ポート25が開放できない

お世話になっております、先日RHELのqmailについて質問させていただいたものです。

現在、担当者より対象サーバーのSMTPポート（25）を開放した、と連絡をうけたのですが
http://www.cman.jp/network/support/port.html から対象サーバーのポートチェックを行うと
「ポート：25 にアクセスできませんでした。」
が戻ってくる状況です。
ちなみに、このサーバーはポート80も開放しており、
こちらは「ポート：80 にアクセスできました」が確認できます。

外部からメールを送った際のメールログは音沙汰無しの状態です。（外部へのメール送信は成功しました）
iptablesも停止しており、netstatで確認しても25をLISTENしている状態です。
DNSでの名前解決は確認しており、MXレコードも確認済みです。
tcpserverのcdbやrcpthostsにも特に問題になるようなところは見受けられません。

どういった問題が考えられますでしょうか。。。
よろしくお願いいたします。

No.3 ベストアンサー 回答者： maesen 回答日時： 2012/03/28 16:42

＞ちなみに、このサーバーはポート80も開放しており、

＞こちらは「ポート：80 にアクセスできました」が確認できます。

＞iptablesも停止しており、netstatで確認しても25をLISTENしている状態です。
＞DNSでの名前解決は確認しており、MXレコードも確認済みです。
＞tcpserverのcdbやrcpthostsにも特に問題になるようなところは見受けられません。

前回の質問でtelnet localhost 25 は接続可能と書いてあったと思うので、そうすると上記から判断するとこのメールサーバより上位のネットワークで止まっている可能性が高いと思うんですけどね。

ネットワーク管理者に再度確認したいところです。

メールサーバ側で出来るものとしてはtcpserverの設定を見直すぐらいでしょうか。
今回はtcpの段階で接続が出来ていないのでrcpthostsの影響は受けないです。

もし、メールサーバと同一サブネット上に何か機器があれば、
telnet メールサーバIPアドレス 25 でもう少し切り分けが出来ると思います。

この回答への補足

回答ありがとうございます。

> ネットワーク管理者に再度確認したいところです
担当者に再度、「本当に対象サーバーの25ポートが双方向開放されているか」を確認いたします。。。

> もし、メールサーバと同一サブネット上に何か機器があれば
> telnet メールサーバIPアドレス 25 でもう少し切り分けが出来ると思います
同一サブネット上でアクセスできるマシンがないため、残念ながら確認できない状況です。
外部からのtelnet ip 25は当然ですが Connection refusedでした。

補足日時：2012/03/28 17:01

この回答へのお礼

上記はお礼になります。失礼いたしました。

お礼日時：2012/03/28 17:33

No.9 回答者： Fushino 回答日時： 2012/03/29 14:06

＃8です。

>前述いたしましたが、対象サーバーはデータセンターから借り受けているものであり、OP25Bは考えにくいと思っております。

OP25Bは対象サーバー側ではなく、対象サーバーにメール投稿やtelnet接続をしようとしているクライアント側のプロバイダの制限です。
対象サーバー側には関係なく、クライアント側からのインターネットへのSMTP（25）通信がブロックされます。

telnet接続は、まったく関係のないネットワーク上の別のLinuxマシンからとのことですが、そのネットワークというのがインターネット上にあればそのプロバイダのOP25Bに引っかかりますし、対象サーバーの設置されているデータセンター内であればルーター等のポート開放が正しく行われていない可能性が考えられます。

今回の場合は、クライアントからの対象サーバーへのメール投稿ができないのではなく、会社のメールサーバー、hotmail、gmailからのメール転送もできないということですのでOP25Bの問題ではなくサーバー側に問題がありそうです。
とりあえずはメール転送ができない段階でエラーメールが返ってきそうにも思えるのですがそれもないのですよね。

この回答へのお礼

回答ありがとうございます。

> OP25Bは対象サーバー側ではなく、対象サーバーにメール投稿やtelnet接続をしようとしているクライアント側のプロバイダの制限です
ご指摘ありがとうございます。
おっしゃるとおり、対象サーバー側のファイアウォールと勘違いしておりました。

> メール転送ができない段階でエラーメールが返ってきそうにも思えるのですが
メールを送信した側（会社メール、hotmail、gmail）も特にバウンスメールが来るでもなく、音沙汰無しの状態です。

お礼日時：2012/03/29 14:43

No.8 回答者： Fushino 回答日時： 2012/03/28 22:38

対象サーバーへのメール送信やtelnet接続はどこからどのように行っているのでしょうか。

OP25Bを実施しているプロバイダだと固定IPでない通常契約の接続IPからの外部宛てのポート番号25の通信は全てブロックされますから、そのような環境のPCから対象サーバーへ25番ポートのtelnet接続をしようとしたり、メールソフトの設定で対象サーバーをSMTPサーバーに、使用ポートを25番にしてメールを送信しようとしてもプロバイダ側でブロックされます。

対象サーバーに直接投稿しているのではなく、メールソフトのSMTPサーバーはプロバイダのSMTPサーバーだったり、Webメール（HotmailやGmail）を利用してメールを送っているのに ***@example.com宛てのメールが届かないというのであればMXレコード等のDNS情報の問題でしょう。

先に述べたように、通常のインターネット接続環境からの外部サーバーへのSMTP（25）によるメール投稿は大部分のプロバイダでOP25Bによるブロックが実施されていますからそのような環境からの利用やテストを行うのであればSMTPポートだけでなくサブミッションポート（587）も利用できるように対象サーバーのqmailやネットワーク機器を設定する必要があるはずです。

この回答へのお礼

回答ありがとうございます。

> 対象サーバーへのメール送信やtelnet接続はどこからどのように行っているのでしょうか
確認したのは会社のメールから、hotmailから、gmailから、です。
telnet接続は、外部からにつきましてはまったく関係のないネットワーク上の別のLinuxマシンから確認しております（Connection refused）

> OP25Bを実施しているプロバイダだと
前述いたしましたが、対象サーバーはデータセンターから借り受けているものであり、OP25Bは考えにくいと思っております。

> MXレコード等のDNS情報の問題でしょう
DNSやMXレコードについては、nslookup（外部から自身からともに）や下記のサイトより問題がないことを確認しております。
http://www.cman.jp/network/support/nslookup.html

# nslookup -type=mx example.com
Server: xx.xx.xx.xx
Address: xx.xx.xx.xx#53

Non-authoritative answer:
example.com mail exchanger = 10 example.com.
・・・
example.com internet address = 203.xx.xx.0
・・・

お礼日時：2012/03/29 11:00

No.7 回答者： engineeeer 回答日時： 2012/03/28 21:11

No.4です

>なぜか教えてgooでは「内容を確認中」と出て、お礼入力を押すと内容が確認できたので
>返答が遅くなりました、申し訳ございません。
>（なんじゃこりゃ）
すいません、回答した文章にメールアドレス(架空ですが)が入っていたのが、
個人情報として認識されてしまったのかもしれません。。

あまり構成をご存じないのですね。
FWやルータでフィルタリングされている可能性も十分考えられますので、
ひとまず担当者の回答待ちでしょうかね。

時間があるようであれば、考えられる可能性を一つずつ潰していきましょう。

この回答へのお礼

回答ありがとうございます。

やはり担当者の回答を待つしかないですね。。。
何か進展がございましたらここでご報告したいと思います。

ありがとうございます。

お礼日時：2012/03/28 21:20

No.6 回答者： engineeeer 回答日時： 2012/03/28 18:04

No.4です

なるほど。データセンタに設置されたサーバなんですね。

> 1の記述でいくと、hoge@example2.comからhuga@example.comへメールが届かず、
> ログをtailしても音沙汰無しの状態です。
すいません、勘違いしてました。そういうことでしたか。
となると、OP25Bの可能性はほとんどないですね。。

データセンタ内のSMTPサーバの前にFWってありますか？
ルータは何を使っていますか？
あとそこはNAT環境ですか？(SMTPサーバ自身はグローバルですか？)

もう少し構成が分かると色々と考えやすいのですが。

この回答へのお礼

回答ありがとうございます。

なぜか教えてgooでは「内容を確認中」と出て、お礼入力を押すと内容が確認できたので
返答が遅くなりました、申し訳ございません。
（なんじゃこりゃ）

> データセンタ内のSMTPサーバの前にFWってありますか
ここも合わせて確認してみます。
いかんせん、私 => 連絡担当者 => ポート開放担当者 という連絡経由になっており、回答がなかなか返ってこない状況です。。。

> ルータは何を使っていますか？
> あとそこはNAT環境ですか？(SMTPサーバ自身はグローバルですか？)
SMTPサーバー自身はグローバルです。
2つの独立したグローバルIPを1つのマシンで持っております。
SMTPを開放してもらっているのは、eth1のグローバルIPになります。
80を確認しているのもeth1です。
# ifconfig
eth1 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
inet addr:203.xx.xx.0 Bcast:xx.xx.xx.xx Mask:xx.xx.xx.xx
inet6 addr: xxxxxxxxxxxxxx Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:27482 errors:0 dropped:0 overruns:0 frame:0
TX packets:20078 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6751643 (6.4 MiB) TX bytes:6356134 (6.0 MiB)

eth1:1 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx（eth1と同じ）
inet addr:203.xx.xx.1 Bcast:xx.xx.xx.xx Mask:xx.xx.xx.xx
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

お礼日時：2012/03/28 19:32

No.5 回答者： engineeeer 回答日時： 2012/03/28 16:56

>現在、この回答はサポートで内容を確認中です。

>ご迷惑おかけいたしますが、今しばらくお待ちください。
ありゃ、、何かいけない単語入ってたかな。
取り急ぎ、表示されるまでOP25Bの可能性を調べてみてください。

この回答への補足

回答ありがとうございます。

対象サーバーは、データセンターから借りうけているサーバーなので
（なので、ポートの開放の担当者が異なってます）
可能性的にはOP25Bは薄いと思うのですが、合わせて担当者に問い合わせておきます。

補足日時：2012/03/28 17:09

この回答へのお礼

上記はお礼になります。失礼いたしました。

お礼日時：2012/03/28 17:33

No.4 回答者： engineeeer 回答日時： 2012/03/28 16:52

少し整理させてくださいね。

huga@example.com ---> [SMTPサーバ] ---> INTERNET ---> hoge@example2.com

1.)
huga@からhoge@宛にメールを送った場合は成功。

2.)
INTERNETから1.で使用したSMTPサーバを利用して、hoge@にメールを
送った場合は失敗。サーバにログ自体残っていない。

ということでいいですか？

あと、1.の場合と2.の場合とで利用しているISPは別だったりしますか？

別という場合は、2.で利用しているISP側でブロック(Outbound Port25 Blocking)
されている可能性も考えられます。

回避策としては、サブミッションポート(tcp/587)を使用します。
qmail側で587でもLISTENするように設定変更が必要になります。
あとFWなどあれば、TCP587番のポート開放も。

25,587を両方あけておくことで、SMTPサーバ側にいる利用者はメーラの
設定変更は不要になりますし、外部から利用する人は587にメーラの設定を
変えるだけで済むと思います。

ちなみに、OP25B対策がされているかどうかは利用する端末から

telnet {SMTPサーバのFQDN} 25

でできます。弾かれればポートが開いてないか、対策されてるか。

この回答への補足

1.)
はい、huga@example.com（=対象サーバー）から全く関係のない外部のメールサーバーhoge@example2.comへの送信を複数で確認済みです。

2.)
> INTERNETから1.で使用したSMTPサーバを利用して、hoge@にメールを
> 送った場合は失敗。サーバにログ自体残っていない。
1の記述でいくと、hoge@example2.comからhuga@example.comへメールが届かず、ログをtailしても音沙汰無しの状態です。
（合わせてtcpdumpも確認しておりますが、ピクリともせず。。。）

> あと、1.の場合と2.の場合とで利用しているISPは別だったりしますか？
gmailやhotmailにも送りましたが、OKでした。

> ちなみに、OP25B対策がされているかどうかは利用する端末から
> telnet {SMTPサーバのFQDN} 25
> でできます。
対象サーバー自身でのtelnet example.com 25は
Connected to example.com.
が返ってきます。
外部からは、前述しましたが、
Connection refused
といった状況です。
よろしくお願いいたします m(_ _；)m

補足日時：2012/03/28 17:19

この回答へのお礼

上記はお礼になります。失礼いたしました。

お礼日時：2012/03/28 17:33

No.2 回答者： nekonynan 回答日時： 2012/03/28 16:23

大方のパターンは貴方部屋にあるルータに制限が掛けられているのが一番多いです。

　ルータの設定を確認して下さい

この回答への補足

回答ありがとうございます。

ポートの開放については別の担当者が行っておりまして、対象サーバーのポート開放完了の連絡を受けている状態です。
それでも設定が間違っている可能性がありますが、問題の切り分けが出来ず
こちらに問題がある可能性はないか、と考えてご質問した次第です。

担当者には再度「対象サーバーの25が双方向開いているか」を確認してもらいます。。。

補足日時：2012/03/28 16:51

この回答へのお礼

上記はお礼になります。失礼いたしました。

お礼日時：2012/03/28 17:32

No.1 回答者： yasuto07 回答日時： 2012/03/28 16:12

他の何かのソフトが、ポート25を使用しているのでは？。

この回答への補足

回答ありがとうございます。
ポート25はqmailが使用しております。
# lsof -i :25
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
tcpserver 31217 qmaild 3u IPv4 33790088 TCP *:smtp (LISTEN)

補足日時：2012/03/28 16:47

この回答へのお礼

すいません、間違えて補足に記述してしまいました。。
上記はお礼になります。失礼いたしました。

お礼日時：2012/03/28 17:32