Odesílání mailu se zablokovaným portem 25

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #15 kdy: 19. 09. 2019, 09:57:43 »
Další varianta  bez vlastního SMTP serveru může být např. https://sendgrid.com/pricing/


Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #16 kdy: 19. 09. 2019, 15:00:14 »
To záleží na konfiguraci toho serveru, přes který se e-mail rozesílá. GMail tam nezachová ani e-mail uvedený jako alias u daného účtu? A přepisuje jen obálkové odesílatele (to by bylo v pořádku), nebo i From?
Tohle už si nepamatuju, ale skoro bych řekl že ano, přepíše i From: (tedy tu část <..@..>, ta pro lidi "..." tam zůstala), s aliasem nevím. Ale už je to dost dlouho, co jsem si takto naběhl.
Vypadalo to, že Gmail trvá (trval) na tom, že odesílatel v obálce i dopisu je v souladu, a je to ten autentizovaný.
Ale stejně ten dotaz nedává moc smysl: jestli chci provozovat vlastní mail server, tak požádám ISP o odblokování portu 25. Asi by šlo použít i jejich SMTP jako relay, ale u kohosi bylo nutné tu doménu oznámit, aby pro odesílatele z ní ten relay dělali.
Spravoval jsem několik firmám Kerio mail server a nakonec postupně všichni (z vlastního rozhodnutí) přešli na Google nebo Microsoft.

Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #17 kdy: 19. 09. 2019, 15:37:36 »
jestli chci provozovat vlastní mail server, tak požádám ISP o odblokování portu 25.
Souhlas, pokud to nemá být jen jedna poštovní schránka, ale plnohodnotný server pro nějakou doménu, je potřeba se domluvit s ISP, aby odblokoval port 25. Za prvé musí správce mít takové znalosti, aby ten server dokázal provozovat a port 25 mu bylo možné „svěřit“, za druhé o tom bude ISP vědět, nebude to pro něj podezřelý provoz (jako kdyby mu najednou začaly chodit stovky e-mailů přes jeden účet) a bude mít kontakt, na koho se obrátit v případě problémů.

Spravoval jsem několik firmám Kerio mail server a nakonec postupně všichni (z vlastního rozhodnutí) přešli na Google nebo Microsoft.
Z vlastního rozhodnutí – vzhledem k tomu, jak spousta správců menších serverů konfiguruje antispam tak, že nemůže projít skoro nic, a pak dají velké provozovatele jako GMail, Outlook a v ČR Seznam na whitelist (aby jim alespoň nějaké e-maily přišly), není divu, že se postupně všechno přesouvá k těm velkým.

Druhá věc je, že ten komfort, který uživatelům nabízí GMail, nenabízí uživatelům asi nikdo v on-premise řešení – e-mailový klienti jsou horší (i když mají výhodu desktopové aplikace), služby serveru také…

Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #18 kdy: 20. 09. 2019, 10:16:34 »
Díky moc všem zúčastněním! Problém je vyřešen (ISP mi povolil komunikaci ven na portu 25), ale vzápětí se objevil další. Z routeru se "dostanu" na SMTP server XYZ (telnet XYZ 25 mi vrací název serveru). Ta samá situace je z jakéhokoliv PC v síti. Problém nastává na serveru - zde se telnet tváří, že na druhém konci nic není. Pokud si na routeru otevřu port 25, ze serveru se na něj dostanu, zároveň se ze serveru dostanu třeba na port 8080, který mám otevřený mimo vlastní síť. Příkaz telnet localhost 25 funguje, stejně tak telnet mail.xyz.cz 25. Níže je výpis z IPtables

Kód: [Vybrat]
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
MAILCOW    all  --  anywhere             anywhere           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
MAILCOW    all  --  anywhere             anywhere           
DOCKER-USER  all  --  anywhere             anywhere           
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain DOCKER (2 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             172.22.1.250         tcp dpt:12345
ACCEPT     tcp  --  anywhere             172.22.1.250         tcp dpt:sieve
ACCEPT     tcp  --  anywhere             172.22.1.250         tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             172.22.1.250         tcp dpt:imaps
ACCEPT     tcp  --  anywhere             172.22.1.250         tcp dpt:imap2
ACCEPT     tcp  --  anywhere             172.22.1.250         tcp dpt:pop3
ACCEPT     tcp  --  anywhere             172.22.1.4           tcp dpt:submission
ACCEPT     tcp  --  anywhere             172.22.1.4           tcp dpt:urd
ACCEPT     tcp  --  anywhere             172.22.1.4           tcp dpt:smtp
ACCEPT     tcp  --  anywhere             172.22.1.9           tcp dpt:mysql
ACCEPT     tcp  --  anywhere             172.22.1.11          tcp dpt:https
ACCEPT     tcp  --  anywhere             172.22.1.11          tcp dpt:http

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination         
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere           
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere           
RETURN     all  --  anywhere             anywhere           

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere           
RETURN     all  --  anywhere             anywhere           

Chain DOCKER-USER (1 references)
target     prot opt source               destination         
RETURN     all  --  anywhere             anywhere           

Chain MAILCOW (2 references)
target     prot opt source               destination         
REJECT     all  --  motivation.wfunnel.com/24  anywhere             reject-with icmp-port-unreachable

Někdo nějaký nápad, prosím?

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #19 kdy: 20. 09. 2019, 10:27:35 »
telnet XYZ 25 mi vrací název serveru - jak tomu máme rozumět?

Něco takového https://www.e-smtp.cz/testovani-smtp/ ?



Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #20 kdy: 20. 09. 2019, 11:27:38 »
Ano, přesně tak

Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #21 kdy: 20. 09. 2019, 11:34:54 »
Relay server je nastavený aby např. dělal relay z IP adresy, relay s autorizací, nebo jak to teď vlastně máte?

Trochu se v tom ztrácím, ale postfix v základu může posílat na libovolný definovaný relay server. Standardně neexistují otevřené relay servery. Na svém relay serveru si musíte nastavit svá pravidla, za kterých bude od Vás akceptovat maily a dál je doručovat.

Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #22 kdy: 20. 09. 2019, 18:36:47 »
Nyní to mám tak, že od ISP mám otevřený port 25 a vlastní SMTP server. Jen mi nefunguje ze serveru komunikace po portu 25 ven do internetu. Z ostatních zařízení v síti to funguje bez problémů.

Např. MikroTik: system telnet address=mail.internet.starnet.cz port=25 vrací 220 dns3.starnet.cz ESMTP POSTFI

Ze serveru: telnet smtp.internet.starnet.cz vrací Unable to connect to remote host: Connection timed out

Přitom si na adresu ze serveru pingnu. Na routeru zatím nemám nijak omezenou komunikaci ven z domácí sítě, takže v tom problém nebude.

Konfigurace Debianu a MailCow je, více méně, defaultní.

Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #23 kdy: 20. 09. 2019, 19:02:26 »
Chápu to správně, že je situace následující? Máte nějaký router s NATem, za ním je nějaká síť a v té síti je mimo jiné váš poštovní server. Když zkusíte telnetem navázat TCP/IP spojení s nějakým serverem v internetu (třeba poštovní server Seznamu) na portu 25, spojení se naváže. Když to samé zkusíte z jiného počítače v síti za NATem, spojení se také naváže. Ale když to zkusíte ze serveru, TCP/IP spojení se nenaváže a dostanete nějakou chybu?

Nemá náhodou ten váš poštovní server přidělenou veřejnou IP adresu, jinou, než používá váš router a NAT? To by se mi jevilo jako nejpravděpodobnější, že vám ISP ten port 25 povolil pro váš NAT a ne pro ten poštovní server.

Pokud jsou všechna ostatní zařízení i server schované za stejným NATem, a z ostatních zařízení to funguje a ze serveru ne, pak musí být problém ve vaší síti. Buď na serveru nebo na routeru/NATu – nejspíš provoz blokuje firewall. Zkoušejte to navázání TCP/IP spojení na port 25 (třeba telnetem) ze serveru a postupně si pouštějte tcpdump (filtrovaný na cílový port 25 a server, proti kterému to zkoušíte) na serveru, na LAN rozhraní routeru a na WAN rozhraní routeru. Uvidíte, kam až pak navazující spojení dorazí a kde zmizí.

Mimochodem, pokud budete mít ten server za společným NATem s jinými zařízeními v síti, zakažte ten port 25 na svém routeru pro všechna zařízení kromě toho serveru. ISP vám povolil port 25 pro celou vaši síť (pokud je schovaná za 1 IP adresou), tím pádem libovolný napadený počítač ve vaší síti, může z vaší IP adresy začít spamovat. ISP by vám ten port 25 zase zakázal a budete ho těžko přesvědčovat, ať ho znova povolí, a navíc by se vaše IP adresa dostala na blacklisty, takže i kdyby ISP ten port znovu povolil, bude mít váš server problém s odesíláním.

Re:Odesílání mailu se zablokovaným portem 25
« Odpověď #24 kdy: 20. 09. 2019, 22:11:21 »
Nyní to mám tak, že od ISP mám otevřený port 25 a vlastní SMTP server. Jen mi nefunguje ze serveru komunikace po portu 25 ven do internetu. Z ostatních zařízení v síti to funguje bez problémů.

Např. MikroTik: system telnet address=mail.internet.starnet.cz port=25 vrací 220 dns3.starnet.cz ESMTP POSTFI

Ze serveru: telnet smtp.internet.starnet.cz vrací Unable to connect to remote host: Connection timed out

Přitom si na adresu ze serveru pingnu. Na routeru zatím nemám nijak omezenou komunikaci ven z domácí sítě, takže v tom problém nebude.

Konfigurace Debianu a MailCow je, více méně, defaultní.
Nevim jestli ti v prikladu ze serveru vypadl port 25 jen zde nebo i v shellu.
Kazdopadne bych ze tveho serveru kusil prvne telnet “ IP toho starnet.cz” 25