Desde hace un par de dias, he comenzado a ver un error en mi servidor de correos, cuando se envian a ciertos dominios, como este caso: delivery temporarily suspended: host smtpmx.terra.com.pe[66.231.227.132] refused to talk to me: 450 Client host rejected: cannot find your hostname, [Numero.IP.de.Firewall] en mi servidor tengo corriendo postfix, y sale por mi firewall a traves de nat, conocen de alguna forma de como solucionarlo sin tener que poner a mi servidor de correo de frente con internet..? Saludos JCarlos
2006/9/26, Juan Carlos Bravo Celis:
delivery temporarily suspended: host smtpmx.terra.com.pe[66.231.227.132] refused to talk to me: 450 Client host rejected: cannot find your hostname, [Numero.IP.de.Firewall]
No me hagas mucho caso, pero parece más bien un problema del servidor al que intentas enviar el mensaje "@terra.com.pe". Si no leo ma entre líneas, Postfix te dice que el servidor ""@terra.com.pe" ha rechazado la conexión contigo ya que no puede encontrar tu IP... quizá tenga configurada alguna regla para evitar spam un tanto estricta y no puede resolver tu dirección IP por algún motivo (error temporal de su servidor dns, exceso de carga, ausencia de registro ptr en tu IP...). Haz un seguimiento de ese mensaje para ver si sale de la cola más tarde o si se elimina sin ser enviado. Saludos, -- Camaleón
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-26 a las 21:33 +0200, Camaleón escribió:
delivery temporarily suspended: host smtpmx.terra.com.pe[66.231.227.132] refused to talk to me: 450 Client host rejected: cannot find your hostname, [Numero.IP.de.Firewall]
No me hagas mucho caso, pero parece más bien un problema del servidor al que intentas enviar el mensaje "@terra.com.pe". Si no leo ma entre líneas, Postfix te dice que el servidor ""@terra.com.pe" ha rechazado la conexión contigo ya que no puede encontrar tu IP...
Creo que lo que dice no encontrar es el nombre del host, es decir, que no funciona la resolución inversa, o que está mal puesta y no coincide con el nombre de dominio que dice ser. En el segundo caso Juan lo va a tener muy crudo, y en el primero pues... también, hay que j*****e Lo único es hacer relay a través del isp, y rezar para que estos lo tengan bien configurado. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFGYVjtTMYHG2NR9URAgvOAJ9FPZfEoKaFIJgEOrAmJPSPwmILngCfX4HT 2Kkq2jzwEnpthZ9F1mpPfXI= =az0Y -----END PGP SIGNATURE-----
On 26/09/06, Carlos E. R. <robin.listas@telefonica.net> wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-09-26 a las 21:33 +0200, Camaleón escribió:
delivery temporarily suspended: host smtpmx.terra.com.pe[66.231.227.132] refused to talk to me: 450 Client host rejected: cannot find your hostname, [Numero.IP.de.Firewall]
No me hagas mucho caso, pero parece más bien un problema del servidor al que intentas enviar el mensaje "@terra.com.pe". Si no leo ma entre líneas, Postfix te dice que el servidor ""@terra.com.pe" ha rechazado la conexión contigo ya que no puede encontrar tu IP...
Creo que lo que dice no encontrar es el nombre del host, es decir, que no funciona la resolución inversa, o que está mal puesta y no coincide con el nombre de dominio que dice ser. En el segundo caso Juan lo va a tener muy crudo, y en el primero pues... también, hay que j*****e
Lo único es hacer relay a través del isp, y rezar para que estos lo tengan bien configurado.
hay algo que tengo una duda y que no se como verificarlo, mi proveedor me ha otorgado un grupo de IPs publicas, entre las cuales tengo configurado de la siguiente manera: mail X.X.X.112 web X.X.X.111 firewall X.X.X.122 estos IPs estan configurados en la Tarjeta de red de mi firewall, en donde se hace nat con los servidores que estan en la DMZ, mi duda es que si al momento de salir el correo, toma la IP del firewall, como origen, y cuando el otro servidor quiera verificar esa IP o host, este IP (X.X.X.122) no responde a ninguna consulta, por lo que imagino que eso me genera el error, ahora, si estoy en lo cierto, como puedo solucionar este problema,,? como dice Carlos, parece que la voy a verde.. Saludos JCarlos
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-26 a las 18:10 -0500, Juan Carlos Bravo Celis escribió:
hay algo que tengo una duda y que no se como verificarlo, mi proveedor me ha otorgado un grupo de IPs publicas, entre las cuales tengo configurado de la siguiente manera:
mail X.X.X.112 web X.X.X.111 firewall X.X.X.122
estos IPs estan configurados en la Tarjeta de red de mi firewall, en donde se hace nat con los servidores que estan en la DMZ, mi duda es que si al momento de salir el correo, toma la IP del firewall, como origen, y cuando el otro servidor quiera verificar esa IP o host, este IP (X.X.X.122) no responde a ninguna consulta,
Eso no importa.
por lo que imagino que eso me genera el error, ahora, si estoy en lo cierto, como puedo solucionar este problema,,? como dice Carlos, parece que la voy a verde..
Lo que hace es preguntar al DNS (al suyo, no al tuyo) que cual es el nombre que corresponde a la IP X.X.X.122, y le debe dar un nombre. Para algunos esto ya es suficiente, pero unos pocos exigen que el nombre que les devuelva sea precisamente igual al que tu servidor postfix da como identificación. Dicho de otra forma: ¿Al hacer host X.X.X.122 en cualquier parte del mundo te da el nombre de tu dominio? ¿Y al hacer host nombredominio te responde con la misma IP? - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFGbcQtTMYHG2NR9URAtHDAJ4wMVQvnO1B9CH+py32xXiVyrsSSACfWM59 l9va8dCg4wITa+QSi4hddpY= =tjBb -----END PGP SIGNATURE-----
On 26/09/06, Carlos E. R. <robin.listas@telefonica.net> wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-09-26 a las 18:10 -0500, Juan Carlos Bravo Celis escribió:
hay algo que tengo una duda y que no se como verificarlo, mi proveedor me ha otorgado un grupo de IPs publicas, entre las cuales tengo configurado de la siguiente manera:
mail X.X.X.112 web X.X.X.111 firewall X.X.X.122
estos IPs estan configurados en la Tarjeta de red de mi firewall, en donde se hace nat con los servidores que estan en la DMZ, mi duda es que si al momento de salir el correo, toma la IP del firewall, como origen, y cuando el otro servidor quiera verificar esa IP o host, este IP (X.X.X.122) no responde a ninguna consulta,
Eso no importa.
por lo que imagino que eso me genera el error, ahora, si estoy en lo cierto, como puedo solucionar este problema,,? como dice Carlos, parece que la voy a verde..
Lo que hace es preguntar al DNS (al suyo, no al tuyo) que cual es el nombre que corresponde a la IP X.X.X.122, y le debe dar un nombre. Para algunos esto ya es suficiente, pero unos pocos exigen que el nombre que les devuelva sea precisamente igual al que tu servidor postfix da como identificación.
Dicho de otra forma: ¿Al hacer
host X.X.X.122
en cualquier parte del mundo te da el nombre de tu dominio? ¿Y al hacer
host nombredominio
te responde con la misma IP?
Esto es lo que tengo haciendo unas pruebas, mail:~ # host mail.midominio.com mail.midominio.com has address X.X.X.112 mail:~ # host X.X.X.112 112.X.X.X.in-addr.arpa domain name pointer correo.midominio.com. mail:~ # host X.X.X.122 Host 122.X.X.X.in-addr.arpa not found: 3(NXDOMAIN) mail:~ # que opinion tienen..? por lo pronto voy a investigar como tiene mi proveedor configurado mis IPs, Saludos JCarlos Saludos JCarlos
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-26 a las 18:58 -0500, Juan Carlos Bravo Celis escribió:
Esto es lo que tengo haciendo unas pruebas,
mail:~ # host mail.midominio.com mail.midominio.com has address X.X.X.112
mail:~ # host X.X.X.112 112.X.X.X.in-addr.arpa domain name pointer correo.midominio.com.
Debería dar mail.midominio.com.
mail:~ # host X.X.X.122 Host 122.X.X.X.in-addr.arpa not found: 3(NXDOMAIN)
¿Preguntas una segunda vez por la misma IP y te da inexistente? Comprueba quien está respondiendo eso. Ah, la consulta la tienes que hacer desde fuera, no desde el host "mail". Desde internet. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFGca0tTMYHG2NR9URAtsxAJ9e1o9AjZYtHca2d2TKtyMZ1LKhqACdGxaZ 2nTMhJ+DiAypaCR3siHQLho= =n8ya -----END PGP SIGNATURE-----
El 27/09/2006 1:58:13 Juan Carlos Bravo Celis escribió: elbravito> > > mail X.X.X.112 elbravito> > > web X.X.X.111 elbravito> > > firewall X.X.X.122 elbravito> mail:~ # host mail.midominio.com elbravito> mail.midominio.com has address X.X.X.112 elbravito> mail:~ # host X.X.X.112 elbravito> 112.X.X.X.in-addr.arpa domain name pointer correo.midominio.com. elbravito> mail:~ # host X.X.X.122 elbravito> Host 122.X.X.X.in-addr.arpa not found: 3(NXDOMAIN) elbravito> mail:~ # elbravito> elbravito> que opinion tienen..? Pues si, ese servidor de Terra requiere que la IP esté asociada a un nombre de dominio y la IP de tu Fireball no está asociado a ningún nombre. La verdad es que no es nada raro y muchos servidores lo requieren ya que es una forma sencilla de evitar el spam enviado por ordenadores "zombies". La manera de solucionarlo es "bautizar" el fireball en el DNS del nombre de dominio, es decir, añadir un registro con un nombre de subdominio al firewall y asociarlo con la IP en tu DNS, Para crearlo dependerá de si el DNS lo tienes en una máquina propia, habitualmente con BIND, o si depende de terceros (tu registrador o el ISP que te da servicio). Si la gestión no la controlas tú, entonces tienes que hablar con el adminsitrador para que le añada un nombre a la IP del Firewall. En el caso de que lo gestiones tú y no sabes como hacerlo, escribe en la lista e indica si el DNS depende de un servidor tuyo o si está instalado en un servidor de terceros. -- Saludos, Josep M. Queralt
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-27 a las 09:36 +0200, Josep M. Queralt escribió:
elbravito> > > mail X.X.X.112 elbravito> > > web X.X.X.111 elbravito> > > firewall X.X.X.122
...
Pues si, ese servidor de Terra requiere que la IP esté asociada a un nombre de dominio y la IP de tu Fireball no está asociado a ningún nombre.
Observa que la IP del cortafuegos y del mail es la misma, luego si el mail está "bautizado", el cortafuegos también. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD4DBQFFGkP1tTMYHG2NR9URAtppAJ9Ow08Q+GyhqGFVthCamIiCgTKzugCXZhBK /33zVFTPQuodeODuag6qiw== =qOX3 -----END PGP SIGNATURE-----
El 27/09/2006 11:27:16 Carlos E. R. escribió: robin.listas> robin.listas> > elbravito> > > mail X.X.X.112 robin.listas> > elbravito> > > web X.X.X.111 robin.listas> > elbravito> > > firewall X.X.X.122 robin.listas> robin.listas> Observa que la IP del cortafuegos y del mail es la misma, luego si el mail robin.listas> está "bautizado", el cortafuegos también. La vista me estará jugando una mala pasada, pero las matemáticas no por lo que, tras atenta observación concluyo que 112 es un número distinto a122. :-) Por ello, y reiterándome en mi correo anterior, propongo que Juan Carlos Bravo Celis nos invite a todos al bautizo de su firewall y nos haga saber que nombre le va a poner y si es niño o niña y, ya de paso, si será el primero en la sucesión en la corona.... opps! que eso es otro tema. -- Saludos, Josep M. Queralt
On 27/09/06, Josep M. Queralt <jmqueralt@pobox.com> wrote:
El 27/09/2006 11:27:16 Carlos E. R. escribió:
robin.listas> robin.listas> > elbravito> > > mail X.X.X.112 robin.listas> > elbravito> > > web X.X.X.111 robin.listas> > elbravito> > > firewall X.X.X.122 robin.listas> robin.listas> Observa que la IP del cortafuegos y del mail es la misma, luego si el mail robin.listas> está "bautizado", el cortafuegos también.
La vista me estará jugando una mala pasada, pero las matemáticas no por lo que, tras atenta observación concluyo que 112 es un número distinto a122. :-)
Por ello, y reiterándome en mi correo anterior, propongo que Juan Carlos Bravo Celis nos invite a todos al bautizo de su firewall y nos haga saber que nombre le va a poner y si es niño o niña y, ya de paso, si será el primero en la sucesión en la corona.... opps! que eso es otro tema.
Pues creo que tengo que bautizar a mi firewall, y estan todos cordialmente invitados, es niño, pero el nombre no lo se aun, el registro lo administra mi proveedor, en este caso telefonica, ya les cuento como va. Saludos y gracias. JCarlos
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-27 a las 11:44 +0200, Josep M. Queralt escribió:
robin.listas> > elbravito> > > mail X.X.X.112 robin.listas> > elbravito> > > web X.X.X.111 robin.listas> > elbravito> > > firewall X.X.X.122 robin.listas> robin.listas> Observa que la IP del cortafuegos y del mail es la misma, luego si el mail robin.listas> está "bautizado", el cortafuegos también.
La vista me estará jugando una mala pasada, pero las matemáticas no por lo que, tras atenta observación concluyo que 112 es un número distinto a122. :-)
Ondiá. Tié usté razón. OX-) Pues entonces, en vez de NAT, tiene que poner una DMZ con IPs reales, y el postfix se presentará con su propio nombre, independientemente del que tenga o no tenga el cortafuegos. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFGv24tTMYHG2NR9URAphWAJ4m9dTJDeWgl9j6vw3S2SC6E7eQVgCfeVqD WgKc1LxG0BD16fqDMFp5Hsg= =l0G2 -----END PGP SIGNATURE-----
On 27/09/06, Carlos E. R. <robin.listas@telefonica.net> wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-09-27 a las 11:44 +0200, Josep M. Queralt escribió:
robin.listas> > elbravito> > > mail X.X.X.112 robin.listas> > elbravito> > > web X.X.X.111 robin.listas> > elbravito> > > firewall X.X.X.122 robin.listas> robin.listas> Observa que la IP del cortafuegos y del mail es la misma, luego si el mail robin.listas> está "bautizado", el cortafuegos también.
La vista me estará jugando una mala pasada, pero las matemáticas no por lo que, tras atenta observación concluyo que 112 es un número distinto a122. :-)
Ondiá. Tié usté razón. OX-)
Pues entonces, en vez de NAT, tiene que poner una DMZ con IPs reales, y el postfix se presentará con su propio nombre, independientemente del que tenga o no tenga el cortafuegos.
Y como hago eso..? pues de todas formas quiero tener a los servidores protegidos por un firewall y no exponerlos al salvaje mundo de internet, solitos y desprotegidos. :-) Saludos JCarlos
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2006-09-27 a las 18:03 -0500, Juan Carlos Bravo Celis escribió:
Pues entonces, en vez de NAT, tiene que poner una DMZ con IPs reales, y el postfix se presentará con su propio nombre, independientemente del que tenga o no tenga el cortafuegos.
Y como hago eso..? pues de todas formas quiero tener a los servidores protegidos por un firewall y no exponerlos al salvaje mundo de internet, solitos y desprotegidos. :-)
Mas o menos, esto: | corta | inet-| fuegos |----->---DMZ---> maquinas en la DMZ, IP real. | | --------- | |--------->--- maquinas internas, lan. Los detalles... ¡Hum! Conozco la idea, básicamente, pero no soy experto en el tema como para aconsejar a otros. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFGw/atTMYHG2NR9URAj9wAJ4ok8+HuhF5XegsmH5n+h7TxQJr5ACeNQH0 4DPfQKrmsDdDQowITA2AXyo= =QZ9o -----END PGP SIGNATURE-----
On 27/09/06, Carlos E. R. <robin.listas@telefonica.net> wrote:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
El 2006-09-27 a las 18:03 -0500, Juan Carlos Bravo Celis escribió:
Pues entonces, en vez de NAT, tiene que poner una DMZ con IPs reales, y el postfix se presentará con su propio nombre, independientemente del que tenga o no tenga el cortafuegos.
Y como hago eso..? pues de todas formas quiero tener a los servidores protegidos por un firewall y no exponerlos al salvaje mundo de internet, solitos y desprotegidos. :-)
Mas o menos, esto:
| corta | inet-| fuegos |----->---DMZ---> maquinas en la DMZ, IP real. | | --------- | |--------->--- maquinas internas, lan.
Los detalles... ¡Hum! Conozco la idea, básicamente, pero no soy experto en el tema como para aconsejar a otros.
Gracias Carlos, voy a investigar al respecto, ya les contare como me va cuando haga algunas pruebas. Saludos JCarlos
participants (4)
-
Camaleón -
Carlos E. R. -
Josep M. Queralt -
Juan Carlos Bravo Celis