KeyHelp Community

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
(Probleme ohne KeyHelp-Bezug gehören ins Offtopic-Forum)
Relativ sicher

Server-Betriebssystem + Version
(z.B. Ubuntu 20.04)
Ubuntu 20.04 (64-bit)

Eingesetzte Server-Virtualisierung-Technologie
(z.B. keine, OpenVZ, KVM, XEN, etc.)
KVM

KeyHelp-Version + Build-Nummer
(z.B. 22.0 - Build 2366)
22.0 (Build 2393)

Problembeschreibung / Fehlermeldungen
E-Mails von Stripe.com kommen auf einem meiner KeyHelp Servern nie und auf einem anderen nie oder nur mit sehr starker Verspätung (teilweise 5 Stunden) an. Ich kann nicht sagen, warum der eine Server die Mails teilweise nach Stunden dann doch noch durchlässt und der andere diese zu 100% ablehnt.
Fehlermeldung aus /var/log/mail.log: Client host rejected: cannot find your hostname
Siehe auch: viewtopic.php?t=8319

Erwartetes Ergebnis
Auch, wenn die Stripe E-Mail-Server nicht perfekt konfiguriert zu sein scheinen, sollten diese E-Mails im Posteingang oder zumindest im SPAM eingehen. Google und Outlook nehmen diese auch problemlos an.

Tatsächliches Ergebnis
E-Mails von Stripe.com kommen gar nicht oder mit extremer Verzögerung an (sehr unzuverlässig).

Schritte zur Reproduktion
Option 1. Auf Stripe.com die E-Mail-Adresse des Accounts ändern --> Es wird eine E-Mail zur Bestätigung verschickt, die jedoch nie ankommt.
Option 2. Eine Rechnung im Stripe Dashboard anlegen, diese an eine auf einem KeyHelp Server gehostete E-Mail senden --> Rechnung wird von Stripe verschickt, kommt jedoch nie oder erst nach Stunden an.

Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

• Server 1: Getestet mit einer Catch-All-E-Mail (Schutzmaßnahmen werden dadurch deaktiviert): Hier kam niemals eine E-Mail von Stripe an.
• Server 2: Getestet mit einer E-Mail-Adresse ohne Catch-All: Hier kamen die Stripe-E-Mails gar nicht oder erst deutlich später an.
• Server 1 und Server 2: Unter "Einstellungen/Konfiguration/E-Mail-Server/Whitelist-Adressen" habe ich "*@*stripe.com" eingetragen (hilft leider auch nicht)

Welche Nameserver werden von deinem System genutzt?

Hallo Jolinar,

ich habe heute morgen tatsächlich auch noch herausgefunden, dass es mit meinen Nameservern oder eher meinen DNS-Settings zusammenhängen muss.
Lokal kann ich die Stripe Adressen korrekt auflösen, auf meinen Servern hingegen geht nur die Richtung von IP auf Hostname: (host 123.456.789.101)
Wenn ich den Hostname / FQDN nutze (host server1.example.com), bekomme ich folgendes:
Host not found: 2(SERVFAIL)

Ich nutze für meine DNS-Einträge Cloudflare und habe meinen DNS-Server ebenfalls auf Cloudflare geändert (1.1.1.1, 1.0.0.1).

Ich kann mir mittlerweile auch gut vorstellen, dass es sich um eine DNS Fehlkonfiguration handelt, weiß aber nicht, was ich falsch gemacht haben kann:
Ich habe in „/etc/systemd/resolved.conf“ neben „DNS=„ folgendes eingetragen:
1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001
Dann DNS Service neugestartet: systemctl restart systemd-resolved
Und danach noch zur Sicherheit Caches geleert:
resolvectl reset-server-features
resolvectl flush-caches

Kurzer Nachtrag: Ich habe das Problem für mich lösen können. Es lag an DNSSEC.
Ich habe in /etc/systemd/resolved.conf die Option "DNSSEC=allow-downgrade" auf "DNSSEC=no" geändert und seitdem wird wieder alles korrekt aufgelöst und die Stripe E-Mails kommen sofort ohne Probleme an.

Tim246 wrote: ↑Sat 14. May 2022, 00:52 Ich habe in /etc/systemd/resolved.conf die Option "DNSSEC=allow-downgrade" auf "DNSSEC=no" geändert

Dann mußt du diese Konfiguration aber schon mal irgendwann angepaßt haben. Ich hab grad mal auf meinen Maschinen geschaut, der Parameter DNSSEC ist überall auskommentiert:

Seltsam. Ich weiß auch nicht, woher die Konfiguration kommt. Ich bin mir zu 90 % sicher, bis auf die Zeile "DNS=" nichts verändert zu haben.
Dennoch sah meine Konfiguration bei allen KeyHelp Servern identisch aus. Auf einem Server ohne KeyHelp stand DNSSEC allerdings tatsächlich auf "no".

So sieht meine aktuelle (und funktionierende) Konfiguration aus:

Zum Vergleich mal die Konfiguration einer meiner Maschinen: Übrigens...Wenn bei den auskommentierten Parametern Werte stehen, sind das die Standardwerte, in deinem aktuellen Beispiel ist der Standardwert bei DNSSEC also "no".

Tim246 wrote: ↑Sat 14. May 2022, 12:36 Seltsam. Ich weiß auch nicht, woher die Konfiguration kommt.

Sieh es positiv, wir haben beide etwas gewonnen...Du hast dein Problem beheben können und ich kann noch gezielter Hilfestellung geben, wenn zukünftig jemand mit dem gleichen Problem nachfragt.

Übrigens...Wenn bei den auskommentierten Parametern Werte stehen, sind das die Standardwerte, in deinem aktuellen Beispiel ist der Standardwert bei DNSSEC also "no".

Nur, weil ich das gestern überall aktiv auf "no" gesetzt habe. Ursprünglich stand das auf "allow-downgrade" (warum auch immer). Bei mir war aber auch nichts auskommentiert (oder ich habe es vor Monaten mal gemacht, woran ich mich aber nicht erinnern kann )

Sieh es positiv, wir haben beide etwas gewonnen...Du hast dein Problem beheben können und ich kann noch gezielter Hilfestellung geben, wenn zukünftig jemand mit dem gleichen Problem nachfragt.

So ist es!