Messages

Nur als Idee: ist Virtualisierung irgendwie beteiligt?

Packetfilter auf dem WAN Interface laufen lassen und mit Wireshark mal gucken, ob das überhaupt was kommt.

Grüße, chris

But why is it that KEA is not recommended for small installations. What's wrong with KEA for SOHO?

von einem anderen Anschluss

Was bedeutet das genau "anderer Anschluß" wie sieht ein traceroute von dem anderen Anschluß zu deiner OPNsense aus?

Host is up (0.0012s latency).

Zur Topologie: VDSL

Ähm, den VDSL Zugang hätte ich auch gern. Da war bestimmt kein externer Zugang im Spiel.

Die Mail ist nicht angekommen, der Server hat einmal Hallo gesagt (ehlo) und ein mal tschüss (quit).

Komplett sollte das z.B. so aussehen

Code Select Expand

ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
Wir brauchen mehr Infos aus dem log, um zu sehen was passiert. Entweder in Opnsense die Details raufdrehen - ich weiß ich nicht ob das geht - oder auf der Konsole/SSH direkt in postfix.log gucken.

vor allem Receiver Verification

Wie funktioniert das denn auf dem Gateway, woher bekommt das die Empfänger Datenbank? An sich macht das postfix direkt, aber wenn man ein Gateway davor hat, muß das Gwateway das alles wissen? Ich weiß nicht genau wie das Opnsense Gateway das macht, das ist einer der Gründe, warum ich nicht so ein Freund von Mail Gateways auf der Firewall bin, sondern lieber postfix direkt nehme. Aber wenn man exchange braucht, kommt man wohl nicht drumrum.

ix.dnsbl.manitu.net

Existiert leider nicht mehr. https://nixspam.net/ und insbesondere https://nixspam.net/help/administrator/.

Ist wirklich schade.

Grüße, chris

Pauschal ist das immer schwer zu sagen, weil es ja sehr unterschiedliche Anforderungen gibt.

1. Ne gute Blocklist in der Firewall hilft schonmal als erstes. Mindestens Spamhaus Drop / Emerging Threats.

2. Wenn kleiner Server mit überschaubarem Nutzerkreis: Geoblocking auf die üblichen Verdächtigen, wenn dorthin keine Kontakte, hilft jede Menge.

3. Postfix: DNS streng prüfen. Kein korrekten reverse DNS > kein Einlieferung hilft gegen all die gekaperten Kisten, wo der Spammer den reverse DNS nicht kontrolliert. Auf jeden Fall postfix.log lesen, um zu sehen was so passiert.

4. Rspamd WebUI ist eigentlich ganz gut. In der History kann man zu jeder Mail die Scores angucken, danach entscheiden, was warum wie gefiltert werden muß, oder nicht erkannt wurde.

5. Einige Rspamd Filter müssen trainiert werden, solange da nicht genug vorliegt arbeiten die nicht.

Hoffe das hilft ein bißchen, chris

Das Problem bei 1und ist, daß man oft nicht genau weiß, was man bekommt. 1und1 verkauft verschiedene Anschlüsse. Ist das ein neues Ausbau Gebiet und wer hat ausgebaut?

Meist Telekom, dann ein einfaches Glasfaser Modem (ONT) und VLAN 7 muß dann per OpnSense gesetzt werden. Kann ja sein, daß das jetzt Dein Vigor macht.

Grüße, chris

Mir ist sowas im Hinterkopf, daß die FRITZ!Box eine extra Option zur Sperrung von Port 25 hat. Ich hab selbst keine, aber vielleicht mal gucken ...

FB frei, Firewall NAT mit Rule erstellt. Mails kommen nicht an.

Was bedeutet hier FB, Fritzbox? Wie ist das Setup am Anschluß?

Die Frage ist: welchen DNS benutzt der Mail Server?. Wenn ich richtig verstehe, gibt es zwei öffentliche IPs. Welcher DNS ist zuständig? Wenn das alles öffentlich ist, sollte es ohne override funktionieren, oder ist hier doch Split Horizon DNS verwendet?

Grüße chris

Received: from mail.meineexterne.domain (host.interne.domain [192.168.100.1])
    by lego.meineexterne.domain (Postfix) with ESMTPS id 2E23A1BD08C0
    for <bexxxxx@meineexterne.domain>; Sat, 22 Feb 2025 12:35:10 +0100 (CET)

Das Setup ist mir immer noch unklar. Ist lego.meineexterne.domain Dein Mailserver (192.168.1.22 ?) und wer ist dann mail.meineexterne.domain? 192.168.100.1 ist der Router?

Was sagt denn das postfix.log beim Empfang?

Grüße

chris

Hallo, wie sehen eigentlich eure Mailserver Header nach NAT aus, da ich hier gerade das Problem habe das der SPF failed mit SPFsoftfail

Sagt wer?

, da die Header trotz NAT noch die interne IP haben.

Das macht nichts.

Bishin zum kompletten Fail, da  eingehende Mails die Interne Domain haben, die der absender Mailserver natürlich nicht gegen SPF prüfen kann.

Äh, was ist die Interne Domain? Geprüft wird beim Empfang, ober der Sender (IP) berechtigt ist, für die Domain zu senden gemäß SPF.

Ich verstehe noch nicht ganz: Geht es jetzt um Senden oder Empfangen bei Dir?

Grundsätzlich ist NAT bei Mail kein Problem, läuft bei mir seit Jahren. (Postfix, Rspamd, Dovecot)

Grüße

chris

Tja, ich weiß auch nichts Gutes. Ich hab sowas in der Art auch schon öfter gesucht. Derzeit benutze ich AldiTalk Prepaid für den Fallback und muß dann im Bedarfsfall Surfticket L buchen.

Bei dem Voadfone Tarif seh ich das Risiko, wenn das online ist, daß da mal ein paar Byte übertragen werden und dann ist der Monatsbetrag schon ausgelöst.

Scheint eine Marktlücke zu sein: Tarife für Fallback Lösungen.

Grüße, chris

Guten Tag,

ich wollte gerade auf 24.7 updaten, da ist mir aufgefallen, daß asterisk18 in den Packages fehlt, das war bisher immer dabei.  In https://github.com/opnsense/tools/blob/master/config/24.7/ports.conf ist das auskommentiert, warum?

Ich hab dann auf einem Test VPS mittels

Code Select Expand

opnsense-code ports
cd /usr/ports/net/asterisk18/
make install
Asterisk installiert. Das scheint zu funktionieren, allerdings hat das 6 Stunden gedauert, weil die ganze Toolchain mit daran hängt, und jede Menge Speicher gebraucht. Ich befürchte das packt der kleine Rooter gar nicht.

Gibt es da irgendwie eine einfachere Möglichkeit?

Grüße, chris