Securepoint UTM: Schwierigkeiten beim Versand der Alerting Center-Nachrichten

Das Alerting Center in der Securepoint UTM ist eine feine Sache um über etwaige Probleme unterrichtet zu werden. Wir nutzen dieses Feature sehr gerne, sind allerdings bei einem Kunden auf ein Problem gestoßen.

Im Regelfall sollte es so sein, das die UTM an den Unternehmens-eigenen Mailserver (sofern vorhanden) zustellt. So weit, so gut. Bei Kunden gibt es folgende Konstellation in Sachen Mail-Flow:

Securepoint UTM -> MDaemon - > Weiterleitung zu uns

Das Ganze scheint irgendwie (mal wieder) mit Ionos by 1&1 zusammen zu hängen, denn die gleiche Kombi funktioniert mit All-inkl.com ohne Überraschungen. Um es etwas ausführlicher auszudrücken:

Die Securepoint UTM hat als SMTP-Relay oder via SMTP-Route den MDaemon Email Server (oder andere Mailserver) des Kunden konfiguriert. Das macht nicht nur wegen der Alerting Center-Nachrichten Sinn, sondern auch wegen des Spamfilters, wenn Nachrichten aus der Quarantäne zugestellt werden sollen.

Im MDaemon bzw. Mailserver wiederum gibt es einen administrativen Benutzer, der unter anderem Postmaster, etc. ist. Bei diesem ist eine Weiterleitung zu uns eingerichtet. So erhalten wir alle System-relevanten Nachrichten, nicht nur die des Alerting Centers bzw. der UTM.

Kommt jetzt allerdings eine Nachricht vom Alerting Center der UTM schlägt die Weiterleitung fehl. Die Nachricht landet in der Defekt-Warteschlange mit der Erläuterung

undeliverable forwarded message

Um mehr Informationen zu dieser Meldung zu erfahren ist es hilfreich ins “C:\MDaemon\Logs\MDaemon-<Datum>-SMTP-(abg.).log” zu schauen. Zum entsprechenden Zeitpunkt findet man z.B. folgende Einträge:

...
Wed 2020-07-15 02:01:59.775: 01: Sending <c:\mdaemon\queues\remote\pd50000017829.msg> to [212.227.15.183]
Wed 2020-07-15 02:01:59.834: 01: Transfer Complete
Wed 2020-07-15 02:01:59.903: 02: <-- 554-Transaction failed
Wed 2020-07-15 02:01:59.903: 02: <-- 554-Reject due to policy restrictions.
Wed 2020-07-15 02:01:59.903: 02: <-- 554 For explanation visit https://www.ionos.com/help/index.php?id=2425&ip=<Eigene IP-Adresse>&c=hd
Wed 2020-07-15 02:01:59.903: 03: --> QUIT
Wed 2020-07-15 02:01:59.905: 01: Dies ist eine weiter- oder umgeleitete Nachricht; sie wird in die Defekt-Warteschlange verschoben.
Wed 2020-07-15 02:01:59.938: 02: <-- 221 kundenserver.de Service closing transmission channel
Wed 2020-07-15 02:01:59.938: 04: SMTP session terminated (Bytes in/out: 5010/43588)

Ruft man die vorgeschlagene URL von Ionos by 1&1 auf bekommt man zum Fehlercode 554 gleich mehrere mögliche Ursachen. Für die protokollierte Meldung wäre diese hier die passendste Begründung:

554 Reject due to policy restrictions
Problem:

The email was rejected as it violates IONOS policy. The sending server is mostly sending spam messages.

Solution:

Contact us IONOS to have the facts of the case examined.

Kurzum der Spam-Filter des Providers verhindert den Versand. Wahrscheinlich deswegen, da es sich um eine weitergeleitete Nachricht handelt, die als Absender im Header

From: Alerting-Center [firewall.domain.local] <spalertd@firewall.domain.local>

stehen hat. (Leider ist dies in der UTM nicht so ohne weiteres änderbar. <- Siehe Update vom 21.01.2022) Lösen lässt sich in Verbindung mit dem MDaemon Email Server das Problem dadurch, das man die Header-Zeile umschreiben lässt:

  • Auf “Einstellungen – Server-Einstellungen – Kopfzeilen-Umsetzung” klicken.
  • Im Feld “Bestehender Kopfzeilentext” die ursprüngliche Angabe der UTM eintragen, z.B. “From: Alerting-Center [firewall.domain.local] <spalertd@firewall.domain.local>”
  • Im Feld “Neuer Kopfzeilentext” den neuen Absender eintragen, z.B. “From: Administrator <administrator@domain.tld>
  • Auf “Hinzufügen”, “Übernehmen” und “OK” klicken.

Ab sofort wird in allen Nachrichten, in denen die betreffende Header-Zeile gefunden wird, diese ersetzt.

Was bei anderen Konstellationen womöglich auch hilft (in diesem Fall allerdings nicht) sind die erweiterten Einstellungen zur Weiterleitung:

  • Das betreffende Benutzerkonto bearbeiten.
  • Zu “Weiterleitung” wechseln.
  • Im Abschnitt “Erweiterte Einstellungen zur Weiterleitung” im Feld “Nachrichten an folgende Domäne weiterleiten:” entweder die Zieldomäne eintragen oder wenn es gezielt an einen Server gehen soll, diesen in eckigen Klammern eintragen.
  • Im Feld “Adresse für SMTP-Umschlag” die für den Versand zu verwendete E-Mail-Adresse eintragen. An dieser Stelle kann also die etwas ungünstige Altering-Center-Adresse ersetzt werden.
  • Ggf. noch den Port eintragen.

Zum Abschluss noch ein Tipp für bereits in der Defekt-Warteschlange hinterlegten Nachrichten:

  • Die betreffende Nachricht bearbeiten.
  • Die “FROM”-Zeile ändern und speichern.
  • Mit der rechten Maustaste auf die “Defekt-Warteschlange” klicken und “Jetzt verarbeiten” auswählen.

Die Nachricht wird zeitnah verarbeitet und im Idealfall, wenn alles passt, auch gleich versendet.

Quelle:

Securepoint – Support-Forum – Smarthost Test ?

MDaemon – Help – Header Translation

Update 01.06.2021

Wird kein eigener Mailserver betrieben und die Alerting Center-Nachrichten sollen direkt an einen Mail-Provider zugestellt und ggf. weitergeleitet werden, droht weiteres Ungemach. Ich hatte diese Situation nun und konnte es dank des oben verlinkten Threads wie folgt lösen:

  • Beim Mail-Provider ein Postfach mit dem Namen “spalertd@<domain.tld>” anlegen.
  • In diesem Postfach die Weiterleitung zum eigentlichen Ziel (Support, Monitoring, Admin, zu wem auch immer) einstellen.

Alle weiteren Schritte werden auf der UTM ausgeführt:

  • Unter “Netzwerk – Servereinstellungen” bei “Globaler E-Mail-Adresse” das zuvor stellte Postfach, gemeint ist dessen E-Mail-Adresse, eingeben.
  • Unter “Anwendungen – Mailrelay” auf der Registerkarte “Smarthost” diesen aktivieren und die Daten des Mail-Providers samt des zuvor erstellten Postfachs eintragen.
  • Im Web-Interface der UTM die Tasten-Kombi “Strg+Alt+A” drücken.
  • Auf “Extras – Templates” klicken.
  • Nach “spalert” suchen.
  • Die Datei “/etc/spalert/spalert.conf” bearbeiten.
  • Die Zeile “GLOBAL:HOSTNAME={{ print @GLOB_HOSTNAME}}” zu “GLOBAL:HOSTNAME=<E-Mail-Domain>” ändern.
  • Die Änderung speichern.
  • Unter “Anwendungen – Anwendungsstatus” den Dienst “Alerting Center (spalertd)” neu starten.

Diese Änderung setzt die Absender-Domain der E-Mail-Nachrichten. Ab Werk lautet die Adresse “spalertd@<firewallname>”, also z.B. “spalertd@firewall.testlab.local”. Versucht man mit solchen Adressen zu verschicken, bekommt man vom Mail-Provider Meldungen wie diese (und weitere):

(host <mail.server.tld>[<IP>] said: 553 5.7.1 <spalertd@firewall.testlab.local>: Sender address rejected: not owned by user <Mailbox> (in reply to RCPT TO command))

Update 21.01.2022

Mittlerweile ist in der Securepoint UTM eine einfache Möglichkeit hinzugekommen, den Absender-Namen zu ändern:

Im Web-Interface unter “Alerting Center” auf der Registerkarte “Allgemein” kann im Feld “Absender” die Vorgabe “spalertd” geändert werden. Alles nach dem @-Zeichen entspricht dem FQDN der Firewall, der wiederum unter “Netzwerk – Server-Einstellungen” auf der Registerkarte “Servereinstellungen” bei “Firewallname” geändert werden kann.

Update 12.09.2022

Seit Version 12.2.3.1 lässt sich die Absender-E-Mail-Adresse vollständig manuell konfigurieren, die feste Vorgabe mit “@<Firewallname>” entfällt.

1 Kommentar

  1. Otto

    Ich denke, dieser Beitrag zu Schwierigkeiten beim Versand der Alerting Center-Nachrichten hat alle meine Fragen beantwortet. Jetzt weiß ich, wie ich vorgehen muss. Wirklich gut geschrieben, muss ich sagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑