Problem mit Reverse DNS (falscher Servername im Received Feld)

    Hallo


    wir haben hier sporadisch Probleme Mails zu versenden (nur an gewisse Domänen), nun habe ich endlich mal einen brauchbaren Fehler erhalten:


    Zitat

    We could resolve the reverse name of your mail relay's IP address (xx.xx.xx.xx), but could not find that name in the DNS.
    Please ask your service provider to register an A record for server.domain.ch with the xx.xx.xx.xx IP address.


    Und zwar steht bei server.domain.ch für server der Windowsname der Maschine, resp. dieser Name kommt auch im Konfigfile vom Domino vor. Eigentlich sollte als Absender mail.domain.ch stehen.


    Ich habe nun mal einen Mail Header kontrolliert (siehe Bild).
    Und dort steht einiges falsch drin. Vorallem sollte apagdomino und 10.1.1.7 als interne IP nicht vorkommen.


    Was ist alles falsch bei mir? Soll ich im Konfig File überall mail.apag.ch eintragen und nicht apagdomino.apag.ch?


    Grüsse
    haennerson

    Das Problem liegt an einer anderen Stelle.


    Wenn ich die Ip Adresse über den DNS versuche einen Namen zuzuordnen, ann bekomme ich eben nicht den gleichen Namen wie wenn ich es umgekehrt mache, d.h. du musst beim Verwalter eurer Domäne noch beantragen, daß der mail.xxx.xx Name ebenfalls im DNS hinterlegt wird.

    Du hast wohl Recht, Reverse Lookup gibt tatsächlich einen veralteten Record zurück... dann gehe ich mal unseren DNS überprüfen.


    Die Einträge ansonsten können ignoriert werden?


    Dank & Gruss

    Prinzipiell ja, allerdings kannst du wenn du willst die Received Einträge auf eurem Mailggateway, d.h. der der die Mails ins Internet schickt, auch entfernen.


    Je nachdem was es für einer ist musst du halt nachschauen wie es dort geht. Denn jeder mir bekannte Mailserver hat dafür eine Möglichkeit

    Für mich sieht es, ergänzend zu taurecs Aussagen, übrigens so aus als würdest du ein Mailrelay benutzen. In dem Fall bezieht sich die Fehlermeldung u.U. nicht auf deinen Server sondern auf den Betreiber des Relays.


    Der Zielserver prüft i.d.R. immer nur den vorhergehenden Server, das wäre demnach der Relayserver. Und wenn ich mir den mx-record von de-nserver.de so anschaue dann hätte ich auch ein Problem damit. Denn sowohl der als auch dein Server verhalten sich nicht RFC-konform. Falls du über ein Relay gehst ist das aber für deinen Server bedeutungslos und du brauchst nichts zu ändern.


    Du kannst auch selbst einen Test deines Servers oder deines Providers (falls du einen Relayserver nutzt) durchführen:


    http://www.dnsstuff.com


    Hier kannst du kostenlos sowohl den DNS Report als auch den Reverse Lookup durchführen, der Report liefert aber schon gute Anhaltspunkte was da schief läuft.


    Um unerwünschte Informationen aus eigenen Mails beim Verlassen des letzten Dominoservers auszufiltern gibt es im Konfigurationsdokument den Abschnitt:


    MIME > Erweitert > Erweiterte Optionen für ausgehende Nachrichten > Folgende Notes Elemente aus Headern entfernen:


    Hier kann man z.B. die Felder $Mailer, $MIMETrack und Received eintragen. Diese werden dann bei allen ausgehenden Mails gelöscht, damit stehen im Header der Mails keine Informationen mehr zu deinen inneren Servern oder verwendeten Mailclients. Wenn man dann z.B. INetFrom noch dazu einträgt können Nutzer keine Mailadressen per Arbeitsumgebung mehr faken, was auch manchmal ganz sinnvoll ist.


    Damit die eben genannten MIME-Settings greifen muß im gleichen Konfigurationsdokument der folgende Schalter gesetzt werden:


    Allgemein > Internationale MIME-Einstellungen für dieses Dokument: Aktiviert

    Hi Carsten


    Danke für deine ausführliche Antwort. Ja es ist bei uns so, dass wir die Mails vom Domino an eine SPAM Appliance senden welche als Relay dient, sprich diese sendet die Mails nach erfolgreicher Überprüfung ab.


    Ich nehme an du meinst das, oder?


    Zudem haben wir noch ein Relay beim Provider falls unser Mail Server (resp. die SPAM Appliance) ausfällt.


    Wenn ich die MIME Settings anpasse, hilft das überhaupt? Oder überschreibt die Appliance als Relay den Header?


    Der DNS Test hat nur zwei Warnings, der Rest erfolgreich:
    - SPF Record
    - Single Point of Failure beim DNS


    Wenn ich einen Relay Test durchführe, so ist doch nicht ganz alles in Ordnung, oder wie interpretierst du das? Hast du damit Erfahrung? (Test 11 macht mir Sorge?)



    Vielleicht kannst du mir ja nochmals helfen? Besten Dank!


    Grüsse
    Haennerson

    Zitat

    Ja es ist bei uns so, dass wir die Mails vom Domino an eine SPAM Appliance senden welche als Relay dient, sprich diese sendet die Mails nach erfolgreicher Überprüfung ab.


    Ich nehme an du meinst das, oder?


    Ja. Für mich war nur nicht ersichtlich, ob das Relay innerhalb oder ausserhalb deiner Infrastruktur und somit in deinem Verantwortungsbereich liegt.


    Das Problem mit den eigenen Relay-Servern ist i.d.R. die Tatsache, dass diese ja SMTP-Mails sowohl von innen als auch von außen akzeptieren und daher schwieriger zu konfigurieren sind da sie ja für Mails der eigenen User tatsächlich Relay spielen müssen während sie Mails von außen unter keinen Umständen wieder nach außen relayen dürfen, nach innen natürlich schon.


    Da wir jetzt also wissen, dass die Appliance die Mails nach draussen sendet und damit auch der Kontaktpartner des nächsten Mailservers ist, muß die Konfiguration der Appliance bzw. der entsprechenden DNS und MX Einträge stimmen. Mit dem Domino hat das dann aber - wie schon vermutet - nichts mehr zu tun.


    Zitat

    Zudem haben wir noch ein Relay beim Provider falls unser Mail Server (resp. die SPAM Appliance) ausfällt.


    Wie ist das im Domino konfiguriert? Über Fremde Domänen mit unterschiedlichen Kosten? Oder ganz anders, z.B. über MX und nächste Domäne?


    Zitat

    Wenn ich die MIME Settings anpasse, hilft das überhaupt? Oder überschreibt die Appliance als Relay den Header?


    Jaein. Natürlich kann jeder Mailserver, und damit auch die Appliance, den gesamten Header umschreiben. Macht aber kaum einer es sei denn aus den bereits erwähnten Gründen, bestimmte Informationen über Namen, Adressen und Softwareversionen der eingesetzten Systeme zu verschleiern um Angriffe schwieriger zu gestalten.


    Eine Information, die der Domino aber einmal entfernt hat kann der nachfolgende Server sich schlecht wieder aus den Fingern saugen ^^ Insofern macht eine Auswahl zum Entfernen bestimmter Informationen durchaus Sinn, wenn ich diese nicht weitergeben möchte.


    Nachteil für den Admin ist natürlich, wenn es mal Probleme gibt dann sind auch weniger Informationen zum Analysieren vorhanden. Also muß man Abwägen was man tatsächlich weitergeben möchte.


    Zitat

    Der DNS Test hat nur zwei Warnings, der Rest erfolgreich:
    - SPF Record
    - Single Point of Failure beim DNS


    Klingt doch gut. Ist da jetzt zuvor bereits eine DNS Änderung erfolgt? Als ich deinen Server getestet habe ^^ sah das Ergebnis noch etwas anders aus.


    Zitat

    Wenn ich einen Relay Test durchführe, so ist doch nicht ganz alles in Ordnung, oder wie interpretierst du das? Hast du damit Erfahrung? (Test 11 macht mir Sorge?)


    Ist zwar ein komplett anderes Thema aber kurz möchte ich trotzdem drauf eingehen.


    Ich kann natürlich nicht sehen, welche Daten du für den Test vorgegeben hast. Auch scheint es mir so als wären ein paar Informationen entfernt worden (das >>> MAIL FROM: ist oft auffällig leer) insofern ist es bereits schwierig etwas zu sagen, da ich den Test für deinen Server über Abuse nicht durchführen darf (so oft hintereinander lassen die den gleichen Server nicht zum anonymen Test zu).


    Der Test 11 (ich habe die Tests mal mit einem anderen Mailserver gemacht um den Inhalt des Tests 11 zu sehen) scheint eine Verschleierungstaktik zu prüfen, bei der eine externe Adresse im lokalen Part einer scheinbar internen Adresse versteckt wird.


    Ob der Test 11 dir Sorgen machen muß findest du heraus, indem du prüfst ob die im Test 11 erzeugte Mail auch tatsächlich wieder bei der externen Adresse ankommt.


    Ich habe diesen Test gerade einmal manuell mit deinem Server durchgeführt und dabei sieht das Ergebnis so aus, dass die Appliance die Mail zwar annimmt (was zur Abuse-Warnung führt) ABER - und das ist das eigentlich Wichtige - die Mail wird NICHT wieder nach aussen relayed sondern geht entweder nach innen weiter (wirst dann wahrscheinlich eine Dead-Mail in deiner Domino Server mail.box vorfinden ^^) oder sogar vom AntiSPAM der Appliance gefiltert.


    Insofern alles im grünen Bereich mit dem Test 11 =)

    Hi Carsten


    erstmal muss ich mich echt herzlich bei dir bedanken für deine ausführliche Antwort. Für mich ist das überhaupt nicht selbstverständlich, dass du dir so Zeit nimmst für mein Anliegen. Generell ein grosses Lob hier ans Forum! Ihr seid wirklich ein super Team!


    So nun zur Sache ;)


    Zitat

    Das Problem mit den eigenen Relay-Servern ist i.d.R. die Tatsache, dass diese ja SMTP-Mails sowohl von innen als auch von außen akzeptieren und daher schwieriger zu konfigurieren sind da sie ja für Mails der eigenen User tatsächlich Relay spielen müssen während sie Mails von außen unter keinen Umständen wieder nach außen relayen dürfen, nach innen natürlich schon.


    Ich habe die Appliance eigentlich entsprechend konfiguriert, dass er nur Mails annehmen darf aus einem gewissen IP Bereich (LAN) und auch nur mit der Firmendomäne. Daher sollte das eigentlich kein Problem sein. (ist es ja auch nicht anscheinend)


    Zitat

    Wie ist das im Domino konfiguriert? Über Fremde Domänen mit unterschiedlichen Kosten? Oder ganz anders, z.B. über MX und nächste Domäne?


    Ja ist einfach über ein MX20 Record. Also nichts grossartiges :)


    Zitat

    Klingt doch gut. Ist da jetzt zuvor bereits eine DNS Änderung erfolgt? Als ich deinen Server getestet habe ^^ sah das Ergebnis noch etwas anders aus.


    Ja beim Provider war wohl irgendwo noch ein falscher Eintrag drin. Eigentlich kann ich den DNS remote beim Provider konfigurieren, aber anscheinend war da noch was im Cache oder so. Gewisse Reverse Lookups geben nun bereits den MX Record zurück.


    Das mit den Relays muss ich mir mal genauer ansehen was da alles passiert etc. Hab da eine zu grosse Wissenslücke, werd mich da mal schlau machen.


    Besten Dank für deine Antwort nochmals!


    Gruss aus der Schweiz
    Haennerson

    Klingt doch gut. Dann setze ich den Topic mal auf erledigt.


    Ich habe ja auch nicht immer die Zeit, mich so intensiv (kostenlos) um sowas zu kümmern weil mich meine Frau sonst irgendwann lyncht wenn der Kühlschrank leer bleibt ^^ aber manchmal nehme ich mir die Zeit halt doch. Insbesondere wenn man merkt, daß die Gegenfragen auch gleichermaßen fundiert beantwortet werden macht das ja auch durchaus Spaß.

    Ja ist ok mit erledigt.


    Ich kann einerseits deine Frau verstehen aber ich freue mich auch über solche Hilfestellungen ;)


    Ja ich versuche wenigstens immer das entsprechende Feedback zu geben wenn mir jemand hilft. Ist doch das Mindeste!


    Dann kann ich ja nur noch schöns Weekend wünschen!