Fehlersuche bei einem Mailserver

extravaganza · 11 Jan. 2011

Hallo.

Ich weiß, daß es hier ein Suse Forum ist, aber ich habe immer gute und schnelle Hilfe hier bekommen, in div. debian foren hingegen eher nicht. Deshalb entschied ich mich euch zu fragen.

Ich habe ein Problem mit einem Debian Email Server. Es gibt keinerlei Fehlermeldungen in *syslog* oder *messages*, doch das versenden der Emails geht aber nur lokal - vom Server aus. Jeglicher versuch die emails von einem ext. Client scheitert. Das Passwort wird nicht akzeptiert solange die Verbindungssicherheit auf "SSL/TLS" oder "STARTTLS" steht. Nur die Einstellung "keine Verbindungssicherheit" funktioniert. Bei dem Client handelt es sich um Mozilla Thunderbird. Der Server ist ein Debian 2.6.33.3-myloc mit imap und postfix.

Auch *mail.err* ist fast leer - seit vielen Tagen - kein Eintrag. Doch seit heute Nachmittag habe ich folgende Zeilen (nicht sehr viel, ung. 70 Zeilen) entdeckt:

Code:

Jan 11 16:34:17 hook5 pop3d: Maximum connection limit reached for ::ffff:IP.IP.IP.IP
Jan 11 16:34:17 hook5 pop3d: Maximum connection limit reached for ::ffff:IP.IP.IP.IP
.......
Jan 11 16:42:40 hook5 pop3d: Maximum connection limit reached for ::ffff:IP.IP.IP.IP
Jan 11 16:42:40 hook5 pop3d: Maximum connection limit reached for ::ffff:IP.IP.IP.IP
Jan 11 17:12:17 hook5 pop3d: Maximum connection limit reached for ::ffff:IP2.IP2.IP2.IP2
.......
Jan 11 17:22:37 hook5 pop3d: Maximum connection limit reached for ::ffff:IP2.IP2.IP2.IP2

Die "IP" und "IP2" sind 2 verschiedene IPs, welche ich anonymisiert habe.

Vor einiger Zeit gab es Probleme mit den Server, allerdings wurde das meiste behoben und das mit der email fiel erst jetzt auf, weil dieser Service bisher so gut wie garnicht genutzt wurde.

Was mache ich falsch?

Geier0815 · 11 Jan. 2011

Was Du falsch machst? Du lieferst uns zu wenig Informationen. Die Ausgabe von "postconf -n" wäre wenigstens ein Anfang. Dann wäre es auch schön wenn Du uns erklärst was für Probleme ihr mit dem Server hattet und wie ihr sie behoben habt. Die Fehlermeldung die Du lieferst sieht nach IPv6 aus, hast Du dein gesamtes System entsprechen Konfiguriert? Wollt ihr tatsächlich darüber Mail laufen lassen?

extravaganza · 11 Jan. 2011

Das System läuft sonst eigentlich gut. Die Probleme die es gab kann ich jetzt nicht nennen, zu diesem Zeitpunkt war ich nicht Vorort - es hatte jemand verursacht und behoben. Ich habe lediglich einige Pakete gefunden und (sendmail) deinstalliert, weil sie da nichts zu suchen hatten.

postconf -n

Code:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
inet_interfaces = all
mailbox_command = /usr/bin/procmail
mailbox_size_limit = 0
mydestination = der.server.com, localhost.der.server.com, , localhost
mydomain = der.server.com
myhostname = der.server.com
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = $myhostname ESMTP
smtpd_delay_reject = yes
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_path = /var/spool/postfix/private/auth
smtpd_sasl_security_options = noanonymous
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes

networks:

Code:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
     address xx.xx.xx.xx
     netmask 255.255.255.0
     broadcast xx.xx.xx.255
     gateway yy.yyy.yy.yy

Geier0815 · 12 Jan. 2011

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

erklärt zumindest schon mal weswegen Du nur lokal Mails versenden kannst. Hier wird nämlich definiert welche Netzwerke über den Server versenden können und das ist bei dir nun mal nur localhost.

extravaganza · 12 Jan. 2011

Nun, was soll ich dort eingeben? Der e-Mail Empfang und Versand funktioniert nicht, ausser wenn ich die Verbindungssicherheit rausnehme. Wie schon gesagt - es wird etwas mit Authentifizierung sein.

Ok, ich habe jetzt in die main.cf eingetragen:

Code:

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.0.0/24

Aber an der authentifizierung hat das weiterhin nichts geändert - ich kann weiterhin nur einloggen, wenn ich die Verbindungssicherheit "SSL/TLS" bzw. "STARTTLS" rauslasnehme.

extravaganza · 12 Jan. 2011

Ok, folgendes habe ich jetzt rausbekommen. Wenn ich mich mit SSL/TLS versuche mit der Mailbox mit einem Email Client zu verbinden, dann kommt folgender Eintrag ins Syslog:

Code:

Jan 12 14:16:01 hook5 /USR/SBIN/CRON[2975]: (root) CMD (/root/confixx/confixx_counterscript.pl)
Jan 12 14:16:01 hook5 /USR/SBIN/CRON[2974]: (root) CMD (/var/www/data/scripts/sync_new_uploads.sh > /dev/null 2>&1 )
Jan 12 14:16:19 hook5 imapd-ssl: couriertls: /etc/ssl/certs/381Dfc32.0: No such file or directory

Ich bin der Spur des zertifikates nachgegangen und habe dort folgendes rausgelesen:

Code:

ls -li /etc/ssl/certs/
35505687 lrwxrwxrwx 1 root root 33 Jan  4 16:52 /etc/ssl/certs/381Dfc32.0 -> /etc/mail/tls/sendmail-server.crt
35505688 lrwxrwxrwx 1 root root 33 Jan  4 16:52 /etc/ssl/certs/4c730df8.0 -> /etc/mail/tls/sendmail-client.crt

Da sendmail aber deinstalliert wurde fehlt der Ordner "/etc/mail/tls/" und darin befindliches Zertifikat. Offensichtlich wurde der Link zum alten Zertifikat bei der Installation von Sendmail überschrieben.

Hier endet mein Wissen - was ohnehin nicht viel ist. Wie kann ich das Zertifikat wiederherstellen? Oder muss es neu erstellt werden?

edit: zudem faselt der mailclient etwas von maximaler zahl von serververbindungen. Aber egal was ich dann mache unter imap/erweitert, ob ich die zahl von 5 auf 50 erhöhe oder auf 1 reduziere - es ändert sich an dieser meldung nichts.

extravaganza · 14 Jan. 2011

Ich habe immer noch keine Lösung. Dafür habe ich zuviel Zweifel etwas falsch zu machen.

Soll ich einfach ein neues SSL Zertifikat erstellen oder was soll ich machen? Wo soll ich ansetzen?

spoensche · 14 Jan. 2011

extravaganza schrieb:
Ich habe immer noch keine Lösung. Dafür habe ich zuviel Zweifel etwas falsch zu machen.
Soll ich einfach ein neues SSL Zertifikat erstellen oder was soll ich machen? Wo soll ich ansetzen?

/etc/ssl/certs/381Dfc32.0 ist bei dir ein Link zum eigentl. Zertifikat. Ändere das mal in deiner Courier Konfiguration.

http://www.linupedia.org/opensuse/Mail

extravaganza · 15 Jan. 2011

Das Zertifikat existiert aber wohl nicht mehr. Ich habe danach erfolgslos gesucht:

Code:

find /* | grep 381Dfc32.0

spoensche · 15 Jan. 2011

extravaganza schrieb:
zudem faselt der mailclient etwas von maximaler zahl von serververbindungen.

[/quote]

Was genau teilt dir der Mailclient, bezüglich der max. Verbindungsanzahl, den mit?

extravaganza schrieb:
Das Zertifikat existiert aber wohl nicht mehr. Ich habe danach erfolgslos gesucht:

Code:

find /* | grep 381Dfc32.0

Code:

find /etc -name 381Dfc\*.0

wäre für die Suche passend gewesen.

Wenn das Zertifikat nicht mehr existiert, wirst du ein neues erstellen müssen,

extravaganza · 16 Jan. 2011

Seltsamerweise gibt es jetzt keine Ausgabe von Thunderbird mehr bezüglich zuvieler Verbindungen. Dafür aber will er sich nun garnicht mehr einloggen und verlangt einen "wiederholten Versuch", ein "neues Passwort eingeben" oder das "Abbrechen" und meint "login auf dem Server imap12345.de fehlgeschlagen".

Outlook Express sagt: "Die Authentifizierung von "PLAIN" ist fehlgeschlagen. Keine der Authentifizierungsmethoden, die vom IMAP-Server unterstützt werden, wird von diesem Computer unterstützt". Ohne gesicherte Authentifizierung verlangt er sofort - wie der Thunderbird - nach einem anderen Passwort.

Zur Suche mit Find - er findet auch so nur diese einzige Datei:

Code:

find /etc -name 381Dfc32.0
/etc/ssl/certs/381Dfc32.0

Und diese wiederum ist ein Link ins blaue:

Code:

35505687 lrwxrwxrwx 1 root root 33 Jan  4 16:52 /etc/ssl/certs/381Dfc32.0 -> /etc/mail/tls/sendmail-server.crt

denn der Pfad - /etc/mail/tls* - existiert nicht.

In welcher Datei von courier soll ich was genau ändern?

spoensche · 16 Jan. 2011

extravaganza schrieb:
Seltsamerweise gibt es jetzt keine Ausgabe von Thunderbird mehr bezüglich zuvieler Verbindungen. Dafür aber will er sich nun garnicht mehr einloggen und verlangt einen "wiederholten Versuch", ein "neues Passwort eingeben" oder das "Abbrechen" und meint "login auf dem Server imap12345.de fehlgeschlagen".

Poste mal die Meldungen aus /var/log/mail.err

extravaganza schrieb:
In welcher Datei von courier soll ich was genau ändern?

In /etc/courier findest du die Konfigurationsdateien. In welcher Datei der Pfad zu den SSL Zertifikaten festgelegt wird weiss ich nicht auswendig und müsste selbst in der Doku nachsehen.

Den auf eine nicht existierende Datei verweisende Symlink kannst du löschen und generierst dir entweder ein neues Zertifikat oder verwendest eines der mitgelieferten.

extravaganza · 18 Jan. 2011

Ich habe in /var/log/mail.err nur folgendes:

Code:

Jan 17 07:14:18 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
Jan 17 07:14:18 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
....
Jan 17 07:14:22 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
Jan 17 07:14:22 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
....
Jan 17 07:14:23 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
Jan 17 07:14:24 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
....
Jan 17 07:14:36 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
Jan 17 07:14:37 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890
Jan 17 07:14:41 hook5 pop3d: Maximum connection limit reached for ::ffff:123.45.67.890

Selbst wenn ich jetzt versuche zu verbinden, ändert sich an der "mail.err" nichts.

Ich generiere dann ein neues imap zertifikat, ich hoffe das klappt.

spoensche · 21 Jan. 2011

Wie viele Verbindungen existieren den für die IP 123...., die es so mit Sicherheit nicht gibt

extravaganza · 22 Jan. 2011

Oh, so um die 60. Aber es ist egal. Ich habe jetzt kleine Fortschirtte gemacht.

Ich habe festgestellt, daß in der /etc/postfix/main.cf ein Buchstabendreher in der folgenden Zeile war.

Code:

broken_sasl_auth_clients = yes

Nun jetzt habe ich aber folgendes beobachtet:
Ich kann emails empfangen solange ich folgende Einstellungen in Thunderbird habe

- server: imap.xxxxx.com port 143
- benutzername: name
- Verbindungssicherheit: Keine
- Authentifizierungsmethode: Passwort, ungesichert übertragen

Sobald ich aber die Verbindungssicherheit auf SSL setze, dann geht garnix mehr. Allerdings werden auch keine Fehler in der *mail.err* genannt. Doch in der *mail.warn* sieht es schon wieder anders aus:

Code:

Jan 21 23:10:21 hook5 postfix/smtpd[24010]: warning: fffffffffff.adsl.provider.de[12.34.567.890]: SASL LOGIN authentication failed: authentication failure
Jan 21 23:21:49 hook5 postfix/smtpd[24516]: warning: SASL authentication failure: Password verification failed
Jan 21 23:21:49 hook5 postfix/smtpd[24516]: warning: fffffffffff.adsl.provider.de[12.34.567.890]: SASL PLAIN authentication failed: authentication failure
Jan 21 23:21:49 hook5 postfix/smtpd[24516]: warning: fffffffffff.adsl.provider.de[12.34.567.890]: SASL LOGIN authentication failed: authentication failure
Jan 21 23:27:04 hook5 postfix/smtpd[24630]: warning: SASL authentication failure: Password verification failed
Jan 21 23:27:04 hook5 postfix/smtpd[24630]: warning: fffffffffff.adsl.provider.de[12.34.567.890]: SASL PLAIN authentication failed: authentication failure
Jan 21 23:27:04 hook5 postfix/smtpd[24630]: warning: fffffffffff.adsl.provider.de[12.34.567.890]: SASL LOGIN authentication failed: authentication failure

Ich habe in die /etc/postfix/sasl/smtpd.conf geschaut:

Code:

pwcheck_method: saslauthd
mech_list: plain login

#pwcheck_method:auxprop
#auxprop_plugin:sql
#mech_list: plain login cram-md5 digest-md5
#sql_engine: mysql
#sql_hostnames: localhost
#sql_user: dbuser_umändern
#sql_passwd: dbpassw_umändern
#sql_database: db_umändern
#sql_select: select password from mail_users where email=#'%u@%r'

Kann sein, daß hier etwas verändert werden muss? Scheint mir fast so nicht wahr?

Die Fehler in der *mail.warn* werden beim Verbindungsversuch nicht mehr angezeigt, seitdem ich den o.g. Buchstabendreher behoben habe.

spoensche · 22 Jan. 2011

Hast du die SASL DB neu erstellt? Hast du in der Postfix- Konfiguration Plaintext abgeschaltet?

extravaganza · 1 Feb. 2011

Eine neue Datenbank legt man der man zufolge an, wenn man einen neuen Benutzer erstellt. Das habe ich getan.

Plaintext ist abgeschaltet.

Code:

smtpd_sasl_security_options = noanonymous,noplaintext

Ich habe jetzt nur noch ein Problem mit den postausgangsserver, das empfangen von emails funktioniert. Ich habe den alten link zum Zertifikat neu verlinkt.

Ich glaube, ich sollte ein neues topic eröffnen.

spoensche · 4 Feb. 2011

extravaganza schrieb:
Ich habe in die /etc/postfix/sasl/smtpd.conf geschaut:

Code:

pwcheck_method: saslauthd mech_list: plain login

Wenn du dort plain verwendest und in der Postfix- Config noplaintext verwendest, kann es nicht funktionieren.

Fehlersuche bei einem Mailserver

extravaganza

Member

Geier0815

Guru

extravaganza

Member

Geier0815

Guru

extravaganza

Member

extravaganza

Member

extravaganza

Member

spoensche

Moderator

extravaganza

Member

spoensche

Moderator

extravaganza

Member

spoensche

Moderator

extravaganza

Member

spoensche

Moderator

extravaganza

Member

spoensche

Moderator

extravaganza

Member

spoensche

Moderator