qmail pdadmin ipv6

  • Hallo Zusammen,


    ich möchte das Thema nochmal aktuell aufgreifen - auch wenn es in den letzten Jahren schon hin und wieder in diversen Posts diskutiert wurde.

    Gibt es von irgend jemanden eine zufriedenstellende Konfiguration um IPv6 am PD-Admin für E-Mail (qmail) korrekt zu konfigurieren?


    Mein Problem ist das der eigentliche Servername ja keinen AAAA-Eintrag bekommen darf weil sonst die PD-Admin Oberfläche nicht mehr geht.


    Das führt dann in zwei unterschiedlichen Konfigurationen zu zwei Fehlern die sich aber irgendwie nicht gemeinsam mit einer Konfiguration lösen lassen, zumindest habe ich noch keine gefunden.


    Ausgangssystem: Debian 9


    1. Fall

    Habe ich auf meiner IPv6-adresse in der Rückwärtsauflösung den richten Namen meckert freenet und co über Missing PTR record


    <irgendeineadresse@freenet.de>:

    2001:0748:0100:0040:0000:0000:0008:0116 does not like recipient.

    Remote host said: 550-Inconsistent/Missing DNS PTR record (RFC 1912 2.1) (server17.onit4u.de) 550 [2a01:4f8:222:f06::5]:39432

    Giving up on 2001:0748:0100:0040:0000:0000:0008:0116.



    2. Fall

    Habe ich einen korrekten Namen für die Vorwärts und Rückwärtsauflösung hinterlegt dann meckert mailbox.org und andere Über "MTA hostname" weil dieser nicht mit HELO übereinstimmt. Und der HELO ist ja immer der Servername des PD-Admin.


    <irgendeineadresse@mailbox.org>:

    2001:067c:2050:0104:0000:0002:0025:0001 does not like recipient.

    Remote host said: 550 5.7.1 <irgendeineadresse@mailbox.org>: Recipient address rejected:

    Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo:

    server17.onit4u.de, MTA hostname: 17-ipv6-2a01-4f8-222-f06--5.onit4u.de[2a01:04f8:0222:0f06:0000:0000:0000:0005] (helo/hostname mismatch) Giving up on 2001:067c:2050:0104:0000:0002:0025:0001.




    Aber ich kann entweder den PTR nach dem Helo einstellen ODER den PTR mit einer gültigen Rückwärts- und Vorwärtsauflösung für die IPv6.


    Habt ihr da eine Konfiguration die sowohl als auch geht?

  • Eigentlich ist es wie bei ipv4.


    qmail meldet sich beim gegnerischen Mailserver beim HELO mit dem Hostnamen der in /var/qmail/control/me drin steht. Das ist der Hostname auf den sich die IP des Servers rückwärts auflösen muss.


    Idealerweise, damit es übersichtlich bleibt, ist der systemweite Hostname, der Hostname in /var/qmail/control/me sowie der Name auf den die ipv4 und die ipv6 Adressen rückwärts (und vorwärts) zeigen, stets überall der gleiche. Dann sollte das Problem bald vom Tisch sein.

  • Deine DNS-Einträge sind dann so:


    mein.pdadmin.server A aaa.bbb.ccc.ddd

    mein.pdadmin.server AAAA 2a01:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:0002


    Und in der Rückwärtsauflösung


    aaa.bbb.ccc.ddd PTR mein.pdadmin.server

    2a01:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:0002 PTR mein.pdadmin.server


    Wenn das jetzt so gehen soll werde ich das mal ausprobieren. Aber meine Erkenntnis war dann immer wenn der AAAA-Record gesetzt ist auf den Server dann am Browser die PD-Admin Oberfläche nicht mehr geht.

  • Richtig. Wie gesagt, hatte noch nie Probleme und sehe auch regelmäßig in den Logs dass Clients per ipv6 daherkommen.


    Wenn es tatsächlich nicht funktionieren sollte nach dem Setzen des Eintrages, würde ich mir mal (natürlich während dieser Zustand andauert) die error_logs ansehen.

  • Hallo,


    sobald ich den AAAA-Record im DNS für den Server des PD-Admin einstelle komme ich zwar weiterhin über Internetanschlüsse mit IPv4 drauf auf server/customer oder server/administrator und die Mails gehen dann wohl korrekt raus.


    ABER, der PD-Admin ist dann von einem IPv6-Internetzugang nicht zu erreichen. Das kann ich so nicht lassen da ich nicht weiß welche Kunden welchen Internetzugang haben und immer mehr DSL-Anschlüsse haben nur noch IPv6 Adressen.


    Gibt es da gar keine Lösung, haben andere das Problem gar nicht mit den Mails?

  • Machs mal ein bisschen genauer - "...ist nicht zu erreichen" ist etwas wenig Info.


    Kommt zumindest irgendwas im Browser wenn Du auf eine pd-admin Adresse mit ipv6 los gehst? Taucht was im access/errorlog auf während Du das tust?

  • Muss tbc233 zustimmen. Eine Analyse ist so nicht möglich... Zumal ich hier den Eindruck habe, dass Mail-Dienste und Webserver in einen Topf geworfen werden. Da getrennte Dienste, muss dies auch getrennt betrachtet werden.


    Ich habe mich entschlossen IPv6 auf meinem Server zu aktivieren und bei den ersten Tests klappt alles problemlos:


    Mail-Dienste:


    Mails werden per IPv6 versandt und empfangen.


    Webserver:


    Gehostete Webseiten sind per IPv6 erreichbar.


    Die pd-admin Verwaltungsoberfläche nicht. Schaut man sich die httpd.conf wird auch klar wieso. Es gibt kein IPv6 vhost dazu. afaik unterstützt pd-admin, also die Verwaltungsoberfläche, noch kein IPv6. Sprich egal ob eine IPv6 Adresse konfiguriert ist oder nicht, die Verwaltungsoberfläche ist nicht per IPv6 erreichbar.

  • Okay, ich hab grad gesehen dass ich meine httpd.conf-template entsprechend erweitert habe, damit auch ipv6 zieht. Das war mir auswendig nicht mehr geläufig dass ich das händisch gemacht habe.


    Damit sollte es dann gehen, weil das pd-admin document root dann auch auf die ipv6-Adresse "hört".

  • Okay, ich hab grad gesehen dass ich meine httpd.conf-template entsprechend erweitert habe, damit auch ipv6 zieht. Das war mir auswendig nicht mehr geläufig dass ich das händisch gemacht habe.


    Damit sollte es dann gehen, weil das pd-admin document root dann auch auf die ipv6-Adresse "hört".

    Habe ich nun ebenfalls erweitert und per cURL ist pd-admin nun erreichbar :thumbup: Konnte es im Browser nur noch nicht wirklich testen da, egal bei welchem Anschluss, die Anfragen bei mir bisher immer per IPv4 raus gingen.


    Edit:


    Zugriff per IPv6 auf die Verwaltungsoberfläche klappt problemlos.

  • Danke für den Input. Das der PD-Admin doch IPv6 fähig ist, aber nur im Apache die IPv6-Virtualhosts nicht eingetragen bzw. automatisch erzeugt werden wusste ich so nicht. Ich bin immer davon ausgegangen das die PD-Admin Oberfläche das noch nicht kann.


    Auf zwei Systemen habe ich das jetzt mal mit apache24 integriert. Ich musste folgende ergänzungen in der http24-template machen. Evtl. ist eines redundant. Und man muss künftig immer aufpassen das Änderungen darin wohl manuell gemacht werden.


    Anzupassen sind:

    MEINEIP und server.domain.de (beim SSL-Zertifikat)


    # Bitte geben Sie in der naechsten Zeile die IP-Adresse Ihres Servers an!

    <VirtualHost MEINEIPv6:80>

    # Bitte passen Sie in der naechsten Zeilie den Servernamen an

    ServerName $$SERVERNAME

    ## REDIRECT_TO_HTTPS ##

    DocumentRoot /usr/local/pd-admin2/htdocs

    AddHandler cgi-script .cgi .pl

    RewriteEngine On

    Alias /html /opt/pdadmin/www/html

    Alias /assets /opt/pdadmin/www/assets

    Alias /js /opt/pdadmin/www/js

    Alias /css /opt/pdadmin/www/css

    Alias /images /opt/pdadmin/www/images

    Alias /customer /opt/pdadmin/www/customer

    Alias /administrator /opt/pdadmin/www/administrator

    Alias /pop3 /opt/pdadmin/www/pop3

    RewriteRule /customer/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/customer/$1

    RewriteRule /administrator/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/administrator/$1

    RewriteRule /pop3/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/pop3/$1

    # SetEnv RLIMIT_CPU 45

    SetEnv RLIMIT_CPU 240

    SetEnv RLIMIT_NPROC 64

    SetEnv RLIMIT_AS 256000000

    SetEnv RLIMIT_NOFILE 200

    # WEBMAILER / phpMyAdmin

    ScriptAlias /cgi-sys/ /usr/local/pd-admin2/cgi-sys/

    AddHandler php5wrap .php .php3 .php4

    Action php5wrap /cgi-sys/php5-cgiwrap//usr/local/pd-admin2/htdocs/

    Alias /pda-ssl-validation-files /opt/pdadmin/etc/ssl-validation

    </VirtualHost>


    <VirtualHost MEINEIPv6:443>

    SetEnvIf Request_URI "/roundcubemail" PHP5_VERSION=5.6.99

    ServerName server17.onit4u.de

    DocumentRoot /usr/local/pd-admin2/htdocs

    AddHandler cgi-script .cgi .pl

    RewriteEngine On

    Alias /assets /opt/pdadmin/www/assets

    Alias /html /opt/pdadmin/www/html

    Alias /js /opt/pdadmin/www/js

    Alias /css /opt/pdadmin/www/css

    Alias /images /opt/pdadmin/www/images

    Alias /customer /opt/pdadmin/www/customer

    Alias /administrator /opt/pdadmin/www/administrator

    Alias /pop3 /opt/pdadmin/www/pop3

    Alias /assets /opt/pdadmin/www/assets

    Alias /img /opt/pdadmin/www/img

    Alias /pda-ssl-validation-files /opt/pdadmin/etc/ssl-validation

    Alias /.well-known/acme-challenge/ /opt/pdadmin/etc/ssl-validation/.well-known/acme-challenge/

    RewriteRule /customer/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/customer/$1

    RewriteRule /administrator/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/administrator/$1

    RewriteRule /pop3/sid/[a-z0-9]+/(.*) /opt/pdadmin/www/pop3/$1

    SetEnv RLIMIT_CPU 480

    SetEnv RLIMIT_NPROC 64

    SetEnv RLIMIT_AS 1024000000

    SetEnv RLIMIT_NOFILE 200

    # WEBMAILER / phpMyAdmin

    ScriptAlias /cgi-sys/ /usr/local/pd-admin2/cgi-sys/

    AddHandler php5wrap .php .php3 .php4

    Action php5wrap /cgi-sys/php5-cgiwrap//usr/local/pd-admin2/htdocs/

    SSLEngine on

    SSLCertificateFile /opt/pdadmin/sslcerts/server.domain.de-cert

    SSLCertificateKeyFile /opt/pdadmin/sslcerts/server.domain.de-key

    SSLCertificateChainFile /opt/pdadmin/sslcerts/server.domain.de-cacert

    Header add Strict-Transport-Security "max-age=15768000"

    SetEnvIf User-Agent ".*MSIE.*" \

    nokeepalive ssl-unclean-shutdown \

    downgrade-1.0 force-response-1.0

    </VirtualHost>


    Damit hat es von meinem IPv6 Anschluss zuhause auch funktioniert und ich bin auf die PD-Admin Weboberfläche gekommen.


    Wenn das so easy ist frage ich mich warum das nicht längst geht, denn gerade mit Mail hat man sonst durch komische DNS Vor- und Rückwärtsauflösungen und HELO-Hostnamen ständig ärger.

  • Das war jetzt nur die Konfiguration für den Webserver. Die pd-admin Oberfläche ist ja auch nur "eine Webseite". Daher sollte dies auch funktionieren.

    Die Frage ist eher, ob sämtliche Hintergrundfunktionen/-skripte in pd-admin IPv6 kompatibel sind. Wenn das alles (noch) nicht umgesetzt/getestet wurde, kann ebeb keine 100%ig Unterstützung gewährleistet werden.


    Mir ist z.B. aufgefallen, dass bei einem Login über eine IPv6 Adresse der Lizenztyp als "free" angezeigt wird. Wobei das wohl vornehmlich daran liegen wird, dass im Lizenz File die Zeile der IPv6 Adresse leer ist. Aber auch hier ist dann die Frage: wird IPv6 bei der Validierung des Lizenz Files bereits unterstützt oder ist es enthalten für eine zukünftige IPv6 Unterstützung?

  • Ich habe die Konfiguration im apache24 auch mal hinterlegt und das wirkt sich natürlich mit korrekten DNS vor und rück auflösungen für den Mailverkehr positiv aus und geht dann korrekt.

    Aber der PD-Admin ist dann für /customer nicht mehr erreichbar weil nach dem Login die Meldung kommt das zu viele Domains registriert sind und wohl der Lizenzschlüssel nicht richtig ausgewertet wird. (der ja auch nur auf die IPv4 gebunden ist).


    Wie macht es den providerdienste.de bei B&K, die müssen doch auch korrekt Mails raus geben UND den /customer für die Kunden offen haben. Natürlich kann man IPv6 komplett weg nehmen, aber zeitgemäß ist das natürlich auch nicht mehr.


    Gibt es da noch weitere Praxis-tipps wie ihr das macht?