Postfix prüft eingehende E-Mails auf den Reverse-Eintrag (PTR), es kann zu „helo command rejected“ kommen. Stimmt der Hostname mit der IP-Adresse des sendenden MTA nicht überein, wird die E-Mail mit der Fehlermeldung 450 4.7.1 abgelehnt.

Mail Server FQDN – NOQUEUE: reject: RCPT from mail.example.org: 450 4.7.1: Helo command rejected: Host not found.

Maillog NOQUEUE reject 450 4.7.1 durch Postfix protokolliert.

Jul 17 07:21:18 mxhost postfix/smtpd[23544]: connect from mail.example.org[203.0.113.2]
Jul 17 07:21:18 mxhost postfix/smtpd[23544]: NOQUEUE: reject: RCPT from mail.example.org[203.0.113.2]: 450 4.7.1 <mailsrv02.foo.local>: Helo command rejected: Host not found; from=<homer.simpson@foo.com> to=<lisa.simpson@springfield.com> proto=ESMTP helo=<mailsrv02.foo.local>

Bei diesem Beispiel durch Postfix mit „helo command rejected“ abgelehnt. Es muss beim Absender überprüft werden, ob die IP-Adresse des Mailservers in der DNS Zone mit dem entsprechenden PTR-Record übereinstimmt.

Postfix Ausnahme durch EHLO/HELO

Ist der sendende Mailserver bekannt und vertrauenswürdig, kann Postfix angewiesen werden eine Ausnahme durch die EHLO/HELO Überprüfung zu veranlassen, durch die Regel in der Datei main.cf.

smtpd_helo_required = yes
smtpd_helo_restrictions =
        check_helo_access hash:/etc/postfix/helo_access,

Dazu wird eine Datei helo_access angelegt, mit folgendem Inhalt.

$ mailsrv02.example.org    PERMIT

Danach postmap ausführen um die hash db zu erzeugen.

$ postmap /etc/postfix/helo_access

Postfix muss die Änderung zur Aktivierung noch übernehmen.

$ postfix reload

Im maillog kann nun überprüft werden ob die Emails angenommen werden.

$ mailq
$ postqueue -f
$ tail -f /var/log/maillog

Mit mailq wird festgestellt ob sich etwa noch nicht zugestellte Emails in der Queue befinden. Mit dem Befehl postqueue wird der versuch der Zustellung gleich ausgelöst. Das öffnen mit tail -f (maillog) gibt Aufschluss über den Status der Zustellung.

Exchange Server falsch konfiguriert

Oft sind es falsch konfigurierte Exchange Server die sich mit falschem, internen hostname melden, den korrekten FQDN stellt man in der ECP Konsole ein, beim zuständigen FrontendTransport Connector.

Besser noch man lässt den Exchange Server über ein Smarthost seine Mails versenden, dadurch bietet sich die Möglichkeit ausgehende Mails zusätzlich mit DKIM im Envelop zu versenden, was die Authentizität erhöht, und bei eingehenden Mails eine wirksame SPAM und Schadcode Filterung ermöglicht, etwa durch SpamAssassin oder mit Amavis-new.

Anmerkung

Postfix ist ein Mail Transfer Agent für Unix und Unix-Derivate. Die Software sollte zum Entwicklungszeitpunkt eine kompatible Alternative zu Sendmail sein. Dabei achteten die Programmierer insbesondere auf Sicherheitsaspekte. Der Quellcode von Postfix steht unter der IBM Public License zur Verfügung und ist damit freie Software.

Postfix ist ein schnelles und im Verhältnis zu Sendmail oder qmail einfach zu administrierendes System. Dennoch gilt: Wie jeder MTA setzt auch Postfix fundierte Kenntnisse im Bereich Mailserver, Protokolle sowie weitreichende Systemkenntnisse voraus, da die Konfigurationen je nach Anwendungsfall sehr komplex werden können.

Windows Master Browser Lookup für NetBIOS-Namensinformationen und Elected Master Browser

Die von Windows-Clients freigegebenen Ordner und Drucker werden in der Netzwerkumgebung der Clients angezeigt. Bleibt die Netzwerkumgebung leer, liegt es oft beim Computer-Browser Service. Windows versucht, in der Netzwerkumgebung alle PCs eines Windows-Netzwerks anzuzeigen.

Windows Arbeitsstationsdienst

Zunächst muss sichergestellt werden, dass ein Windows-Netzwerk überhaupt richtig funktioniert. Die Windows-Dienste „Arbeitsstationsdienst“ und „Server“ müssen ausgeführt werden, und in den Eigenschaften der Netzwerkverbindung müssen die „Datei- und Druckerfreigabe“ sowie der „Client für Microsoft-Netzwerke“ aktiv sein, auch TCP/IP über NetBIOS muss aktiviert sein. Zu beachten ist das Clients die nicht in einer Domäne sind, dabei in der selben Workgroup sind, wobei WORKGROUP und ARBEITSGRUPPE unterschiedliche Gruppen sind. Wenn das alles noch nicht zum erfolg führt, sollte man den Computer im Netzwerk suchen, dieser zum Master Browser delegiert wurde.

NetBIOS Namensinformationen

Das NBTscan ist ein Programm zum Scannen von IP-Netzwerken für NetBIOS-Namensinformationen. Es sendet eine NetBIOS-Statusabfrage an jede Adresse im angegebenen Bereich und listet empfangene Informationen in für Menschen lesbarer Form auf. Für jeden antwortenden Host werden die IP-Adresse, der NetBIOS-Computername, der Benutzername und die MAC-Adresse des Computer angezeigt.

C:\> nbtscan -s: -h -v 192.168.10.0/24

Um den Master Browser in einem lokalen Netzwerk zu ermitteln, kann folgender Inhalt in einer Batchdatei angelegt werden.

@Echo Off
Title Master Browser Lookup & Color 1A
call :IsAdmin

if not [%1]==[] goto lookup
echo use: nbt [ip address range]
echo example: nbt 192.168.10.0/24
goto:eof

:lookup
nbtscan -s: -h -v %1 | find "Master Browser"
for /f "delims=" %%A in ('nbtscan -s"   " -h -v %1 ^| find "Master Browser"') do set "var=%%A"
echo .
echo Elected Master Browser on %var:~0,15%
echo .
nbtstat -A %var:~0,15%
pause

:IsAdmin
Reg.exe query "HKU\S-1-5-19\Environment"
If Not %ERRORLEVEL% EQU 0 (
 cls & echo You must have administrator rights to continue ... 
 pause & exit
)
cls
goto:eof

Mit Copy Paste in Batchdatei nbt.bat speichern und mit Übergabe des IP-Netzwerk in der Eingabeaufforderung als Administrator ausführen, das Programm nbtscan.exe und cygwin1.dll muss im selben Verzeichnis sein, oder der Pfad zum Programm muss sich in der Suchpfad Umgebung befinden.

Download NBTScan

Master Browser Delegierung

Oft hilft es dann wenn der PC dieser der Master Browser in seinem Netzwerk ist, neu zu starten, damit wird die Wahl zur Delegierung eines anderen Computer ausgelöst. Microsoft legt hier Prioritäten fest, durch regeln wird die Zuweisung (Election) zum Master Browser erteilt. Administratoren möchten es nicht einfach Zufallsregeln überlassen, wer Master Browser sein soll, dazu öffnet man Regedit und geht zu folgendem Schlüssel.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters

Bearbeitung des REG_SZ Schlüssel MaintainServerList und Festlegung auf FALSE oder TRUE, für deaktivieren oder aktivieren. Bei Windows XP und Server 2003 heisst der REG_SZ Schlüssel IsDomainMaster mit Wert FALSE / TRUE, und MaintainServerList mit dem Wert AUTO / NO / YES. Die Änderung tritt nicht sofort in kraft und kann bis zu 48 Minuten dauern.

Linux Samba Master Browser

Bei Linux ist die Samba Konfigurationsdatei smb.conf zuständig, in folgendem Beispiel wird ein Samba Server mit höchster Priorität zum Master Browser gewählt, geeignet in einem Netzwerk ohne Windows PDC. In Netzwerke in diesen sich ein Windows PDC befindet ist es nicht empfohlen.

[global]
    domain master = yes
    preferred master = yes
    local master = yes
    os level = 255

Abbildung: Computer Browser Service Architecture

NBTStat ist ein Befehlszeilentool für die Problembehandlung von NetBIOS-Name über TCP/IP (NetBT) Auflösungsprobleme, es gehört zum Windows Standard. Es zeigt Protokollstatistiken und aktuelle TCP/IP-Verbindungen mit NetBT.

C:\> nbtstat -A 192.168.10.73
LAN-Verbindung 1:
Knoten-IP-Adresse: [192.168.10.73] Bereichskennung: []

      NetBIOS-Namentabelle des Remotecomputers

       Name               Typ          Status
    ---------------------------------------------
    AMX3000        <00>  EINDEUTIG   Registriert
    WORKGROUP      <00>  GRUPPE      Registriert
    WORKGROUP      <1C>  GRUPPE      Registriert
    AMX3000        <20>  EINDEUTIG   Registriert
    WORKGROUP      <1B>  EINDEUTIG   Registriert
    WORKGROUP      <1E>  GRUPPE      Registriert
    ADMINISTRATOR  <03>  EINDEUTIG   Registriert

    MAC Adresse = 00-0B-AB-0B-11-8E

NetBIOS-Namentabellen Typ <00> wird in Hex ausgegeben.

<00> gibt die Domäne an zu der dieser Computer gehört
<03> Computername dem Messenger-Dienst zugeordnet
<20> Computername dem Server-Dienst zugeordnet
<1C> Internetgruppenname bei Domänencontroller registriert
<1B> Identifizieren eines Domain-Master-Browsername
<1E> Computer kann als Backup Browser in Domäne sein
<03> Benutzername aktuell an diesem Computer angemeldet
<1D> Identifiziere Segment-Master-Browsers ohne Domäne

UNBLOG Tutorials

Postfix Helo command rejected: Host not found