTR-RR (Reverse-DNS-Eintrag) nicht
korrekt auf den
Mailserver
zurückverweist. Aber das tut er ja auch nicht,
denn er verweist nicht
auf
den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Viele Serveradmins (so auch United Internet mit gmx und web.de)
verlangen, dass ein einliefernder MTA sich per HELO (oder EHLO) mit dem
Namen vorstellt, auf den der PTR-Record für dessen IP zeigt. Zudem darf
das laut Deines Link kein Name sein, der von Deinem Provider vorgegeben
wird.
Ergo musst Du das so machen wie ich oben: Gibt Deinem Server einen
Namen
(ich würde hier keine Funktion implizieren, also nicht "mail" oder so). Den konfigurierst Du dann auch als mailname und trägst
den als
reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären.
-> freenode/#flug.
Noch nicht, aber das lässt sich ja ändern ;-)
Bin allerdings unterwegs und weiß nicht, wann ich mich wieder online gehen kann.
Gruß
Urs
Liebe Grüße
Uwe
8 Oct
8 Oct
12:11 a.m.
Hallo Urs,
On Sat, Oct 07, 2017 at 09:26:55PM +0200, Urs Liska wrote:
Ok.
Blöde Frage: kann ich in meinem Linux den Hostnamen des Servers
ändern? D.h. ändern kann ich ihn natürlich, aber stört das nicht die
"Findbarkeit"?
Richtig. Ein Server muss nicht wissen unter welchen Namen im DNS sich
seine IP verbirgt. Und wenn Du den klausimausi.ursliska.de nennst und
der Name nicht im DNS auftaucht, ist das auch egal bis Du als
klausimausi eine Mail bei GMX oder so abliefern willst.
In der Regel idle ich da. Sprich mich einfach an, vielleicht triffst Du
mich ja gerade online an.
Liebe Grüße
Uwe
Am 7. Oktober 2017 21:03:12 MESZ schrieb "Uwe
Kleine-König" <uwe(a)kleine-koenig.org>rg>:
Das kommt nur auf die Checks an, die da in der Webseite Deines Hosters
implementiert sind. Theoretisch kannst Du da reinschreiben was Du
willst, solange es sich an die Regeln eines Hostnamens hält. Sinnvoll
ist aber nur, wenn Du was reinschreibst was sich andersrum auch wieder
auf die IP auflöst.
Hallo,
On Fri, Oct 06, 2017 at 11:26:44PM +0200, Urs Liska wrote:
Ok.
Ich kann hier demnach einen Fantasienamen angeben, aber nur für die
*Sub*domain. Als Domain kommen nur die in Frage, die ich tatsächlich
registriert habe? * Ich habe einen (Debian 9-) Root-Server, bei
dem ich den größten
Teil
der DNS-Einträge selbst einstellen kann,
allerdings nicht im
System
selbst, sondern in einem Web-Interface des
Providers.
* Auf dem ist Postfix als MTA und Dovecot als IMAP-Server
installiert
(und weitgehend konfiguriert).
* Ich habe eine feste IP und einen festen Hostnamen.
Einstellen kann ich:
* "myhostname" in Postfix
Soweit so gut.
* Reverse-DNS-Eintrag. Hier zeigt die (fest
vorgegebene) IP-Adresse
auf den FDQN des Servers, also den echten Hostnamen des Rechners.
(Dieser ist eine Subdomain von startdedicated.de als einer großen
Sammel-Domain des Providers)
Hier ist ein Konzept bei Dir falsch. Es gibt nicht *den* FQDN eines
Hosts. Ich habe den reverse DNS-Namen meines Mailservers auf
"arcturus.kleine-konig.org" zeigen, und das ist auch, was ich im
postfix
(/etc/mailname) verwende. Was ich nicht verstehe, ist, dass die Fehlermeldung
von GMX und
web.de (in
meinem archivierten Post und auf
https://postmaster.gmx.com/en/error-messages?rdns#rdns) darauf
hindeutet,
dass der PTR-RR (Reverse-DNS-Eintrag) nicht
korrekt auf den
Mailserver
zurückverweist. Aber das tut er ja auch nicht,
denn er verweist nicht
auf
den Hostnamen des Postfix-, sondern auf den des
Linux-Servers.
Viele Serveradmins (so auch United Internet mit gmx und web.de)
verlangen, dass ein einliefernder MTA sich per HELO (oder EHLO) mit dem
Namen vorstellt, auf den der PTR-Record für dessen IP zeigt. Zudem darf
das laut Deines Link kein Name sein, der von Deinem Provider vorgegeben
wird.
Ergo musst Du das so machen wie ich oben: Gibt Deinem Server einen
Namen
(ich würde hier keine Funktion implizieren, also nicht "mail" oder so). Den
konfigurierst Du dann auch als mailname und trägst den als
reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären.
-> freenode/#flug.
Noch nicht, aber das lässt sich ja ändern ;-)
Bin allerdings unterwegs und weiß nicht, wann ich mich wieder online gehen kann.
9 Oct
9 Oct
3:52 p.m.
Am 08.10.2017 um 00:11 schrieb Uwe Kleine-König:
...
In der Regel idle ich da. Sprich mich einfach an, vielleicht triffst Du
mich ja gerade online an.
Bin grade auf dem Heimweg und werde mich demnächst wieder an die Sache
machen. Bevor ich mcih auf die Suche nach dem IRC mache, habe ich es
richtig verstanden, kann ich Folgendes machen:
* In /etc/hostname einen neuen, von meinen Domains abgedeckten Namen
wie z.B. delta.ursliska.de eintragen
* Diesen Namen als myhostname für Postfix eintragen
* Prüfen, ob irgendwo sonst unter /etc noch der bisherige Hostname
hartcodiert ist und ggfs. aktualisieren
* Reverse-DNS-Eintrag für meine Server-IP auf diesen Namen setzen
* Für diesen Namen einen A-Record eintragen, der auf die IP des
Servers verweist
* Diesen Namen auch als MX-Record für alle meine Domains eintragen
* Server neustarten. Damit ggfs. warten, bis die DNS-Server
aktualisiert worden sind.
Dann müsste ich mich wieder per SSH einloggen können, unter dem neuen
Servernamen und zur Not über die IP, richtig?
Dafür hätte ich gerne eine Bestätigung, bevor ich mich aus meinem Server
aussperre und eine Neuinstallation beauftragen muss ;-)
Gruß
Urs
Ok.
Blöde Frage: kann ich in meinem Linux den Hostnamen des Servers
ändern? D.h. ändern kann ich ihn natürlich, aber stört das nicht die
"Findbarkeit"?
Richtig. Ein Server muss nicht wissen unter welchen Namen
im DNS sich
seine IP verbirgt. Und wenn Du den klausimausi.ursliska.de nennst und
der Name nicht im DNS auftaucht, ist das auch egal bis Du als
klausimausi eine Mail bei GMX oder so abliefern willst.
Den
konfigurierst Du dann auch als mailname und trägst den als
reverse-DNS für Deine IP ein.
Verwendest Du irc? Vielleicht kann man das leichter "live" klären.
-> freenode/#flug.
Noch nicht, aber das lässt sich ja ändern ;-)
Bin allerdings unterwegs und weiß nicht, wann ich mich wieder online gehen kann.
10 Oct
10 Oct
8:29 a.m.
Hallo Urs,
On Mon, Oct 09, 2017 at 03:52:34PM +0200, Urs Liska wrote:
Bin grade auf dem Heimweg und werde mich demnächst
wieder an die Sache
machen. Bevor ich mcih auf die Suche nach dem IRC mache,
Am einfachsten:
http://webchat.freenode.net/?channels=%23flug
habe ich es richtig verstanden, kann ich Folgendes
machen:
* In /etc/hostname einen neuen, von meinen Domains abgedeckten Namen
wie z.B. delta.ursliska.de eintragen
* Diesen Namen als myhostname für Postfix eintragen
* Prüfen, ob irgendwo sonst unter /etc noch der bisherige Hostname
hartcodiert ist und ggfs. aktualisieren
* Reverse-DNS-Eintrag für meine Server-IP auf diesen Namen setzen
* Für diesen Namen einen A-Record eintragen, der auf die IP des
Servers verweist
AAAA-Record nicht vergessen :-)
* Diesen Namen auch als MX-Record für alle meine
Domains eintragen
* Server neustarten. Damit ggfs. warten, bis die DNS-Server
aktualisiert worden sind.
Server neustarten brauchst Du nicht. Am besten vor der Änderung schon
die Lifetime der DNS-Daten runtersetzen, dann muss man nicht so lange
warten.
Dann müsste ich mich wieder per SSH einloggen können,
unter dem neuen
Servernamen und zur Not über die IP, richtig?
Per IP kannst Du Dich immer einloggen, und da Dein Kind mehrere Namen
haben kann, kannst Du Dich auch immer über orionXY.startdedicated.de
verbinden.
Dafür hätte ich gerne eine Bestätigung, bevor ich mich
aus meinem Server
aussperre und eine Neuinstallation beauftragen muss ;-)
Solange Du die IP Deiner Maschine kennst und der sshd läuft, sperrst Du
Dich nicht aus.
Liebe Grüße
Uwe
11 Oct
11 Oct
5:35 p.m.
So, ein Zwischenbericht: Ich habe jetzt erfolgreich den Hostnamen meines
Servers geändert, alle DNS-Einträge geändert und erstmal eine Domain mit
den korrekten Einstellungen für den Mailserver versehen.
Interessanterweise kommen nach über einem Tag immer noch vereinzelte
Mails am alten Server an, die TTL der DNS-Server scheinen also nicht
unbedingt jeden zu interessieren ...
Das wesentliche Ergebnis ist erstmal, dass ich erfolgreich Mails an GMX-
und hotmail-Adressen verschicken konnte, demnach habe ich wohl alles
richtig gemacht. Die Detailarbeit kommt noch, derzeit rödelt offlineIMAP
(das ich nebenbei auch noch "anpacken" musste
(https://github.com/OfflineIMAP/offlineimap/blob/master/Changelog.md))
dabei, etliche GB an Mails vom alten auf den neuen Server zu ziehen.
Eine Frage ist dabei noch verblieben: MXToolbox
(https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen
eines DMARC-EIntrags für den Mailserver. Hat jemand dazu Erfahrungen
oder eine Meinung, sollte ich das auch noch einrichten, bevor ich meinen
Postfix in größerem Umfang auf die Öffentlichkeit loslasse? Ich denke,
daran hängt noch etwas größerer Aufwand, da wohl zunächst noch ein
DKIM-Server eingerichtet werden will. Außerdem habe ich gelesen, dass
DMARC u.U. Probleme bei Mailinglisten verursachen kann. Wenn ich nämlich
einen DMARC-Eintrag habe und der Server eines Empfängers diesen
auswertet, würde der feststellen, dass die Mail von einem Server kommt
(z.B. gnu.org), der eben *nicht* in meiner ursliska.de-Domain genannt
ist. Das gleiche soll angeblich auch schon bei SPF-EInträgen passieren
können.
Wie gesagt, weiß da jemand noch mehr zu?
Fürs erste auf jeden Fall mal schon herzlichen Dank für den Zuspruch
bisher. Ich denke, ich bin auf einem guten Weg.
HG
Urs
Am 10.10.2017 um 08:29 schrieb Uwe Kleine-König:
Hallo Urs,
On Mon, Oct 09, 2017 at 03:52:34PM +0200, Urs Liska wrote:
--
ul(a)openlilylib.org
https://openlilylib.org
http://lilypondblog.org
Bin grade auf dem Heimweg und werde mich
demnächst wieder an die Sache
machen. Bevor ich mcih auf die Suche nach dem IRC mache,
Am einfachsten:
http://webchat.freenode.net/?channels=%23flug
habe ich es richtig verstanden, kann ich
Folgendes machen:
* In /etc/hostname einen neuen, von meinen Domains abgedeckten Namen
wie z.B. delta.ursliska.de eintragen
* Diesen Namen als myhostname für Postfix eintragen
* Prüfen, ob irgendwo sonst unter /etc noch der bisherige Hostname
hartcodiert ist und ggfs. aktualisieren
* Reverse-DNS-Eintrag für meine Server-IP auf diesen Namen setzen
* Für diesen Namen einen A-Record eintragen, der auf die IP des
Servers verweist
AAAA-Record nicht vergessen :-)
* Diesen Namen auch als MX-Record für alle
meine Domains eintragen
* Server neustarten. Damit ggfs. warten, bis die DNS-Server
aktualisiert worden sind.
Server neustarten brauchst Du nicht. Am besten vor
der Änderung schon
die Lifetime der DNS-Daten runtersetzen, dann muss man nicht so lange
warten.
Dann müsste ich mich wieder per SSH einloggen
können, unter dem neuen
Servernamen und zur Not über die IP, richtig?
Per IP kannst Du Dich immer
einloggen, und da Dein Kind mehrere Namen
haben kann, kannst Du Dich auch immer über orionXY.startdedicated.de
verbinden.
Dafür hätte ich gerne eine Bestätigung, bevor ich
mich aus meinem Server
aussperre und eine Neuinstallation beauftragen muss ;-)
Solange Du die IP Deiner
Maschine kennst und der sshd läuft, sperrst Du
Dich nicht aus.
Liebe Grüße
Uwe
_______________________________________________
Freiburger Linux User Group
Mail an die Liste: flug(a)lug-freiburg.de
Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
12 Oct
12 Oct
9:24 a.m.
Hallo Urs,
On Wed, Oct 11, 2017 at 05:35:55PM +0200, Urs Liska wrote:
So, ein Zwischenbericht: Ich habe jetzt erfolgreich
den Hostnamen meines
Servers geändert, alle DNS-Einträge geändert und erstmal eine Domain mit den
korrekten Einstellungen für den Mailserver versehen. Interessanterweise
kommen nach über einem Tag immer noch vereinzelte Mails am alten Server an,
die TTL der DNS-Server scheinen also nicht unbedingt jeden zu interessieren
...
Das wesentliche Ergebnis ist erstmal, dass ich erfolgreich Mails an GMX- und
hotmail-Adressen verschicken konnte, demnach habe ich wohl alles richtig
gemacht.
Jo, sieht gut aus. (Ausser dass Du keine IPv6-Adresse hast.)
Die Detailarbeit kommt noch, derzeit rödelt
offlineIMAP (das ich
nebenbei auch noch "anpacken" musste
(https://github.com/OfflineIMAP/offlineimap/blob/master/Changelog.md))
dabei, etliche GB an Mails vom alten auf den neuen Server zu ziehen.
Eine Frage ist dabei noch verblieben: MXToolbox
(https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen eines
DMARC-EIntrags für den Mailserver. Hat jemand dazu Erfahrungen oder eine
Meinung, sollte ich das auch noch einrichten, bevor ich meinen Postfix in
größerem Umfang auf die Öffentlichkeit loslasse?
Ich mache weder DMARC noch DKIM noch SPF. Mails an GMX und Google kann
ich trotzdem ausliefern.
Ich denke, daran hängt noch etwas größerer Aufwand, da
wohl zunächst
noch ein DKIM-Server eingerichtet werden will. Außerdem habe ich
gelesen, dass DMARC u.U. Probleme bei Mailinglisten verursachen kann.
DMARC kenne ich nicht wirklich, aber ich habe auch schon Probleme mit
DKIM gesehen: A schickt eine DKIM-signierte Mail an eine ML, ML ändert
den Betreff um [$MLNAME] einzufügen und A lehnt das Ergebnis ab, weil
die Signatur kaputt ist. (Man kann jetzt die Signatur entfernen, aber
dann kommen bald die ersten, die die Mail ablehnen, weil Mails von A
signiert sein müssen ...)
Wenn ich nämlich einen DMARC-Eintrag habe
und der Server eines Empfängers diesen auswertet, würde der feststellen,
dass die Mail von einem Server kommt (z.B. gnu.org), der eben *nicht* in
meiner ursliska.de-Domain genannt ist. Das gleiche soll angeblich auch schon
bei SPF-EInträgen passieren können.
Es kommt darauf an, welcher Absender hier herangezogen wird. Wenn es der
Envelope-From ist, ist das kein Problem, weil Mailinglisten i.d.R. einen
eigenen verwenden und nicht das Original. Bei Forwards hingegen wird das
nicht umgeschrieben und somit geht das mit SPF kaputt.
Liebe Grüße
Uwe
9:41 a.m.
Am 12.10.2017 um 09:24 schrieb Uwe Kleine-König:
Ja, ich denke, mein Problem war nicht das *Fehlen* eines SPF-Eintrags
(auch wenn ich gelesen habe, dass die großen Provider solche Mails
tendenziell bevorzugen (es gilt aber auch, dass man keine Mails auf
Grund des Fehlens von SPF ablehnen darf), sondern der Mismatch zwischen
Postfix-Hostnamen und Reverse-DNS
In dem Artikel, den ich gelesen habe, stand, dass man auf diese Weise
sogar dafür sorgen kann, dass *andere* Mailinglisten-Nutzer
zwangsabgemeldet werden. Wenn nämlich deren Provider die Mail ablehnt,
geht sie als Bounce zurück an die ML, die dann irgendwann allergisch
reagiert ...
Der Vorwurf an SPF und DMARC lautet demnach auch, dass diese die
Mailinglisten zwingen würden, die Mails umzuschreiben.
Ich warte mal ab, ob mit dem SPF-Eintrag irgendwelche Probleme
auftauchen und lasse das mit DMARC erstmal.
Vielen Dank und herzliche Grüße
Urs
Hallo Urs,
On Wed, Oct 11, 2017 at 05:35:55PM +0200, Urs Liska wrote:
Wenn ich das richtig sehe, habe ich auch keine. Ich nehme an, das wäre
eine Sache des Hosting-Vertrages - man hat doch nicht automatisch durch
die IPv4 auch eine IPv6-Adresse, oder?
So, ein Zwischenbericht: Ich habe jetzt
erfolgreich den Hostnamen meines
Servers geändert, alle DNS-Einträge geändert und erstmal eine Domain mit den
korrekten Einstellungen für den Mailserver versehen. Interessanterweise
kommen nach über einem Tag immer noch vereinzelte Mails am alten Server an,
die TTL der DNS-Server scheinen also nicht unbedingt jeden zu interessieren
...
Das wesentliche Ergebnis ist erstmal, dass ich erfolgreich Mails an GMX- und
hotmail-Adressen verschicken konnte, demnach habe ich wohl alles richtig
gemacht.
Jo, sieht gut aus. (Ausser dass Du keine IPv6-Adresse hast.) Die
Detailarbeit kommt noch, derzeit rödelt offlineIMAP (das ich
nebenbei auch noch "anpacken" musste
(https://github.com/OfflineIMAP/offlineimap/blob/master/Changelog.md))
dabei, etliche GB an Mails vom alten auf den neuen Server zu ziehen.
Eine Frage ist dabei noch verblieben: MXToolbox
(https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen eines
DMARC-EIntrags für den Mailserver. Hat jemand dazu Erfahrungen oder eine
Meinung, sollte ich das auch noch einrichten, bevor ich meinen Postfix in
größerem Umfang auf die Öffentlichkeit loslasse?
Ich mache weder DMARC noch DKIM
noch SPF. Mails an GMX und Google kann
ich trotzdem ausliefern. Ich denke, daran hängt noch etwas größerer
Aufwand, da wohl zunächst
noch ein DKIM-Server eingerichtet werden will. Außerdem habe ich
gelesen, dass DMARC u.U. Probleme bei Mailinglisten verursachen kann.
DMARC kenne
ich nicht wirklich, aber ich habe auch schon Probleme mit
DKIM gesehen: A schickt eine DKIM-signierte Mail an eine ML, ML ändert
den Betreff um [$MLNAME] einzufügen und A lehnt das Ergebnis ab, weil
die Signatur kaputt ist. (Man kann jetzt die Signatur entfernen, aber
dann kommen bald die ersten, die die Mail ablehnen, weil Mails von A
signiert sein müssen ...)
Wenn ich nämlich einen DMARC-Eintrag habe
und der Server eines Empfängers diesen auswertet, würde der feststellen,
dass die Mail von einem Server kommt (z.B. gnu.org), der eben *nicht* in
meiner ursliska.de-Domain genannt ist. Das gleiche soll angeblich auch schon
bei SPF-EInträgen passieren können.
Es kommt darauf an, welcher Absender hier
herangezogen wird. Wenn es der
Envelope-From ist, ist das kein Problem, weil Mailinglisten i.d.R. einen
eigenen verwenden und nicht das Original. Bei Forwards hingegen wird das
nicht umgeschrieben und somit geht das mit SPF kaputt.
Liebe Grüße
Uwe
_______________________________________________
Freiburger Linux User Group
Mail an die Liste: flug(a)lug-freiburg.de
Mailingliste verwalten (u.a. abbestellen): https://lug-freiburg.de/mailman/listinfo/flug
--
ul(a)openlilylib.org
https://openlilylib.org
http://lilypondblog.org
9:42 a.m.
Hallo,
On 10/11/2017 05:35 PM, Urs Liska wrote:
Eine Frage ist dabei noch verblieben: MXToolbox
(https://mxtoolbox.com/domain/ursliska.de/) bemängelt noch das Fehlen
eines DMARC-EIntrags für den Mailserver.
Wenn Du noch anderen automatischen Analysen nachgehen willst:
http://dnsviz.net/d/ursliska.de/dnssec/
hat noch ein paar Warnungen à la:
ursliska.de/A: The server responded with no OPT record, rather than
with RCODE FORMERR. (217.172.161.234, 217.172.162.55,
UDP_0_EDNS0_32768_4096)
Ich verstehe die allerdings nicht, und vermutlich ist das ein Problem
der Nameserver Deines Providers.
Liebe Grüße
Uwe
9:51 a.m.
Hallo Urs,
On 10/12/2017 09:41 AM, Urs Liska wrote:
Ich warte mal ab, ob mit dem SPF-Eintrag irgendwelche
Probleme
auftauchen und lasse das mit DMARC erstmal.
Du hast konfiguriert:
v=spf1 ip4:85.25.3.15 ip4:85.25.93.165 -all
d.h., wenn jemand eine Mail von *(a)ursliska.de bekommt und die nicht von
einer der beiden legacy-IPs oben kommt, soll er die kommentarlos wegwerfen.
Das wird z.B. passieren, wenn Du eine Mail an
info(a)handwerkerdeinesvertrauens.de schickst, und der Mailserver für
handwerkerdeinesvertrauens.de leitet das weiter an kalle(a)gmx.de, weil
das die Adresse ist, die Dein Klempner liest. Der GMX-Mailserver
schmeißt Deine Mail dann weg, weil sie von dir@ursliska kommt, aber vom
MX der Domain handwerkerdeinesvertrauens.de eingeliefert wird. Du
bekommst dann u.U. keine Rückmeldung darüber, dass Kalle Deine Mail
nicht gekriegt hat.
Liebe Grüße
Uwe
2396
days inactive
2402
days old
13 comments
3 participants
participants (3)
-
Ralf Mattes -
Urs Liska -
Uwe Kleine-König