Discussion:
Mail probleem
(te oud om op te antwoorden)
Paul van der Vlis
2023-09-20 10:45:54 UTC
Permalink
Hallo,

Ik probeer bij een klant het programma Monit mail te laten versturen,
maar dat geeft deze foutmelding in /var/log/mail.log:

Sep 20 12:35:37 hosting postfix/smtpd[20084]: NOQUEUE: reject: RCPT from
localhost[127.0.0.1]: 554 5.7.1 <***@vandervlis.nl>: Relay access
denied; from=<***@hosting.klant.nl> to=<***@vandervlis.nl>
proto=ESMTP helo=<hosting>

Terwijl het allemaal goed gaat als ik mail verstuur met dit commando:
echo hoi | mail -r ***@hosting.klant.nl -s test2 ***@vandervlis.nl

De configuratie van Monit die ik gebruik werkt op andere machines zonder
problemen.

Heeft hier iemand een idee?

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Roger
2023-09-20 14:12:55 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Ik probeer bij een klant het programma Monit mail te laten versturen, maar dat geeft deze
Sep 20 12:35:37 hosting postfix/smtpd[20084]: NOQUEUE: reject: RCPT from
De configuratie van Monit die ik gebruik werkt op andere machines zonder problemen.
Heeft hier iemand een idee?
Dit zijn twee verschillende situaties.

In het eerste geval wordt een SMTP connectie opgezet naar postfix/smtpd en
is authenticatie vereist om te mogen relayen.

In het tweede geval wordt postfix gestart als /usr/sbin/sendmail en wordt
de mail aangeboden via een pipe (als ik mij goed herinner). Dit gebeurt
zonder verdere authenticatie.

Het verschil is te zien in de eerste Received: header. Vergelijk (ge-edit):
- Received: from [A.B.C.D] (helo=CLIENT) by MAILSERVER with esmtpsa (TLS1.2) tls
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from <FROM>)
- Received: from USER by MAILSERVER with local (Exim 4.94.2)

Authenticeert de SMTP client in het eerste geval wel correct? Oorzaak kan
bv. een TLS issue zijn. Op mijn server kan een client alleen authenticeren
t.b.v. relay als de connectie secure is: geen TLS, geen authenticatie,
geen relay.

Groeten,
-Roger
Paul van der Vlis
2023-09-20 14:40:33 UTC
Permalink
Post by Roger
Post by Paul van der Vlis
Hallo,
Ik probeer bij een klant het programma Monit mail te laten versturen,
Sep 20 12:35:37 hosting postfix/smtpd[20084]: NOQUEUE: reject: RCPT
proto=ESMTP helo=<hosting>
De configuratie van Monit die ik gebruik werkt op andere machines zonder problemen.
Heeft hier iemand een idee?
Dit zijn twee verschillende situaties.
In het eerste geval wordt een SMTP connectie opgezet naar postfix/smtpd en
is authenticatie vereist om te mogen relayen.
In het tweede geval wordt postfix gestart als /usr/sbin/sendmail en wordt
de mail aangeboden via een pipe (als ik mij goed herinner). Dit gebeurt
zonder verdere authenticatie.
- Received: from [A.B.C.D] (helo=CLIENT) by MAILSERVER with esmtpsa (TLS1.2) tls
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from
<FROM>)
- Received: from USER by MAILSERVER with local (Exim 4.94.2)
Authenticeert de SMTP client in het eerste geval wel correct?
Nee, er vind geen authenticatie plaats. Zoals ik normaal een server
inricht is dit niet nodig vanaf localhost. Maar deze machine heb ik niet
ingericht...

Ah, ik heb het gevonden! In Postfix staat normaal een "mynetworks"
variable. Die was leeg, na daar "127.0.0.1, [::1]/128" neergezet te
hebben werkt het!
Post by Roger
Oorzaak kan
bv. een TLS issue zijn. Op mijn server kan een client alleen authenticeren
t.b.v. relay als de connectie secure is: geen TLS, geen authenticatie,
geen relay.
Er is ook geen sprake van TLS. Volgens mij is het ook niet verplicht op
deze machine.

Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Paul van der Vlis
2023-09-20 15:02:28 UTC
Permalink
Post by Paul van der Vlis
Post by Roger
Post by Paul van der Vlis
Hallo,
Ik probeer bij een klant het programma Monit mail te laten versturen,
Sep 20 12:35:37 hosting postfix/smtpd[20084]: NOQUEUE: reject: RCPT
proto=ESMTP helo=<hosting>
De configuratie van Monit die ik gebruik werkt op andere machines zonder problemen.
Heeft hier iemand een idee?
Dit zijn twee verschillende situaties.
In het eerste geval wordt een SMTP connectie opgezet naar
postfix/smtpd en
is authenticatie vereist om te mogen relayen.
In het tweede geval wordt postfix gestart als /usr/sbin/sendmail en wordt
de mail aangeboden via een pipe (als ik mij goed herinner). Dit gebeurt
zonder verdere authenticatie.
- Received: from [A.B.C.D] (helo=CLIENT) by MAILSERVER with esmtpsa (TLS1.2) tls
   TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Exim 4.94.2) (envelope-from
<FROM>)
- Received: from USER by MAILSERVER with local (Exim 4.94.2)
Authenticeert de SMTP client in het eerste geval wel correct?
Nee, er vind geen authenticatie plaats. Zoals ik normaal een server
inricht is dit niet nodig vanaf localhost. Maar deze machine heb ik niet
ingericht...
Ah, ik heb het gevonden!  In Postfix staat normaal een "mynetworks"
variable. Die was leeg, na daar "127.0.0.1, [::1]/128" neergezet te
hebben werkt het!
Hmm, ik bedenk dat webapplicaties van klanten nu wel zonder
authenticatie mail kunnen verzenden. Misschien is dat ook een risico.
Post by Paul van der Vlis
Post by Roger
Oorzaak kan
bv. een TLS issue zijn. Op mijn server kan een client alleen
authenticeren
t.b.v. relay als de connectie secure is: geen TLS, geen authenticatie,
geen relay.
Er is ook geen sprake van TLS. Volgens mij is het ook niet verplicht op
deze machine.
Groet,
Paul
--
Paul van der Vlis Linux systeembeheer Groningen
https://vandervlis.nl
Roger
2023-09-20 17:28:31 UTC
Permalink
Ah, ik heb het gevonden!  In Postfix staat normaal een "mynetworks" variable. Die was
leeg, na daar "127.0.0.1, [::1]/128" neergezet te hebben werkt het!
Soms is het veel simpeler dan je in eerste instantie zou denken. Good catch!
Hmm, ik bedenk dat webapplicaties van klanten nu wel zonder authenticatie mail kunnen
verzenden. Misschien is dat ook een risico.
Elke geauthenticeerde gebruiker kan sowieso rechtstreeks mail versturen door
/usr/sbin/sendmail aan te roepen. Wat jij nu doet is denk ik niet onveilig.

Groeten,
-Roger

Loading...