Gmail se nespojí s mým SMTP

[Ujo]

ujoun: reklama na co?

[Reklama]

[Filip Jirsák]

Viz odkaz znamená to přidat další e-mailovou adresu, přes jejíž server se bude pošta odesílat.
V názvosloví Googlu "Odesílat poštu prostřednictvím SMTP:"

Aha, to odesílání pošty prostřednictvím SMTP ta před deseti lety nebylo :-)

Certifikát máme od certifikační autority.. :-) Nebo co myslíte? Jestli to není selfsigned?

Jestli je to nějaká autorita, které by Google mohl důvěřovat (pokud nedůvěřuje jakémukoli certifikátu). A také zda ten certifikát třeba není propadlý.

Jestli Google naváže s naším serverem spojení nemám jak ověřit. Nesedím na straně googlu. A jak psal někdo výše TCPDUMP - i kdybych mohl použít, tak je tam takový traffic, že tam nic nepoznám.

Máte to jak ověřit z vaší strany. Nejjednodušší bude nasměrovat Google na nějakou jinou veřejnou IP adresu, než je váš poštovní server, a pak odsud komunikaci přesměrovat na správný cíl. Cokoli, co naváže spojení na tuhle IP adresu a zvolený port, bude nejspíš server Google.

Je to jak jsem psal - posílání pošty z Gmail rozhraní přes naše SMTP...

Předpokládám, že je to kvůli SPF nebo DKIM. Není jednodušší nastavit, že pro danou doménu je regulérním odesílatelem i Google? Pokud bych něco s radostí přenechal Googlu, tak je to právě odesílání e-mailů, abych nemusel řešit „administrátory“, kteří hledají každou záminku, proč e-mail odmítnout. E-maily od Googlu si většinou odmítnout nedovolí.

[Ujo]

Pane Jirsáku velice děkuji za odpovědi:
ad 1. Děkuji za pochopení
ad 2. Je to i pro Google důvěryhodná autorita, ale (pochopitelně) nemohu zveřejnit
ad 3. Ano takto by to šlo. děkuji. Nicméně dělat relay na další veřejné IP by pro nás bylo složité. Ale možná zkusíme.
ad 4. Velmi dobrý nápad. Díky.

[snuff1987]

Google odosle mail na domenu, nema preco to odmietnut. Ked nemate tcpdump, treba pustit wireshark a pozriet sa na to ci vobec prisiel pokus o dorucenie mailu.

Problem nastava opacnym smerom ak z Vasej neoverenej domeny chcete poslat mail na google a nemate SPF, DKIM tak bude odmietnuty, s tym ze Vasa IP adresa / domena nie je doveryhodna.

[Ujo]

Ad bod 4 k panu Jirsákovi: No ale je fakt, že SPF a DKIM ověřují zprávu a mi nenaváže gmail ani spojení na SMTP. Ale maily z gmail účtů na tu schránku normálně chodí...

Ad snuf1987: Jak jsem psal výše. Maily z gmailu na tu doménu chodí. Jen gmail neumí navázat spoj na náš smtp když má dělat "redirect" - v uvozovkách...

Nicméně děkuji moc za inspiraci a kdyby přišla další budu rád.

[Reklama]

[Ujo]

Opět jsem to napsal zmatečně.
Mi gmail nenaváže spojení na smtp jen v tom případě, kdy z něj v uvozovkách chci udělat ten relay server (nebo nevím jak to u gmailu funguje, ale myslím tím tu funkci co je popsaný v linku výše).

A pokud to neproženeme přes další relay server tak ani ve wiresharku nebudeme umět odfiltrovat ten provoz co chceme.

[Filip Jirsák]

ad 2. Je to i pro Google důvěryhodná autorita, ale (pochopitelně) nemohu zveřejnit

Důvod, proč nemůžete zveřejnit název autority, nechápu, ale je to jedno, myslím, že na tom nezáleží – ale nepokládám za pravděpodobné, že by problém byl v certifikátu.

ad 3. Ano takto by to šlo. děkuji. Nicméně dělat relay na další veřejné IP by pro nás bylo složité. Ale možná zkusíme.

Nemusíte tam dělat mail relay, stačí jen DNAT+SNAT. A nebo můžete tu komunikaci zaznamenat na současném serveru, ale tam bude problém zjistit zdrojové IP adresy, abyste odfiltroval jenom komunikaci z Googlu, a navíc se vám do toho bude plést zasílání běžných e-mailů z Googlu. Na druhou stranu, pokud použijete cokoli jiného než port 25, neměla by tam být od externích subjektů žádná jiná komunikace, než ta od Googlu – příchozí pošta se posílá vždy na portu 25 a případně se komunikace povýší přes STARTTLS. Takže by se vám tam mohla připlést maximálně komunikace vašich klientů, a tu snad dokážete odfiltrovat.

Google odosle mail na domenu, nema preco to odmietnut.

Tohle není běžné odeslání e-mailu, to je situace, kdy GMail vystupuje v roli klienta a předává e-mail k doručení na SMTP relay. Nevím, jak dlouho tohle GMail umí, z počátku to určitě neuměl.

Ked nemate tcpdump, treba pustit wireshark

Tcpdump a Wireshark je to samé, akorát jedno je konzolový a jedno GUI nástroj. Problém je ve vyfiltrování té správné komunikace, a to musíte s oběma nástroji vyřešit úplně stejně.

No ale je fakt, že SPF a DKIM ověřují zprávu a mi nenaváže gmail ani spojení na SMTP.

Když se klient přihlásí, neměl by váš server ověřovat SPF ani DKIM – je to „jeho“ klient, o přidání DKIM podpisu by se měl naopak postarat server a SPF by také mělo směřovat na server.

Zdá se mi divné, že by se nenavázalo ani SMTP spojení – to bych pak problém hledal v DNS (zda se název překládá na správnou IP adresu) případně v nastavení firewallu. Za pravděpodobnější bych považoval, že se nepodaří navázat SSL/TLS spojení, nebo že se nepodaří autentizace uživatele. Ale nepodařená autentizace by zase měla být vidět v nějakém podrobnějším logu serveru. Každopádně nejprve by to chtělo zjistit, zda se vůbec naváže TCP/IP spojení – aby bylo jasné, zda je to síťový problém nebo problém čistě mailový.

[zaba v mixeru]

Soustredte se predevsim na to, abyste ziskal nejaky log neceho. Treba asi tam mate firewall, ne?

[Ujo]

Soustredte se predevsim na to, abyste ziskal nejaky log neceho. Treba asi tam mate firewall, ne?

díky podívám se tam... ale tam bude taky provoz jako kráva :-)

[zaba v mixeru]

Tak ale asi ne na portu 587 vecer v 10, ne? Nebo si muzete pokusne nastavit nejaky svuj port, kde jinak nic nemate a podivat se, co tam gugol cpe, jestli vubec.

PS na firewallu by se taky mohlo povest nastavit presmerovani nejakeho vnejsiho portu na vnitrni 25 nebo 465 nebo cokoli bude treba.

[snuff1987]

Tcpdump a Wireshark je to samé, akorát jedno je konzolový a jedno GUI nástroj. Problém je ve vyfiltrování té správné komunikace, a to musíte s oběma nástroji vyřešit úplně stejně.

To mi je uplne jasne, ale nie je mi jasne preco riesime veci amatersky bez akehokolvek logu , domnienkami. Overit sietovu komunikaciu je zaklad a ze sa to neda/je to zlozite je pre mna chaby argument.. Da sa najst 1 konkretny paket v Gigabajtoch dat a relativne jednoducho ked vieme co hladame.

[sefik]

doufam, ze uz si to vyresil

[Ujo]

Tak jsem se konečně dostal k logům jak z SMTP tak z hraničního firewallu a není tam vidět ani žádný příchozí požadavek z googlu...
Takže jsem napsal na podporu google...

[best]

jo, chyba bude urcite u googlu

[Ujo]

Děkuji za neskutečně kvalitní radu...