|
|
postfix i blokada portu 25
damroth - 24-05-2010 16:40
Witam!
Mam taki problem. Mam serwer pocztowy na Debianie - postfix/dovecot. Wszystko działało pięknie aż do czasu całkowitego zablokowania portu 25 przez dialog. Męczyłem się sporo, przeczytałem wiele różnych materiałów na forach i z innych źródeł ale dalej nie mogę zaradzić temu problemowi. Rozumiem, że skoro został zablokowany port 25, jestem zmuszony to użycia innego, czyli 587. W pliku master.cf włączyłem obsługę submission. Serwer słucha na porcie 587 ale serwer nadal próbuje wysyłać pocztę w świat tylko z portu 25. Jak temu zaradzić?
Z góry dziękuję za odpowiedź.
Pacek - 24-05-2010 18:22
Aby postfix wysyłał pocztę na porcie 587 to w master.cf musisz mieć:
587 inet n - n - - smtpd
Jednakże tutaj jest problem, ponieważ wszystkie serwery pocztowe nasłuchują na porcie 25. Chyba, że Dialog przekierowuje z portu 587 na 25, co byłoby bez sensu. Ja miałem podobny problem z siecią Multimedia Polska, jak stawiałem sobie testowy serwer pocztowy. Okazało się, że blokowali port 25 i nie mogłem nic wysyłać. Napisałem do nich podanie i odblokawali mi ten port. Teraz większość dostawców Internetu (ISP) wprowadza politykę antyspamową. Sprowadza się ona do zablokowania całego ruchu pocztowego ze stacji roboczych aby wykluczyć spamowanie przez wirusy. Możliwe, że można też w jakiś sposób wykorzystać serwer Dialogu jako smarthost i wysyłać pocztę przez niego.
damroth - 24-05-2010 21:09
Tego też już próbowałem. Zawsze w logach widzę, że i tak lecą timeouty z powodu nieudanej próby dostarczenia maila na host z portem 25. Jeśli chodzi o inne serwery, to onet, o2, interia, gmail i wiele głównych działa bezproblemowo na porcie 587 (inaczej wszyscy klienci tepsy i dialogu mieliby nie lada problem z klientami pocztowymi ;) )
Pacek - 24-05-2010 23:04
master.cf dotyczy tylko poczty przychodzącej. Poczta wychodząca zawsze idzie przez port 25. Jeżeli ma iść przez inny port to trzeba zrobić relay. Wygooglałem opis pod Twoje potrzeby tutaj:
http://www.freebsddiary.org/postfix-transport.php
damroth - 25-05-2010 15:11
Ja również wykopałem ten link. Niestety wynika z tego (jeśli dobrze rozumiem), że musiałbym ręcznie dodawać wszystkie serwery na które klienci wysyłaliby pocztę. Nie jestem w stanie tego przewidzieć, wiec to rozwiązanie odpada. No chyba, że się mylę to proszę mnie natychmiast poprawić i uświadomić :)
Dla potomnych - znalazłem rozwiązanie (a raczej ominięcie) tego problemu. Jest ono, niestety, nie do końca eleganckie (programy, które sprawdzają aktywność portu 25 będą zgłaszały błąd np. ISPConfig) ale za to działa. Sztuczka polega na zmianie wpisu w pliku /etc/services portu smtp z 25 na 587 a następnie powtórzenie tej czynności w /var/spool/postfix/etc/services (żeby postfix nie marudził). Generalnie działać będzie ale tak jak wcześniej wspominałem, niektóre programy, które sprawdzają serwer postfix na podstawie funkcjonowania portu 25 będą zgłaszały problem.
Podczas pisania wpadłem na pomysł taki, żeby nie zamieniać wpisu portu 25 na 587 ale dodać kolejny, gdzie smtp będzie pracował równolegle pod 587 ale nie próbowałem tego rozwiązania i nie wiem, czy na pewno będzie działać.
thomsonik - 25-05-2010 16:55
Mam ten sam problem, jutro wypróbuje oba rozwiązania i dam znać jak poszło, ale mam pytanie, dialog na 100% zablokował ruch przychodzący jak i wychodzący na porcie 25? Próbował się może ktoś z nimi dogadać, czy na wyraźną prośbę użytkownika nie mogę otworzyć portu? Chociaż z tego co wiem to jakieś przepisy wchodzą niedługo i muszą zablokować ten ruch coby kar nie płacić.
mendeczka - 25-05-2010 20:09
Zapoznajcie z tym http://www.lemat.priv.pl/index.php?l...page&pg_id=136
thomsonik - 25-05-2010 20:16
Już przeglądane nie raz, jednak tam jest opis jak skonfigurować postfixa w przypadku, gdy to klient ma wycięty port 25, a serwer nie. Co też się przyda ponieważ teraz już i dialog i TP SA blokują ten port...
damroth - 25-05-2010 23:04
Dobra!
Wszystko już wiem i napiszę jak to wygląda ( przetestowanie empirycznie i paradoksalnie ;) ). Niestety z żalem stwierdzam, iż nie ma dobrej metody na obejście tego. Tak jak wcześniej napisał kolega Pacek, wszystkie serwery większych usługodawców dla rozmów między serwerowych nasłuchują tylko i wyłącznie na porcie 25. Tak, mają też uruchomiony port 587 ale tylko dla klientów pocztowych. Zatem wszystkie powyższe opisy i metody dają nam tylko możliwość przesyłania poczty klienta do serwera, ale sam serwer już nic z tym nie zrobi. Dzwoniłem dzisiaj na pomoc techniczną dialogu i zostałem poinformowany, że jest możliwość odblokowania portu 25. Trzeba wysłać do nich maila z dobrym uzasadnieniem i musimy mieć nadzieję, że odblokują specjalnie dla nas port 25. Niestety na chwilę obecną nie ma innego rozwiązania tej udręki.
Pacek - 26-05-2010 08:05
No więc zostało przy moim :) Nie ma właśnie dobrego obejścia tego problemu. Port 25 powinien być wykorzystywany jedynie do komunikacji serwer-serwer a zwykły Kowalski nie powinien go w ogóle używać. Do komunikacji klient-serwer powinien być wykorzystywany inny port (w tym przypadku 587).
ISP z premedytacją blokują ten port, aby ograniczyć wysyłanie SPAMu.
Jeżeli chcesz mieć serwer pocztowy to trzeba gadać z Dialogiem, albo próbować wysłać przez smarthosta.
thomsonik - 26-05-2010 08:56
Też dzwoniłem na infolinie to mi powiedziała pani, która najpierw oczywiście wciskała, że wystarczy zmienić port na 587, że trzeba to załatwić listownie, co oczywiście wydłuży czas. Ciekawe co odpowiedzą jeszcze. Jakby ktoś coś zdziałał albo dostał odpowiedź od dialogu to dajcie znać.
Dodane:
Mam jeszcze niepewność bo skoro mam postfixa na łączu z dialogu, a dialog zablokował cały ruch na porcie 25, a serwery komunikują się właśnie na tym porcie to dlaczego mogę odbierać pocztę z zewnątrz np. z Onetu? Czy to znaczy, że dialog zablokował tylko ruch wychodzący na porcie 25. Z drugiej strony do komunikacji serwerów potrzebny jest w moim rozumowaniu zarówno ruch przychodzący jak i wychodzący na porcie 25 odblokowanym. Jak możecie to rozwiejcie moje wątpliwości bo pytając na infolinii dialogu mam wrażenie, że odpowiadają na pytania nie bardzo znając się na temacie.
Pacek - 26-05-2010 11:52
Teraz nie jestem pewien jak było u mnie bo przerabiałem to jakis rok temu. Z tego co pamiętam, to port 25 działał przy wysłaniu poczty. Kiedy wysyłałem wiadomość np. z o2 na mój serwer postfixowy dostawałem zwrot poczty w stylu "host not found". Z racji tego, że w pracy posiadam też postfixa, to telnetowałem się na niego na port 25 i serwer ładnie słuchał. Telnetowałem się później z mojego serwera w pracy na port 25 mojej maszyny na łączu Multimedii i na porcie 25 głucha cisza. Od razu mi się nasunął wniosek, że port 25 musi być blokowany przez dostawcę, bo nie miałem ani iptables skonfigurowanego ani żadnych routerów po drodze itp.
Napisałem wniosek e-mailem do ichniejszego BOKu lub działu technicznego, że proszę o odblokwanie portu 25 ze względu na konieczność uruchomienia serwera pocztowego na potrzeby mojej pracy magisterskiej. Ponadto zamieściłem adnotację, że serwer nie będzie wykorzystywany do zaburzenia pracy sieci, rozsyłania spamu itp. bezedury ;) No i po dwóch tygodniach (i chyba jeszcze ze 3 przypomnieniach z mojej strony) w końcu odblokowali mi port 25 i wszystko zaczęło funkcjonować.
Więc odpowiadając na pytanie kolegi - port SMTP u mnie najwyraźniej działał w jedną stronę.
Ja bym działania Multimedii podsumował tak:
Wszystko co my wysyłamy niech sobie idzie w świat i mamy to gdzieś, ale nas szitem nie zalewajcie i wszyscy co wysyłają do nas na port 25 WON! :D
thomsonik - 27-05-2010 09:11
Podobno odblokowali mi port 25 w Dialogu, ale teraz mam problemy dziwne z odbieraniem poczty, tzn. poczty z zewnątrz nie odbieram praktycznie w ogóle. Na ruterze widzę logi, że coś mi się dobija serwer z wp czy to z onet na port nr 25, ale postfix na to zero reakcji. Aż tu nagle o jakiejś godzinie odbiera maile i do tego nie w kolejności, której zostały wysłane, później znowu długo długo nic, i znowu odbierze część z tego co była wcześniej z zewnątrz wysłana.
Mam postfixa, dovecota, spamassasina + razor i amavista, logi sprawdzam w /var/log/mail.log i tak jak pisałem jak sobie coś wyśle z wp.pl na swojego postfixa na routerze widzę, że się dobija na port 25, ale w postfixie nie widzę nic w logach. Firewall na maszynie z postfixem wyłączony. Nie wiem, czy te maile siedzą gdzieś w kolejce w spamassasinie, ale nie wiem jak to sprawdzić. Z drugiej strony w mail.log powinien być o tym ślad, a nie ma.
Może ma ktoś pomysł co tu się mogło stać. Jeżeli na ruterze widać, że coś się dobija na 25 to już chyba Dialogu nie może być wina. Trochę grzebałem w postfixie przez ten zablokowany port 25, a przed tym feralnym dniem 18.05 (blokada portu przez Dialog) działało wszystko poprawnie. Później nie działało wysyłanie, a jak odblokowali port + (moje grzebanie w postfixie) świruje odbieranie. Jakieś sugestie?
Pacek - 27-05-2010 10:05
Skoro nie ma nic w mail.log to znaczy, że nic się nie dobijało. Ten log pokazuje wszystko od nawiązania połączenia aż do czasu dostarczenia maila. Skoro tam nic się nie pojawia, to tak jakby nie było żadnej próby odbioru poczty. Jeżeli w końcu wiadomości doszły to znaczy, że jest teoretycznie dobrze. Nie zmienił Ci się przypadkiem adres IP, czy masz może stały adres IP? Wiem, że u mnie długie doręczanie poczty było spowodowane np. zmianami w DNSie (czas propagacji na niektórych serwerach wynosił nawet 24h).
thomsonik - 27-05-2010 10:30
Adres IP się nie zmienił, mam stały. Mam na home.pl wykupiona domenę i tam przekierowuje tylko rekord MX (bo u nich na serwerze mam stronę www, więc rekord A wskazuje na ich serwer) na nazwę hosta z Dialogu, tam wczoraj trochę grzebałem, ale to już powinno się wszystko ustabilizować, a poczta dalej nie przychodzi raz na kilka godzin. Dziwne właśnie, że w mail.log nic nie ma, a na ruterze widzę zaraz po wysłaniu, że serwer wp.pl czy onet.pl pcha coś na port nr 25. Normalnie nie mam pomysłu co może być nie tak, wyłączyłem nawet firewalla na maszynie z postfixem, nie wiem czy coś w samym Linuksie zostało zmienione, bo w między czasie aktualizowałem system.
Z tego co mówisz to serwer zewnętrzny nie nawiązuje nawet połączenia z moim, tylko gdzie przyczyna, skoro na ruterze widać, że chce nawiązać, więc przyczyna w DNS-ach nie powinna leżeć. Czyli w samym systemie linuksowym chyba musi być, bo jakby w postfixie był problem to by w logu było widać, no i za bardzo nie wiem jak tutaj to zdiagnozować dokładniej.
Może ktoś z koleżanek lub kolegów wysłać maila do mnie i zobaczyć co będzie miał w logach? Na adres:
t.bryjak@105szpital.pl
bo jak wysyłam maile z wp.pl lub onet.pl to żadne zwrotki mi nie przychodzą, czyli ich serwery wysyłają do skutku pewnie i w końcu to do mnie dochodzi.
Pacek - 27-05-2010 11:45
iryd:/home/damian# cat /var/log/mail.log |grep t.bryjak@105szpital.pl
May 27 11:30:27 iryd postfix/pipe[29206]: 4C4C440090: to=<t.bryjak@105szpital.pl>, relay=filter, delay=1.5, delays=0.11/0/0/1.4, dsn=2.0.0, status=sent (delivered via filter service)
May 27 11:30:27 iryd amavis[27471]: (27471-16) Passed CLEAN, [10.1.0.4] <damian@sacer.pl> -> <t.bryjak@105szpital.pl>, Message-ID: <B7E54684E6460C41933EBD6719AA76CA2A05B6@peiks.sacer.com.pl>, mail_id: SFe8RlB9RTLq, Hits: -, size: 1510, queued_as: D91C640090, 133 ms
May 27 11:30:27 iryd postfix/smtp[29220]: BD9C5400C6: to=<t.bryjak@105szpital.pl>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.27, delays=0.13/0/0/0.13, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=27471-16, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as D91C640090)
May 27 11:30:58 iryd postfix/smtp[29246]: D91C640090: to=<t.bryjak@105szpital.pl>, relay=none, delay=30, delays=0.06/0/30/0, dsn=4.4.1, status=deferred (connect to static-87-105-212-169.ssp.dialog.net.pl[87.105.212.169]:25: Connection timed out)
Connection timed out oznacza, że port 25 jest zamknięty. Zresztą spróbowałem się telnetować i dostałem:
iryd:/home/damian# telnet 87.105.212.169 25
Trying 87.105.212.169...
telnet: Unable to connect to remote host: Connection timed out
Wg mnie to nie pozostawia złudzeń - port 25 jest definitywnie zamknięty. Chyba, że jest po drodze router, który blokuje w jakiś sposób w/w port.
thomsonik - 27-05-2010 12:33
No to sytuacja wygląda w takim razie tak: na ruterze widzę, że pewnie TY z 83.15.125.20 chcesz wysłać na ip serwera po pocie 25, i ruter niby to przepuszcza. Tylko, że widocznie coś na serwerze pocztowym jest nie tak.
Po sieci wewnętrznej wszystko działa i serwer odbiera i wysyła maile prawidłowo, czyli jestem lekko skołowany. Napisałem do Dialogu aby sprawdzili, czy coś blokują na tym porcie jeszcze,
po wydaniu polecenia:
root@poczta:/home/tomek# netstat -a | grep smtp
tcp 0 0 *:smtp *:* LISTEN
tcp 0 16340 192.168.101.2:4622 g2.dialog.pl:smtp ESTABLISHED
unix 2 [ ACC ] STREAM LISTENING 17872 private/smtp
unix 2 [ ACC ] STREAM LISTENING 17928 private/bsmtp
unix 2 [ ACC ] STREAM LISTENING 17940 private/smtp-amavis
unix 3 [ ] STREAM CONNECTED 30763 private/smtp
Więc serwer słucha na 25 z tego wynika. Czyli podsumowując, niby wszystko w porządku ale nie w porządku. A co najdziwniejsze to, że co jakiś czas do serwera dochodzą zaległe maile. Czyli jakby na krótką chwilę co kilka godzin "magiczna brama się otwiera...".
Pacek - 27-05-2010 13:15
Rozumiem, że masz przekierowany port 25 z routera na port 25 serwera i podałeś na routerze prawidłowe IP serwera? (zakładam, że router mógł z DHCP przydzielić inny adres IP serwerowi jak miał do tej pory).
Może spróbuj zatrzymać postfixa i postawić jakąkolwiek inną usługę sieciową na porcie 25. Można później spróbować się do niej telnetować i zobaczyć, czy problemem jest router, czy postfix a może Dialog.
damroth - 27-05-2010 15:08
Ja bym problemów doszukiwał się w dialogu. Miałem blokadę na 2 łączach. Na jednym została zdjęta i serwer działa jak marzenie a na drugim pozostała blokada z tym, że jednostronna - Do serwera można się dostać a on już nigdzie się nie może dobić. Dodam, że na tym drugim serwerze, gdzie jest blokada konfiguracja była niedotykana.
thomsonik - 27-05-2010 15:58
Dziękuję za informacje, ja męczę dialog, ale dopiero jak pójdę do pracy w poniedziałek (bo jutro wolne) coś się dowiem. U mnie to o tyle dziwne, że maile nie dochodzą pół dnia, aż tu nagle bam i wszystko (a przynajmniej większość co zostało wysłane wcześniej) na raz dochodzi.
thomsonik - 31-05-2010 11:37
Witam,
udało mi się zwalczyć problem, w moim przypadku była to jednak wina routera.
Pozdrawiam i dzięki za pomoc
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
