Frage zu SMTP Transparent Modus

Kann denn die Astaro mit der User-DB des hMailservers umgehen?

wenn die datenbank, ein active directory, ldap oder raduis ist, dann ja.

Hallo maygyver

Dank Ostern bin ich endlich mal dazugekommen die Sache weiter zu verfolgen. Ich habe folgende Schritte unternommen:

E-Mail Benutzer im AD gelistet
[Benutzer - Authentifizierung - Server] AD aktiviert (beide Tests laufen)
[Mail Security - SMTP - Empfängerverifizierung] auf "Im AD verifizieren" eingestellt.
Transparent Modus ist ausgeschaltet, SMTP Verkehr für aufgelistete Rechner aktiviert und Mailserver eingetragen (braucht es vielleicht nicht).

Ein Versuch mit eingeschaltetem DNAT email messaging nach intern durchgeführt -> alles läuft

Nun habe ich DNAT email messaging abgeschaltet, nur noch IMAP und POP3 werden per DNAT nach innen geleitet und nun das ganze von extern mit Telnet durchgespielt. (uebrigens - kann ich deiner Antwort entnehmen dass die beiden auch nicht nötig sind?)

Ergebnis: Telnet Kommunikation über Port 25 wird wie von dir angekündigt von Astaro übernommen. Schrittweise durchgespielt: mx antwortet, helo wird mit 250 ok bestätigt (Domäne auf hmail), mail from: sender wird mit 250 OK bestätigt, aber rcpt to:empfänger (andere Domäne auf hmail) wird mit der Fehlermeldung "500 Adress not present in Directory" verworfen und die Verbindung wird getrennt. 

Der Empfänger exestiert und ist aktiviert und in AD eingetragen, aber offenbar wird dieser von der Astaro nicht per AD bestätigt? Der Mail Manager bestätigt dies mit rejected: rcpt address verification (address unknown). Offenbar fehlt noch irgenwo eine Einstellung für die gewünschte Funktionsweise. Immer noch Newby hoffe ich, um einen weiteren Tipp von deiner Seite.

Das gleiche passiert übrigens auch wenn ich von einem externen Mailkonto ein Mail nach einem aktiven hmail Account sende. Authentifizierung des Empfängers schlägt fehl.

Nb. zu unst: hmail User DB wird nicht direkt von Astaro aufgelöst, daher mache ich die User Authentifizierung über AD. hmail kann aber mit AD umgehen, so muss ich zwar die Benutzer in AD und hMail erstellen, aber die Kennwortverwaltung beschränkt sich auf AD da hmail diese vom AD übernehmen kann.

René

Nachtrag: Ich habe den Empfänger in [Benutzer - Authentifizierung - Server] getestet. Der Test war erfolgreich und er wurde als AD Benutzer bestätigt.

bitte nur verifizierung per callback.

Hallo maygyver

Danke für deine Rückmeldung. Ich habe einige Tests gefahren und bin nun etwas klüger, d.h. ich weiss jetzt wo genau es klemmt:

>bitte nur verifizierung per callback. 
Das habe ich mittlerweile auch herausgefunden und so eingestellt. Nun funktioniert der E-Mail Empfang von externen Mailservern. Die Spammer werden im Mail Monitor angezeigt.

Folgendes habe ich weiter herausgefunden:

Der Benutzername für die Anmeldung an einen E-Mail Account auf meinem Mailservers lautet name@domäne.dom. Der Benutzer kann seine Post mit diesem Benutzereintrag auch abholen.  = Empfängerverifizierung mit Call Back.

Nun habe ich endlich auch das Problem gefunden: Beim Versand eines Mails mit aktiviertem "Authentifiziertes Relay zulassen" (Gruppe Active Directory Users) erscheint im Outlook das bekannte Popup "Netzwerk-Kennwort eingeben". Gebe ich das Kennwort ein, so erscheint das Popup wieder. Ich habe mal versuchsweise den Benutzer von name@domäne.dom auf name geändert (@domäne.dom gelöscht) und Astaro akzepiert die Anmeldung, das Mail wird so versandt. Versende ich so nach einer externen E-Mail Adresse (nicht auf Mailserver) funktioniert es, der Empfänger erhält das Mail. 

Sende ich nun aber ein Mail an name@domäne.dom oder einen anderen Account in der gleichen Domäne (oder einer anderen Domäne auf meinem Mailserver) so empfängt name@domäne.dom von der Astaro ein Mail vom Mailer-Daemon mit dem Textlaut: SMTP error form remote mail server after RCPT to name@domäne.dom, 530 SMTP authentication is required. 
Dies weil der Remote Mailserver (mein hmail) wiederum abehnt weil dieser name@domäne.dom verlangt. 

Eine vertrakte Geschichte. Nun muss ich die also Astaro noch so verbiegen dass sie für SMTP name@domäne.dom als Benutzername akzeptiert und dann sollte es laufen.

Noch habe ich den Trick nicht gefunden. Werde dies wohl auf morgen verschieben müssen, ich bin reif fürs Bett.

Gruss René

Nachtrag: Konnte es nicht lassen und hab noch folgendes im Liveprotokoll Benutzerauthentifizierungs Daemon festgestellt: 
Erster Versuch Mail mit name@domäne.dom -> Denied
zweiter Versuch Mail mit name -> successfull user name engine adirectory

Das beschrieben Verhalten rührt also daher, dass Benutzer automatisch erstellen aktiviert war. Deaktiviere ich diese Einstellung und lehre den Cache, funktioniert der Trick mit name (ohne @domain.dom) nicht mehr. Die Authentifizierung wird für SMTP verweigert.

Nun aber ab in die Heia

Habe das ganze nochmals nachvollzogen:

Konfiguration und Tests:

Unter Benutzer exisiert für name@domäne.dom folgender Eintrag in der Uebersicht:

name   
Remotely authenticated [User data updated from backend automatically] 
synced from adirectory 

Klicke ich auf Infosymbol so wird angezeigt, dass diese Objekt in keiner Konfiguration verwendet wird.

Die Einträge unter name:
Benutzername: name
Echter Name: Echter Name
E-Mail Adresse: name@domäne.dom
Authentifizierung: Entfernt
Backend Sync: aktiv
X509 Zertifikat: name (X509 User Cert)
Statische Fernzugriffs IP deaktiviert
Kommentar: synched from adirectory

Im AD ist der Benutzer name erstellt, Kennwort vergeben und E-Mail Adresse name@domäne.dom eingetragen. Sonst alles Default gelassen.

Unter Benutzer - Authentifizierung - Server - adirectory den Benutzer name und Kennwort eingegeben, Test läuft erfolgreich; 

Benutzerauthentifizierung: Authentication test passed.
Benutzer ist Mitglied folgender Gruppen: Active Directory Users

Authentifiziertes Relaying ist aktiviert, als Gruppe ist active directory users eingetragen, unter rechnerbasiertes relay ist Mailserver mit IP eingetragen.

Sollte IMHO doch alles richtig sein?

Test:
von extern mit Outlook ein Mail unter Konto name@domäne.dom an einen Empfänger der gleichen Domäne versenden ->

(DNAT SMTP deaktiviert) in Outlook erscheint das Popupfenster "Netzwerk-Kennwort eingeben" und kann nicht dazu bewegt werden die Anmeldedaten zu akzeptieren (alle Eingaben verlaufen erfolglos, Benutzer automatisch erstellen ist deaktiviert). 

Meldung im Live-Protokoll: Benutzerauthentifizierungs-Daemon:
2010:04:07-11:30:04 ASGV7 aua[10473]: id="3006" severity="info" sys="System" sub="auth" name="Trying [IP von Nameserver] (adirectory)" 
2010:04:07-11:30:04 ASGV7 aua[10473]: id="3005" severity="warn" sys="System" sub="auth" name="Authentication failed" srcip="0.0.0.0" user="[name@domäne.dom]" caller="smtp" reason="DENIED" 

(Ausdrücke in eckigen Klammern habe ich ersetzt, müssen ja nicht alle wissen ;-)

Ich glaub, mich tritt ein Pferd. Bin ich den so begriffsstutzig?

René

Erfolgsmeldung:

Endlich kann ich eine Erfolgsmeldung einstellen ;-)

Die Einstellungen im letzten Post waren eigentlich alle richtig. Es gab aber zwei Gründe welche die Probleme verursachten:

1. Das Hauptproblem lag nicht auf der Astaro, sondern das AD auf dem Mailserver verursachte die Probleme. Herausgefunden habe ich dies als ich feststellte dass auch hmail Probleme mit dem AD hat. Dies gab mir dazu Anlass mal nicht auf der Astaro zu suchen, sondern mal das AD zu untersuchen. Der Verursacher der Probleme gehört nicht in diesen Thread (ausser es interessiert jemanden). Diese Probleme konnten inzwischen behoben werden. 

2. Die Konteneinstellungen im Outlook müssen angepasst werden. Der Benutzername darf nicht "name@domäne.dom" lauten, zur Authentifizierung muss er "name" lauten (dass @domäne.dom muss weggelassen werden). Eigentlich hatte ich das in einem meiner vorherigen Posts schon herausgefunden, jedoch hat mir das versiefte AD ein Bein gestellt.

Sei's drum die Sache läuft nun und ich bin nach vielen Stunden happy. Nun muss ich meinen Vereinskollegen noch schonend beibringen, dass sie Ihre Outlookeinstellungen entsprechen anpassen müssen.

Ich danke für eure Hilfe