Beiträge von GWADM

Ich habe hier ein kleines Problem und hoffe Ihr könnt mir weiterhelfen. Die Lösungs-Recherchen bislang waren erfolglos.

Zur Vorgeschichte:
Wir betreiben Endian in einer VM. Hier zeigte sich das diese keine Mails mehr durchlies. SMTP Proxy war aktiviert, bis vor einigen Tagen lief auch alles.
In den letzten Tagen füllte sich die Mailqueue mit mehreren tausend Mails, die einfach nicht weitergeleitet wurden. Ursache war, Amavis arbeitete nicht mehr.

In /var/amavis waren tausende Verzeichnisse amavis-2011...., mit jeweils einer Datei email.txt und einem Unterverzeichnis parts, diese Verzeichnisse haben wir gesichert und anschliessend Endian neu aufgesetzt.
Jetzt läuft auch wieder alles. Nur WIE kann ich diese gesicherten Verzeichnisse wieder in den Mailfluss/die Mailqueue einspeisen?

Ein postsuper -r ALL brachte kein Ergebnis.
Ein Verschieben der Amavis-Verzeichnisse nach /var/spool/postfix/incoming und ein postsuper -r ALL brachte nur Fehlermeldungen
"postsuper: warning: remove subdirectory incoming/amavis-20110228...: Directory not empty"
also scheint er hier ja was anderes zu erwarten.

Welche Möglichkeit gibt es die scheinbar für Amavis vorbereiteten Mails abarbeiten zu lassen?

Jede einzelne von Hand anzufassen ist bei über 8000 Mails unmöglich.

Vielleicht hat ja hier jemand Tipps dazu.

Danke!
Gruß Ralf

Zitat von "Meisen"

So, nach intensiver Recherche konnte ich das Problem nun selbst lösen.
Der durch das Update korrumpierte clamd hat ca. 9000 Mails über seinen inaktiven Status abgesetzt. Nach 6000 Mails hat Amavis dann abgewunken und die Zustellung eingestellt. Nachdem ich dieses Malheur bereinigt habe, hat Amavis auch wieder die "echten" Mails in der Queue abgearbeitet.

Kannst Du mir verraten wie Du den clamd wieder zur Mitarbeit überredet hast? Ich habe hier im Moment das Gleiche Problem.

Ein Updateversuch von ClamAV nach der Anleitung von http://suckup.de/blog/2010/01/3…dnsmasq-update/ mit den aktuellen Dateien
clamav-0.96.5-0.endian5.i386.rpm22-Dec-2010 08:56 822K
clamav-db-0.96.5-0.endian5.i386.rpm22-Dec-2010 08:56 25M
clamav-devel-0.96.5-0.endian5.i386.rpm22-Dec-2010 08:56 676K

dieser verlief negativ.
Gibt es für die clamd aktualisierung unter Endian vielleicht eine andere Anleitung?

Gruß
Ralf

Ich habe die Version 2.3 auf 2.4 geupdated. Jetzt werden allerdings die Diagramme zum Netzwerkverkehr nicht mehr angezeigt.

Die Systemdiagramme, und auch die SMTP-Mailstatistik werden problemlos dargestellt.
Vor dem Update galt dies auch für die Netzwerkdiagramme.

Die Forensuche hatte ich bereits bemüht, auc h Google half nicht weiter.

Die Meldung wenn ich die Seite "Diagramme zum Netzwerkverkehr" aufrufe, ist in allen Bereichen identisch

GREEN Diagramm
Keine Informationen verfügbar.

ROT Diagramm von Uplink main
Keine Informationen verfügbar.

ROT Diagramm von Uplink uplink1
Keine Informationen verfügbar.

Ich könnte mir vorstellen das hier 2.4 buggy ist. Gibts evtl. schon eine Lösung dafür?

Heureka!

Nach etlichen Irrwegen, Shelloperationen und sonstigem Rumgesuche war es am Schluß einfach.
Beim letzen Versuch hatte ich ja die Regel, das nur mein Mailserver am Port 25 versenden darf eingerichtet.

>Hinzugefügt habe ich gerade folgende Regel:
>
># Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung Aktionen
>1 1Mailserver1 GRÜN TCP/25 GESTATTEN mit IPS

Allerdings gab es dann in den tieferen Systemregeln ja noch den Eintrag:

8 <ALLE> GRÜN TCP/25 GESTATTEN Dienst (SMTPD)
VPN ALLE
9 <ALLE> ROT TCP/25 GESTATTEN Dienst (SMTPD)

Der in der Systemregel 8 allen Rechnern im grünen Netz erlaubt via Port 25 zu senden. Damit war via Telnet Postfix noch immer zu erreichen.
Die Systemregel 9, für die eingehenden Mails ist ja ok.

Was ich nicht beachtet hatte, IPTables wird als Chain ausgeführt, und die Kette durchläuft ein Paket nur solange bis eine Regel passt. Was also fehlte war eine Regel die einfach alle Pakete verwirft die nicht vorher berechtigt wurden.

Also einfach die erste Regel durch eine zweite ergänzt. Jetzt sieht das so aus:

# Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung Aktionen
1 1Mailserver1 GRÜN TCP/25 GESTATTEN mit IPS
2 1Inneresnetz0/16 GRÜN TCP/25 ABLEHNEN

Nun wird der Zugriff des Mailservers auf Port 25 gestattet, jedoch jeder Versuch der nicht mit der Mailserver-IP vom inneren Netz kommt unterbunden.

Erste Tests waren erfolgreich, und es läuft jetzt so wie es gewünscht war. Danke aender an die Tipps die dann zur Lösung geführt haben.

Danke schön, hab sie gefunden.
Hier scheint auch tatsächlich das Probleme zu liegen. Bei den Systemdiensten ist folgender Eintrag mit aufgeführt
# Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung
8 <ALLE> GRÜN TCP/25 GESTATTEN Dienst (SMTPD)
VPN ALLE
9 <ALLE> ROT TCP/25 GESTATTEN Dienst (SMTPD)

Diese Standardeinträge lassen sich jedoch nicht über das GUI ändern. Weisst Du wo diese hinterlegt sind?

Hinzugefügt habe ich gerade folgende Regel:

# Quelladresse Quellschnittstelle Dienst Richtlinie Anmerkung Aktionen
1 1Mailserver1 GRÜN TCP/25 GESTATTEN mit IPS

Wie ich befürchtet habe, kollidiert die aber mit dem Systemstandard und es ist immer noch möglich durch andere Systeme im Netz Mails via Endian-Postfix zu versenden. Ich müsste den Systemeintrag also bearbeiten.

Danke für den Tipp,

ich habe in der Main.cf.tmpl jetzt mal die Einträge entsprechend geändert.
Die Datei natürlich vorher auch unter einem anderen Namen gesichert. Nach einem Neustart stehen jetzt tatsächlich die Werte so in der main.cf wie ich es mir vorgestellt habe. Die Sache scheint funktioniert zu haben.

Jetzt gehts ans Testen ob die Settings auch so funktionieren wie vorgesehen.

Wenn Du mir noch verrätst was Du unter einer Systemrule verstehst? Den eine Firewallregel für ausgehenden Datenverkehr mit den Settings
# Quelle Ziel Dienst Richtlinie Anmerkung
1 1Mailserver1 ROT TCP/25 GESTATTEN mit IPS SMTP

besteht ja. Nur die greift nicht durch den aktiven SMTP Proxy auf den Schnittstellen.

Aktiviere SMTP Proxy
ja

GRÜN ROT
transparenter Modus aktiv

Sobald ich den bei grün auf inaktiv setze, dann schickt die Firewall absolut nix mehr via SMTP, dann lässt sich auch Postfix nimmer ansprechen. Problem ist dann nur, das absolut nix mehr auch die gewünschten Mails betrifft.

Daher bin ich ja schon soweit direkt in den Postfix-Settings die akzeptierten Adressen ändern zu wollen. Hier setzt Endian aber nach einem Reboot die Settings wieder zurück. Das Problem hatte ich ja hier im Forum in einer anderen Gruppe bereits berichtet. Den Tipp mit der tmpl Datei werde ich heute ausprobieren. Vielleicht haben sich dann die Probleme ja erledigt.

Wo finde ich aber die Systemrules?

Hallo Zusammen,

um ein Problem beim Mailrouting über Postfix zu lösen, will ich bei der main.cf eine Änderung durchführen. Das Ganze ist via Konsole kein Problem.
Ich Ändere also via vi die Datei und schreibe sie auch. Die Änderungen scheinen übernommen zu sein. Nach einem Init 6 sind jedoch alle Änderungen verschwunden, als wären sie nie durchgeführt worden. Eine Kopie der Datei unter main.cf.old wurde nicht zurückgesetzt.

Woran könnte das liegen, und wichtiger, wie kann ich dieses Rücksetzen unterbinden? Alle bisherigen Versuche blieben erfolglos. Im Moment bin ich echt am Überlegen die Änderungen durchzuführen, zu speichern und dem Rechner den Strom abzudrehen. Diese Brutalmethode möchte ich aber möglichst vermeiden.

Gruß Ralf

Ganz so einfach, wie ich im ersten Moment dachte scheint es nicht zu sein.

Zwischenzeitlich bin ich soweit die Main.cf von Postfix anzupassen.

Jetzt passiert aber folgendes:
Kaum hab ich in Putty eine Änderung an der Main.cf durchgeführt, diese gespeichert und starte die Firewall via init 6 neu, ist die Änderung verschwunden.

Schreibt Endian die Main.cf bei jedem Neustart neu?

Langsam lässt mich das Problem das Endian lediglich von einer einzige IP-Adresse im grünen Netz ausgehende Mails annehmen soll nimmer los.

Danke für den Hint.

Ich habe jetzt mal die bestehende ausgehende SMTP Regel von Rot auf die IP des Exchange-Servers gesetzt,
In der Routingtable sieht es jetzt so aus:

# Quelle Ziel Dienst Richtlinie Anmerkung Aktionen
1 IPMailSvr ROT TCP/25 GESTATTEN mit IPS SMTP

SMTP-Proxy grün auf inaktiv gesetzt.

Ich bin gerade am Testen, obs so tut.

So jetzt tritt folgendes Problem auf:

Der EndianPostfix ist nun auch vom Exchangeserver nicht mehr zu erreichen. Mails gehen zwar immer noch rein, aber keine Mails, auch die gewünschten mehr raus. So ganz klappts so leider nicht.

Den Proxy hab ich jetzt temporär mal wieder eingeschaltet. Das damit der IPTable-Eintrag hinfällig wird ist mir bewusst.
Vorher habe ich auch noch den IPTable Eintrag durch die IP der Endian zusätzlich zum Exchange ergänzt, aber auch das hatte nicht geholfen
Nach dem wieder einschalten vom Proxy gingen die Testmails auch, wie erwartet raus. Das ging mit Proxy auf inaktiv leider nicht. Jedoch geht jetzt auch wieder der Postfixzugriff von allen IPs aus dem grünen Netz.

Hallo zusammen,

ich habe folgendes Problem, von dem ich hoffe das Ihr evtl. eine Lösung dazu habt.

in unserem Netz nutze ich Endian 2.4 als Internetgate für SMTP. Dazu ist der SMTP-Proxy sowohl rot als auch grün aktiv. Im grünen Netz ist ein Exchange 2010 im Einsatz, der den Mailverkehr dort intern sowie extern bearbeiten soll.

Für eingehende Domains wurde die IP des Exchangeservers hinterlegt, und dieser bekommt auch die Mails, die an die hinterlegten Domains gehen. MX-Einträge sind ebenfalls für die eingehenden Domains konfiguriert.
Insoweit ist also eingehend alles in trockenen Tüchern.

Allerdings ist bei uns die Vorgabe das ausgehende Mails zwingend über den Exchangeserver gehen müssen! Im Moment nimmt Endian aber aus dem grünen Netz auch Mails die ich via Telnet direkt beim Endian Postfix anliefere an und versendet die auch. Das soll er nicht tun. Gibt es hier die Möglichkeit das zu unterbinden, so das nur der Exchangeserver die ausgehenden Mails anliefern darf?

Ich hoffe das ich mein Problem irgendwie rübergebracht habe. Falls noch Fragen sind, einfach fragen

Gruß Ralf