Relay-Hosts für den Mailversand

mail
german

#1

Hallo,

ich komme mit der Einrichtung eines Relay-Hosts für den Mailversand noch nicht so richtig klar.

Ich habe eine neue Richtlinie vom Typ Univention Configuration Registry in der UCS Management Konsole erstellt.
Diese erhält die Variablen mail/relayauth > yes und mail/relayhost > FQDNdesServers:Port. In der /etc/postfix/smtp_auth habe ich auch die FQDNdesServers ohne Port und Benutzername:Passwort angegeben.

Wie unter http://docs.software-univention.de/handbuch-4.0.html#mail::serverconfig::relay beschrieben. Leider funktioniert der Versand noch nicht.

Wo kann ich die Logs einsehen?
Fehlt noch etwas z.B. Art der Verschlüsselung TLS/SSL? Oder muss der Port in einer extra Variable angegeben werden?
Ist die Verbindung zum Mailserver verschlüsselt?


#2

Kann der Relay-Host oder der Versand via SMTP nach extern für bestimmte User deaktiviert werden?


#3

EIne Richtlinie zur Verteilung der UCR-Variablen könnte etwas overkill sein, so etwas macht man in der Praxis eher, wenn mehrere Systeme konsistent und zentral konfiguriert werden sollen. Änderungen greifen auch nicht sofort, dazu sollte etwas in der Dokumentation stehen.
Die Variablen können somit direkt über “ucr set” bzw. bei System selbst in der UMC gesetzt werden.
Das von Ihnen gewählte Verfahren ist grundsätzlich richtig, auch die Angabe des Ports, falls dieser von 25 abweicht (hier gibts einige Threads dazu).
Es gibt an relevanten Protokollen eigentlich nur /var/log/mail.*
Zur Verschlüsselung: welche Verbindung meinen Sie, vom UCS zu anderen? Das würde dann immer davon abhängen, was die Gegenstelle so anzubieten hat. Oder man setzt sich mich “mandatory TLS” auseinander.

Zur Frage aus dem zweiten Post: Grundsätzlich ja. Es gibt dazu auch UCR-Variablen, die man nutzen bzw. erweitern kann (z.B. mail/postfix/smtpd/restrictions/sender). Das wäre m.E. aber ein separates Thema wert.


#4

Vielen Dank für Ihre Rückmeldung.

In der /var/log/mail.log erhalte ich einen Helo command rejected: Host not found (in reply to RCPT TO command) Fehler, muss der Server öffentlich im Netz stehen?

Ja, vom UCS Server zum gewünschten Mailserver für den weiteren Versand. Wird hier immer die höchste Verschlüsselung gewählt, welche der andere Server zu bieten hat?


#5

Mich verwundert etwas, dass die Gegenstelle das HELO bei einem authentifiziertem Versand prüft. Vielleicht kontrollieren Sie noch mal, ob die UCR-Variablen wirklich gesetzt sind, die smtp_auth-Map erzeugt und postfix neu gestartet wurde.
Ansonsten können Sie versuchen, “mail/smtp/helo/name” auf einen auflösbaren Hostnamen zu setzen.

Eigentlich schon, aber das Verhalten ist auf beiden Seiten konfigurierbar. Wenn Sie kontrollieren wollen, können Sie “mail/postfix/smtp/tls/loglevel” hochsetzen und in mail.log nachlesen.


#6

Hallo, ich habe mal mit verschiedenen Mailservern getestet und auch die Konfiguration entsprechend überprüft. Und bei allen funktioniert leider es nicht. Scheinbar ist der Relay Host gar nicht aktiv. Unter anderem erhalte ich von einigen Providern die Meldung:

host XXX.XXX.XXX[X.X.X.X] said: 554 5.7.1 Service
    unavailable; Client host [X.X.X.X] blocked using

Wenn ich jedoch den Smarthost/Relay-Host direkt in der /etc/postfix/main.cf konfiguriere, funktioniert es wunderbar. Kann es sein, dass UCS die Änderungen nicht an postfix weitergegeben hat? Müssen die Variablen noch in UCS gesetzt werden oder ist die config in der main.cf ausreichend?


#7

Als Test ist es ausreichend. Spätestens beim nächsten Postfix-Update wird aber mit großer Wahrscheinlichkeit ein “ucr commit” auf alle Postfix-Konfigurationsdateien gemacht und Ihre manuellen Änderungen dürften entfernt werden.
Es wäre somit sinnvoll,

  • zu prüfen, ob die o.a. Richtlinien nicht mehr aktiv sind
  • die UCR-Variablen wie dokumentiert zu setzen
  • ggf. via “ucr commit /etc/postfix/main.cf” zu prüfen, dass hierbei keine Fehler auftreten und die EInstellungen übernommen werden.