Fórum Root.cz
Hlavní témata => Server => Téma založeno: Ujo 13. 10. 2016, 10:36:56
-
Ahoj,
chci si přidat do gmailu druhou schránku, ale při kontaktování mého SMTP serveru hlásí chybu, že se nelze připojit.
SMTP AUTH je zapnutý, SSL i TLS porty povolené.
Nefunguje ani na 25 ani 465 ani 587 portu.
Setkali jste se s tím?
Díky
-
Presné znenie tej chybovej hlášky?
Logy na Tvojom serveri z daného obdobia?
tcpdump?
-
Hláška: Server je nedostupný. Zkontrolujte server a číslo portu.
V lozích nic.
TCPDUMP nezkoušen - je to Win server ten můj poštovní.
-
Není blokovaný odchozí provoz na smtp z Vaší sítě?
-
Odchozí provoz na smtp z naší sítě? Nerozumím. Nedá se připojit z gmailu na naše smtp od klientů. Tzn. z různých sítí a defakto že sítě google.
Protože to je služba googlu.
Někde jsem se dočetl, že to musí jít přes TLS a jinde, že přes cokoliv.
TLS na serveru povolené máme, ale zdá se, ze u jednotlivých schránek ne.
(Používáme IceWarp)
Díky za další nápady.
-
TLS na serveru povolené máme, ale zdá se, ze u jednotlivých schránek ne.
vidno, ze pan je odbornik...
-
Tak jsem to možná napsal blbě, ale nechápu co?
Port 587 na SMTP serveru otevřený je, ale v IceWarp není TLS ověřování účtů...
Cituji podporu IceWarp:
pokud ze 3 gmailem nabízených možností ve skutečnosti funguje jen jedna - message submission na portu 578, je to přinejmenším zvláštní.
Na xxx.domena.cz zatím message submission nepodporujeme.
A dále:
informace na fórech není pravdivá. Svůj účet jsem přidal na portu 465 se zabezpečením SSL. Nevím, proč ve Vašem případě takto přidat nejde, ale v mém případě jde přidat účet i na jiných portech. Otázkou je, jaká konfigurace gmailu ve Vašem případě vadí. Pravděpodobně bych sečkal na vyjádření od google.
Díky za další rady.
-
Hele Ujo, a co takhle si nekoho objednat a zaplatit? Pocitam ze icewarp si neprovozujes doma pod posteli.
Jinak vazne nevim, co resis na tom googlu a temahle portama, mozna by nebylo od veci napsat, co ze potom vlastne chces, protoze pres smtp se maily vyhradne odesilaji.
-
No podporu IceWarpu platíme, ale problém evidentně není na jejich straně.
Vypadá to jakoby gmail blokoval čistě jen naše smtp.
Ano je na odesílání a právě proto jej gmail potřebuje proto aby mohl ze svého rozhraní posílat maily přes naše smtp...
Nevím jak to napsat líp, ale snad pomůže link...
http://www.savana.cz/napoveda/emaily-a-emailova-komunikace/nastaveni-smtp-savanacz-na-gmail/&highlight=gmail
A toto nám nefunguje...
-
Co znamená „přidat druhou schránku“? Přidat adresu pro přeposílání? Přidat e-mailovou adresu do „Odesílat poštu jako“? Použijte přesně ty termíny, které vidíte v rozhraní GMailu, ideálně i s popisem, jak jste se k nim dostal.
SMTP AUTH je zapnutý – to se týká případů, když váš server e-maily pro někoho odesílá. To asi nebude případ, co chcete zprovoznit na GMailu, tam asi bude váš server e-maily spíš přijímat, takže tam samozřejmě žádná autentizace být nemůže.
SSL i TLS porty povolené – jaký tam máte certifikát?
Naváže vůbec GMail s vaším serverem TCP/IP spojení? Odjinud e-mail na tu e-mailovou adresu pošlete? Když na tu adresu pošlete normální e-mail z GMailu, co se stane?
-
Díky za dotazy pane Jirsáku.
Viz odkaz znamená to přidat další e-mailovou adresu, přes jejíž server se bude pošta odesílat.
V názvosloví Googlu "Odesílat poštu prostřednictvím SMTP:"
SMTP AUTH - Google v tomto případě posílá maily přes zadaný SMTP server (počítám, že v tu chvíli se buď jen využívá jeho web rozhraní nebo je max relay server)
SSL i TLS - tady to asi trochu kopu, jsou povolené porty pro SSL i TSL, ale jak popsala podpora IceWarp výše, tak TLS šifrování povolené není... Certifikát máme od certifikační autority.. :-) Nebo co myslíte? Jestli to není selfsigned?
Jestli Google naváže s naším serverem spojení nemám jak ověřit. Nesedím na straně googlu. A jak psal někdo výše TCPDUMP - i kdybych mohl použít, tak je tam takový traffic, že tam nic nepoznám.
Děkuji za doplňující dotazy - snad jsem to vysvětlil lépe.
A pokud se podíváte na ten link, tak bude jasnější jakou službu potřebuji nastavit.
Je to jak jsem psal - posílání pošty z Gmail rozhraní přes naše SMTP...
-
A toto nám nefunguje...
Chmm ... a kdo vam to administruje? To asi icewarp nebude ze. Podpora neni sprava.
Z toho mala informaci je zjevny, ze se na ten srv neda zvenku pripojit, nebo se minimalne nemuze pripojit google, coz rozhodne nebude problem na strane googlu. Protoze i jen pokus o to pripojeni by byl videt v logu - je potreba si ale v ty konzoli vybrat ten spravnej log - nahore musi byt vybrano prave SMTP. Jo a aby tam neco bylo, tak je treba nad sluzbou smtp mit zapnuty logovani samo - System -> services -> tab general a ve sloupci s logovanim nastavit debug. Pak je treba to restartnout (radsi vse).
Jinak ... co treba takhle pekne zvenku vyzkouset na ty porty telnet. A nebo si na ne pustit nmap. Pripadne, kdyz nic jinyho, si takhle treba doma nainstalovat thunderbirda a vyzkouset si poslat mail ... pres ty zminovany porty.
A jestli 50% z toho co sem ted napsal netusis co je, nebo o cem je rec, tak naprosto zapomen na to, ze to vyresis.
-
Tak já nevím...
Administrujeme si to my. Ten SMTP server, IceWarp nám poskytuje podporu pro IceWarp (nečekaně).
Ano, je to zjevný, že se nedá připojit už z mého prvního dotazu (smtp není dostupný) a ano jen google se nemůže připojit.
Proč by to tedy nebyl problém na straně googlu? Třeba blok na naši IP?
V logu IceWarpu není nic. V logu serveru - přiznám se, že tam nějak nic nedohledáme (z interních důvodů).
Telnet na ty porty z venku samozřejmě jde. Nejde jen to spojení z Gmailu. Nmap zaprvé na Win serveru nespustím a za druhé v tom trafficu nic nepoznám.
-
BTW díval se někdo z vás na ten link výše? Ať aspoň víme o které službě gmailu mluvíme?
-
to je nejaka reklama nebo je to vazne [;
-
ujoun: reklama na co?
-
Viz odkaz znamená to přidat další e-mailovou adresu, přes jejíž server se bude pošta odesílat.
V názvosloví Googlu "Odesílat poštu prostřednictvím SMTP:"
Aha, to odesílání pošty prostřednictvím SMTP ta před deseti lety nebylo :-)
Certifikát máme od certifikační autority.. :-) Nebo co myslíte? Jestli to není selfsigned?
Jestli je to nějaká autorita, které by Google mohl důvěřovat (pokud nedůvěřuje jakémukoli certifikátu). A také zda ten certifikát třeba není propadlý.
Jestli Google naváže s naším serverem spojení nemám jak ověřit. Nesedím na straně googlu. A jak psal někdo výše TCPDUMP - i kdybych mohl použít, tak je tam takový traffic, že tam nic nepoznám.
Máte to jak ověřit z vaší strany. Nejjednodušší bude nasměrovat Google na nějakou jinou veřejnou IP adresu, než je váš poštovní server, a pak odsud komunikaci přesměrovat na správný cíl. Cokoli, co naváže spojení na tuhle IP adresu a zvolený port, bude nejspíš server Google.
Je to jak jsem psal - posílání pošty z Gmail rozhraní přes naše SMTP...
Předpokládám, že je to kvůli SPF nebo DKIM. Není jednodušší nastavit, že pro danou doménu je regulérním odesílatelem i Google? Pokud bych něco s radostí přenechal Googlu, tak je to právě odesílání e-mailů, abych nemusel řešit „administrátory“, kteří hledají každou záminku, proč e-mail odmítnout. E-maily od Googlu si většinou odmítnout nedovolí.
-
Pane Jirsáku velice děkuji za odpovědi:
ad 1. Děkuji za pochopení
ad 2. Je to i pro Google důvěryhodná autorita, ale (pochopitelně) nemohu zveřejnit
ad 3. Ano takto by to šlo. děkuji. Nicméně dělat relay na další veřejné IP by pro nás bylo složité. Ale možná zkusíme.
ad 4. Velmi dobrý nápad. Díky.
-
Google odosle mail na domenu, nema preco to odmietnut. Ked nemate tcpdump, treba pustit wireshark a pozriet sa na to ci vobec prisiel pokus o dorucenie mailu.
Problem nastava opacnym smerom ak z Vasej neoverenej domeny chcete poslat mail na google a nemate SPF, DKIM tak bude odmietnuty, s tym ze Vasa IP adresa / domena nie je doveryhodna.
-
Ad bod 4 k panu Jirsákovi: No ale je fakt, že SPF a DKIM ověřují zprávu a mi nenaváže gmail ani spojení na SMTP. Ale maily z gmail účtů na tu schránku normálně chodí...
Ad snuf1987: Jak jsem psal výše. Maily z gmailu na tu doménu chodí. Jen gmail neumí navázat spoj na náš smtp když má dělat "redirect" - v uvozovkách...
Nicméně děkuji moc za inspiraci a kdyby přišla další budu rád.
-
Opět jsem to napsal zmatečně.
Mi gmail nenaváže spojení na smtp jen v tom případě, kdy z něj v uvozovkách chci udělat ten relay server (nebo nevím jak to u gmailu funguje, ale myslím tím tu funkci co je popsaný v linku výše).
A pokud to neproženeme přes další relay server tak ani ve wiresharku nebudeme umět odfiltrovat ten provoz co chceme.
-
ad 2. Je to i pro Google důvěryhodná autorita, ale (pochopitelně) nemohu zveřejnit
Důvod, proč nemůžete zveřejnit název autority, nechápu, ale je to jedno, myslím, že na tom nezáleží – ale nepokládám za pravděpodobné, že by problém byl v certifikátu.
ad 3. Ano takto by to šlo. děkuji. Nicméně dělat relay na další veřejné IP by pro nás bylo složité. Ale možná zkusíme.
Nemusíte tam dělat mail relay, stačí jen DNAT+SNAT. A nebo můžete tu komunikaci zaznamenat na současném serveru, ale tam bude problém zjistit zdrojové IP adresy, abyste odfiltroval jenom komunikaci z Googlu, a navíc se vám do toho bude plést zasílání běžných e-mailů z Googlu. Na druhou stranu, pokud použijete cokoli jiného než port 25, neměla by tam být od externích subjektů žádná jiná komunikace, než ta od Googlu – příchozí pošta se posílá vždy na portu 25 a případně se komunikace povýší přes STARTTLS. Takže by se vám tam mohla připlést maximálně komunikace vašich klientů, a tu snad dokážete odfiltrovat.
Google odosle mail na domenu, nema preco to odmietnut.
Tohle není běžné odeslání e-mailu, to je situace, kdy GMail vystupuje v roli klienta a předává e-mail k doručení na SMTP relay. Nevím, jak dlouho tohle GMail umí, z počátku to určitě neuměl.
Ked nemate tcpdump, treba pustit wireshark
Tcpdump a Wireshark je to samé, akorát jedno je konzolový a jedno GUI nástroj. Problém je ve vyfiltrování té správné komunikace, a to musíte s oběma nástroji vyřešit úplně stejně.
No ale je fakt, že SPF a DKIM ověřují zprávu a mi nenaváže gmail ani spojení na SMTP.
Když se klient přihlásí, neměl by váš server ověřovat SPF ani DKIM – je to „jeho“ klient, o přidání DKIM podpisu by se měl naopak postarat server a SPF by také mělo směřovat na server.
Zdá se mi divné, že by se nenavázalo ani SMTP spojení – to bych pak problém hledal v DNS (zda se název překládá na správnou IP adresu) případně v nastavení firewallu. Za pravděpodobnější bych považoval, že se nepodaří navázat SSL/TLS spojení, nebo že se nepodaří autentizace uživatele. Ale nepodařená autentizace by zase měla být vidět v nějakém podrobnějším logu serveru. Každopádně nejprve by to chtělo zjistit, zda se vůbec naváže TCP/IP spojení – aby bylo jasné, zda je to síťový problém nebo problém čistě mailový.
-
Soustredte se predevsim na to, abyste ziskal nejaky log neceho. Treba asi tam mate firewall, ne?
-
Soustredte se predevsim na to, abyste ziskal nejaky log neceho. Treba asi tam mate firewall, ne?
díky podívám se tam... ale tam bude taky provoz jako kráva :-)
-
Tak ale asi ne na portu 587 vecer v 10, ne? Nebo si muzete pokusne nastavit nejaky svuj port, kde jinak nic nemate a podivat se, co tam gugol cpe, jestli vubec.
PS na firewallu by se taky mohlo povest nastavit presmerovani nejakeho vnejsiho portu na vnitrni 25 nebo 465 nebo cokoli bude treba.
-
Tcpdump a Wireshark je to samé, akorát jedno je konzolový a jedno GUI nástroj. Problém je ve vyfiltrování té správné komunikace, a to musíte s oběma nástroji vyřešit úplně stejně.
To mi je uplne jasne, ale nie je mi jasne preco riesime veci amatersky bez akehokolvek logu , domnienkami. Overit sietovu komunikaciu je zaklad a ze sa to neda/je to zlozite je pre mna chaby argument.. Da sa najst 1 konkretny paket v Gigabajtoch dat a relativne jednoducho ked vieme co hladame.
-
doufam, ze uz si to vyresil
-
Tak jsem se konečně dostal k logům jak z SMTP tak z hraničního firewallu a není tam vidět ani žádný příchozí požadavek z googlu...
Takže jsem napsal na podporu google...
-
jo, chyba bude urcite u googlu ;D
-
Děkuji za neskutečně kvalitní radu...
-
Tak jsem se konečně dostal k logům jak z SMTP tak z hraničního firewallu a není tam vidět ani žádný příchozí požadavek z googlu...
Takže jsem napsal na podporu google...
Dostavas presne takovou radu, jakou si zaslouzis ... ty maily z googla ktery ti chodej se pres ty logy teleportujou ze?
-
A co jako? Však od začátku píšu, že se google nepřipojí na smtp (port 25, 465, 587) o pop3 nebo imap ani lejno!
Poraď nebo zmiz...
-
Tak jsem se konečně dostal k logům jak z SMTP tak z hraničního firewallu a není tam vidět ani žádný příchozí požadavek z googlu...
Takže jsem napsal na podporu google...
V tom případě je na 99,9 % chyba v údajích, které tam zadáváte. Buď jste zadal špatnou adresu, nebo ta adresa není v DNS, nebo se vám překládá na jinou adresu, než myslíte. Ostatně zkuste se na tu adresu a port z venku připojit sám, uvidíte, zda ten záznam na tom zahraničním firewallu uvidíte.
-
Dnes jsem řešil to samé ....
pokud je 100% jistota že email funguje a je normálně dostupný, mě pomohla zadat natvrdo IP adresu
Gmail me jen nebral domenu ...
-
Díky. I to jsem zkoušel. Nepomohlo... Ale zítra budu mít více informací bo mne něco napadlo...
-
uz jsem na to prisel! - problem bude mezi klavesnici a zidli - ale to snad bylo jasne od zacatku..
co kdybys sefikovi radeji sdelil, zda-li jsi restartoval pocitac pripadne mobil pred tim, nez si zacal psat do fora a premyslet
-
A co jako? Však od začátku píšu, že se google nepřipojí na smtp (port 25, 465, 587) o pop3 nebo imap ani lejno!
Poraď nebo zmiz...
Vzhledem k tomu, že toto používám na více místech, nejen u sebe, ale i u zákazníků proti různým SMTP serverům včetně vlastního a nikdy s tím nebyl problém, tak si tímto dovolím obhájit Google a budu díky mnohačetných zkušeností předpokládat, že Google je v tomto opravdu nevinně a chyba bude někde jinde ;-)