Q&A
オンプレの構成ですか?
そうだった場合、WXR-5700AX7P ブロードバンドルータ以下にメール/Webサーバが存在する構成ですか?
前述をすべて満たす場合、交換したルータは故障機器と同様の機器で同設定でしょうか?
ヘアピンNATができていないことを想像しています。
背景
お世話になります。
社内LANの中で、メールサーバー(DNS兼用)とWEBサーバーを運用しています。
ルーター、メールサーバー、WEBサーバーにはそれぞれグローバルIPが割り当てられています。
以前使用していたルーターが故障し、ルーターを変えて以降、DNSの逆引きができなくなりました。
調査を進めている中で、telnetによるSMTP接続をしようとしたときに、ネットワークアドレスに対して接続拒否をしているような表示を確認しました。
実現したいこと
- telnetのSMTP接続で接続元サーバーのIPアドレスが参照されるようにしたい
前提
使用しているルーターは バッファロー WXR-5700AX7P です。
メール、WEBサーバー共に、一意なグローバルIPアドレスを持っています。
接続情報
| 項目 | ホスト | IPアドレス |
|---|---|---|
| 接続先 | to.example.net | aaa.aaa.aaa.999 |
| ネットワークアドレス | xxx.xxx.xxx.000 | |
| ルーター | xxx.xxx.xxx.111 | |
| メールサーバー | mail.example.com | xxx.xxx.xxx.222 |
| WEBサーバー | web.example.com | xxx.xxx.xxx.333 |
発生している問題・エラーメッセージ
telnetによるsmtp接続を行った際に、
503 5.7.0 Error: access denied for unknown[xxx.xxx.xxx.000]と表示される。
また、unknownの後に続くIPアドレスが、ネットワークアドレスになっている。
該当のソースコード
bash
1[root@mail ~]# telnet to.example.net 25 2Trying aaa.aaa.aaa.999... 3Connected to to.example.net (aaa.aaa.aaa.999). 4Escape character is '^]'. 5220 ocn.ad.jp ESMTP mail service ready 6HELO mail.example.com 7503 5.7.0 Error: access denied for unknown[xxx.xxx.xxx.000]
また、同一セグメントにあるWEBサーバーから接続を行っても同様でした
bash
1[root@web ~]# telnet to.example.net 25 2Trying aaa.aaa.aaa.999... 3Connected to to.example.net. 4Escape character is '^]'. 5220 ocn.ad.jp ESMTP mail service ready 6HELO web.example.com 7503 5.7.0 Error: access denied for unknown[xxx.xxx.xxx.000]
試したこと
ルーターのポート変換の設定は行いましたが、的外れな気もしております。
補足情報(FW/ツールのバージョンなど)
元々は、DNSの逆引きができなくなったことが発端でした。
DNSサーバーは、メールサーバーと同じ筐体です。
DNSの逆引きができないため、メールの送信ができない相手が出てきている状態です。
SPFレコードの見直しなども行ったのですが、そもそも、メールサーバーのIPアドレスが正しく、相手サーバーに渡せてない、と思い、telnetでの動作確認をする中で、上記のような現象を確認した次第でした。
よろしくお願いします。
回答ありがとうございます。おっしゃる通りの構成です。
- オンプレの構成です
- WXR-5700AX7P ブロードバンドルータ以下にメール/Webサーバが存在する構成です。
> 交換したルータは故障機器と同様の機器で同設定でしょうか?
いえ、異なります。
ヘアピンNATというものがあるんですね。調べてみます。
説明が省略されすぎでよくわかりませんが、telnet接続時のメッセージを見る限り、
「DMZのサーバーから、他社 ocn.ad.jp のSMTPサーバー にtelnetしてみた」
という事ですかね?
そもそも、「DNSの逆引きが出来ていない」と判断した具体的なファクトは何でしょうか?
dig -x IPアドレス
で見つからないのなら、ルーター交換というよりDNS登録の問題かと思いますが、それ以外の何かですか?
であれば、ローカルIPからグローバルIPにNATされたものに対して、ローカルネットワークからは接続できないかと思われます。これを実現するのがヘアピンNATです。
ご質問者様の記載内容だと、ローカルノードからNATされたグローバルIPにアプローチしているように見えますが、この理解はあっていますか?
そうだった場合、機器交換前はこれが実現できていたのでしょうか?
> otn様
回答ありがとうございます。
DMZではなく、グローバルIPでそのままアクセスできます。
SSH接続、pingはそのまま通る構成になります。
今回の経緯が、
メール送信をしようとした時に弾かれていたところから始まっています。
どこで弾かれているのかを確認しようとして、telnetでsmtp接続を試みたところ、
HELO mail.example.com で弾かれているのを確認しました。
また、
503 5.7.0 Error: access denied for unknown[xxx.xxx.xxx.000] のメッセージも、
503 5.7.0 Error: access denied for unknown[xxx.xxx.xxx.222] と、
メールサーバーのIPが記載されるものではないかと思い、違和感を持ちました。
dig -x xxx.xxx.xxx.222 の逆引きはできます。
ファクトですが、 /var/log/mailog内に、以下の記載がありました。
Nov 13 10:32:26 mail.example.com postfix/smtp[12809]: 6EB3BC4676: host gmail-smtp-in.l.google.com[142.251.10.27] said: 421-4.7.23 [xxx.xxx.xxx.000] The IP address sending this message does not have a 421-4.7.23 PTR record, or the corresponding forward DNS entry does not match 421-4.7.23 the sending IP. To protect our users from spam, mail has been 421-4.7.23 temporarily rate limited. To learn more about IP address requirement 421-4.7.23 s for sending to Gmail, visit 421-4.7.23 https://support.google.com/a?p=sender-guidelines-ip 421-4.7.23 To learn more about Gmail requirements for bulk senders, visit 421 4.7.23 https://support.google.com/a?p=sender-guidelines. 98e67ed59e1d1-2e9f3ebda93si443960a91.56 - gsmtp (in reply to end of DATA command)
SPFレコードが ネットワークアドレスになっていたので、メールサーバーのIPアドレスに修正したところ、
上記のようなエラーが出ていました。
また、メールサーバーとDNSサーバーは同じサーバーです。
そのため、
サーバー間のSMTP接続において
バッファローのルーター 経由すると、
メールサーバーのIPアドレスではなく、ネットワークアドレスが外部から見えている、と考えました。
> over様 回答ありがとうございます。
メールサーバーもWEBサーバーも、グローバルIPを持っており、SSH接続もできます。
SMTP接続の時だけ、うまくいっていないようにも見えております。
また、別の外部サーバー(弊社管理)には、SMTP接続できました。
``` bash
[root@mail ~]# telnet example.org 25
Trying <IPv6のIPアドレス>...
telnet: connect to address <IPv6のIPアドレス>: Connection timed out
Trying yyy.yyy.yyy.555...
Connected to npo-fjs.org (yyy.yyy.yyy.555).
Escape character is '^]'.
220 mail.example.org ESMTP Postfix
HELO mail.example.com
250 mail.example.org
```
PTRレコードによるチェックの有無だとは思いますが、
SMTP接続の時に弾かれているように見えております。
> dig -x xxx.xxx.xxx.222 の逆引きはできます
> dig -x xxx.xxx.xxx.222 の逆引きはできます
であれば、「DNSの逆引きができなくなりました。」は間違いと言うことですよね?質問文を修正しましょう。
> バッファローのルーター 経由すると、メールサーバーのIPアドレスではなく、ネットワークアドレスが外部から見えている、と考えました。
このあたり、文章の意味が分かりません。
もし、困っている現象が「メールが送信できない」であるのなら、それに沿って質問文を前面書き換えするのが良いと思います。メールを送信した際のエラーメッセージを掲載するするなど。
> otn様 ご回答ありがとうございます。
おっしゃる通りです。
最終的に解決したいことは「メールが送信できない」でした。
問題を小さくしたいと考え、
telnetで見えている詳しい方の視点からもご判断いただけたらと思った次第でした。
また、バッファローのルーター(WXR-5700AX7P)の設定の中の、
「アドレス変換」を無効化すると、
telnet to.example.net 25
HELO mail.example.com が通りました。
gmail宛にメールを送信し、メールヘッダーと
SPF、DKIM、DMARC認証がPASSするところまで確認できました。
明日、実際に問い合わせのあった方に、メール送信確認してもらい、最終確認を取りたいと思います。
質問文等は、その際に書き直します。
あなたの回答
tips
プレビュー
