Fórum Root.cz
Hlavní témata => Server => Téma založeno: Supra. vod 15. 12. 2025, 23:59:50
-
Nerozumím tomu a nestalo se mi to poprvé, mám s tím zkušenost z různých adres, takže není to vázáno na určitou doménu.
-
Protože ho MTA Googlu se zpožděním odeslalo? S dobou to nijak nesouvisí; mail není instant messenging a může to mít i na straně Googlu tisíc a jeden důvod.
-
A co je na straně příjemce? Třeba greylisting dokáže potrápit, zejména pokud odesílající "SMTP MTA řešení" opakuje pokus o odeslání z různých IP adres... Ale problematických konfigurací na přijímajícím mailserveru se dá vymyslet víc.
-
Protože ho MTA Googlu se zpožděním odeslalo? S dobou to nijak nesouvisí; mail není instant messenging a může to mít i na straně Googlu tisíc a jeden důvod.
Nevěděl jsem co je MTA, nikdy jsem nebyl na straně serveru, dám se do toho. E-mail není instant messenging, ale zpravidla přijde po několika minutách od odeslání. Předpokládám, že je to na straně Google.
-
A co je na straně příjemce? Třeba greylisting dokáže potrápit, zejména pokud odesílající "SMTP MTA řešení" opakuje pokus o odeslání z různých IP adres... Ale problematických konfigurací na přijímajícím mailserveru se dá vymyslet víc.
Já žádný greylist nemám, s tím se naopak nesetkávám u nikoho jiného, než u toho gmailu. Připadá mi až paranoidně zabezpečený.
-
Zkus prozkoumat hlavičky v přijatém e-mailu. Tam najdeš časová razítka a servery, přes které to šlo.
-
Není to na straně odesílatele (GMailu), je to na straně příjemce. Pravděpodobně greylist – poprvé e-mail odmítne a očekává, že legitimní odesílatel e-mail zkusí odeslat znovu, zatímco spammer se na to vykašle. Obvykle v datech, podle kterých se posuzuje, zda je e-mail stejný, figuruje i IP adresa odesílatele. Cloudoví odesílatelé se někdy snažili další pokusy o odeslání dělat z toho samého serveru, aby se přes greylist dostali brzy. GMail je ale u spousty serverů na whitelistu, tak je možné, že se o tohle nesnaží. Podobně by se to mohlo s greylistem stát i kdyby odesílatel zkoušel jednou komunikaci přes IPv4 a jednou přes IPv6. Případně kdyby měl příjemce více serverů se stejnou prioritou, ale to by pak byl problém u všech odesílatelů.
Se zabezpečením odesílatele to nemá nic společného. Pro odesílatele je naopak nejbezpečnější e-mailu se co nejdřív zbavit, tj. odeslat ho.
-
https://en.wikipedia.org/wiki/Tarpit_(networking)
-
....
Já žádný greylist nemám, s tím se naopak nesetkávám u nikoho jiného, než u toho gmailu. Připadá mi až paranoidně zabezpečený.
To sou zas rady ....
Abys zjistil pricinu, musis se podivat do logu toho serveru na ktery to pomalu chodi. Nikde jinde nic nezjistis.
A pak se nauc, ze mail funguje presne stejne jako papirova posta. Vhodis neco do cerny diry, a mozna to nekdy nekde casem na opacnym konci vypadne ... a mozna taky ne.
Jinak soudruzi z guuglu uplatnujou ruzny reputacni kriteria a uplne v klidu muzou z nejakyho duvodu ty maily drzet u sebe oni. Na svy strane (toho serveru) muzes maximalne overit, ze ti fungujou takovy ty veci jako spf/dmarc/... ze mas v dns co tam ma byt (treba ti to posilaj nekam jinam) .... Pokud mas totiz v dns treba 2x mx, normalni mta to zkusi na ten primarni a kdyz se nepodari, instatne jde na sekundar, ale guugl ...
-
Není to na straně odesílatele (GMailu), je to na straně příjemce. Pravděpodobně greylist – poprvé e-mail odmítne a očekává, že legitimní odesílatel e-mail zkusí odeslat znovu, zatímco spammer se na to vykašle.
Greylisting je málokdy nastaven na víc, než nízké desítky minut. Ono ani nemá smysl nastavovat ho na víc; k odfiltrování velké části spammerů stačí těch minut klidně jen pět nebo deset. Z praxe. Navíc z greylistu odesílatel většinou přechází do whitelistu a minimálně v dohledné době pak už greylistován není.
-
Greylisting je málokdy nastaven na víc, než nízké desítky minut. Ono ani nemá smysl nastavovat ho na víc; k odfiltrování velké části spammerů stačí těch minut klidně jen pět nebo deset. Z praxe. Navíc z greylistu odesílatel většinou přechází do whitelistu a minimálně v dohledné době pak už greylistován není.
Ono ani tak nejde o to, na jaký čas je nastaven greylisting – původně tam nebýval žádný čas, prostě stačil druhý pokus. Je možné, že někde už je greylist aplikován tak, že druhý pokus nesmí přijít rychle.
Podstatné je to, že odesílatel se zpravidla do opakovaného pokusu o odeslání nehrne hned, chvíli počká – aby cílový systém měl šanci se spravit a e-mail přijmout. A rozestupy těch pokusů se obvykle postupně prodlužují. Takže podruhé to odesílatel zkusí třeba za 5 minut po prvním pokusu o odeslání, potřetí za 15 minut a počtvrté za hodinu.
No a pokud těch odesílajících serverů je víc, tak se třeba s pěti odesílajícími servery rázem dostanete na několik hodin.
No a vhledem k tomu, že servery Googlu obvykle bývají whitelistovány, možná si Google zbytečně nekomplikuje život tím, aby byl hodný na uživatele greylistu.
Každopádně pro vyřešení tohoto problému je potřeba zajistit si přístup k logům přijímajícího MTA a porovnat časy, kdy byl server odeslán uživatelem GMailu (to bude čas v hlavičkách e-mailu), kdy došlo k prvnímu pokusu o doručení e-mailu MX serveru pro danou doménu, kdy byly další pokusy o doručení a kolik jich bylo, kdy MX server e-mail skutečně přijal, a kdy pak byl doručen do schránky uživatele. Protože ten problém bude někde na straně příjemce – nejspíš greylisting, ale také to může být třeba nějaká zasekávající se antispamová či antivirová kontrola nebo něco takového.
-
Z mé strany ještě vysvětlivka termitologická:
MTA = Mail Transfer Agent = serviska, která převezme e-mail a něco s ním udělá, v zásadě ho předá někam dál, obvykle protokolem SMTP
Příklady: sendmail, postfix, exim, exchange server, kerio, ...
Nevím, jestli sem řadit i servisky, které umožňují "vybírat příchozí mailbox" protokoly POP3 nebo IMAP (cyrus, dovecot apod.)
Popravdě ten ekosystém na mailserveru se skládá z řady různých služeb a službiček, které si toho černého petra postupně všelijak předávají.
MUA = Mail User Agent = aplikace, která se baví s uživatelem: Outlook (dříve Exchange klient), Thunderbird, Apple Mail, kdysi Eudora, Pegasus, na unixu třeba mutt, (al)pine...
Asi by sem patřily i všelijaké webové front-endy pro práci uživatele s mailboxy a zprávami.
Klasický řetězec přenosu e-mailové zprávy může vypadat asi takto:
MUA -> odesílající SMTP MTA -> přijímající SMTP MTA -> local delivery -> IMAPd -> MUA
Těch SMTP MTA může být po cestě i víc, nebo třeba jenom jeden (dva uživatelé téže organizace) a jsou i další možnosti.
Správně píše Kit: zkuste mrknout do nastřádaných "hlaviček" e-mailu, co prolezl. (Terminologicky možná správněji se jedná o "obálku".) Prostě to znamená zobrazit surový zdrojový text zprávy včetně všech úvodních řádek, které si e-mailový klient (MUA) v základní konfigurace milosrdně nechá pro sebe.
Hlavičky sice nejsou až tak podrobné jako log přijímajícího mailserveru (MTA a jeho pomocníčků), ale zato jsou k dispozici, protože jsou součástí zprávy - jenom potřebujete v MUA vhodným způsobem vyvolat dávivý reflex, aby Vám low-level obsah zprávy předvedl v celé kráse. Nebo zprávu uložit nastojato do souboru na disku a otevřít textovým editorem (notepad apod.)
-
Zkus prozkoumat hlavičky v přijatém e-mailu. Tam najdeš časová razítka a servery, přes které to šlo.
Tak byl odeslán asi v 9 dopoledne (podle hlavičky), ale čas v přišlé poště je 18 hodin toho dne(je to v hlavičce a souhlasí s časem přišlé pošty), ale mě se zobrazil až večer. No tak na nového Asánže jsem zrovna narazil nemusel, dopr. to se mi nehodí:D.
Ale taky to mohl napsat/rozepsat/uložit a poslat, až bude mít přístup k internetu. Možná je tam ještě vodítko od e-mailového klienta, ale nevšiml jsem si. Takhle se ale běžně e-mail používá, na rozdíl od toho messagingu pro jiné komunikační účely. Takže asi žádná velká záhada, ale pokud mi ten podvečerní e-mail přišel až okolo desáté, měl by být u příchozího e-mailu čas přijetí 22 hodin.
-
Greylisting je málokdy nastaven na víc, než nízké desítky minut. Ono ani nemá smysl nastavovat ho na víc; k odfiltrování velké části spammerů stačí těch minut klidně jen pět nebo deset. Z praxe. Navíc z greylistu odesílatel většinou přechází do whitelistu a minimálně v dohledné době pak už greylistován není.
Ono ani tak nejde o to, na jaký čas je nastaven greylisting – původně tam nebýval žádný čas, prostě stačil druhý pokus. Je možné, že někde už je greylist aplikován tak, že druhý pokus nesmí přijít rychle.
Podstatné je to, že odesílatel se zpravidla do opakovaného pokusu o odeslání nehrne hned, chvíli počká – aby cílový systém měl šanci se spravit a e-mail přijmout. A rozestupy těch pokusů se obvykle postupně prodlužují. Takže podruhé to odesílatel zkusí třeba za 5 minut po prvním pokusu o odeslání, potřetí za 15 minut a počtvrté za hodinu.
No a pokud těch odesílajících serverů je víc, tak se třeba s pěti odesílajícími servery rázem dostanete na několik hodin.
No a vhledem k tomu, že servery Googlu obvykle bývají whitelistovány, možná si Google zbytečně nekomplikuje život tím, aby byl hodný na uživatele greylistu.
Každopádně pro vyřešení tohoto problému je potřeba zajistit si přístup k logům přijímajícího MTA a porovnat časy, kdy byl server odeslán uživatelem GMailu (to bude čas v hlavičkách e-mailu), kdy došlo k prvnímu pokusu o doručení e-mailu MX serveru pro danou doménu, kdy byly další pokusy o doručení a kolik jich bylo, kdy MX server e-mail skutečně přijal, a kdy pak byl doručen do schránky uživatele. Protože ten problém bude někde na straně příjemce – nejspíš greylisting, ale také to může být třeba nějaká zasekávající se antispamová či antivirová kontrola nebo něco takového.
Takže teoreticky je problém na mém příchozím serveru a ne na jeho odchozím. Díky za popostrčení, jak bude chvíle tak se podívám kam budu moct. Může to být třeba i hardwerem někde po cestě, co já vím. Ale setkal jsem se s tím až poslední dobou.
Nebo nedoručitelné/odmítnuté zprávy, ale to je trochu jiný problém.
-
Díky za konstruktivní diskuzi, určitě je to jasnější.
-
...
Takže teoreticky je problém na mém příchozím serveru a ne na jeho odchozím. Díky za popostrčení, jak bude chvíle tak se podívám kam budu moct. Může to být třeba i hardwerem někde po cestě, co já vím. Ale setkal jsem se s tím až poslední dobou.
Nebo nedoručitelné/odmítnuté zprávy, ale to je trochu jiný problém.
To se pozná podle těch časových značek, kde to viselo.
Ale greylisting v dnes moc nedává smysl - od potíží s velkými hráči, kteří druhý pokus nutně neudělají za stejné IP adresy, po časové limity (když druhá strana udělá druhý pokus moc brzo - měli jsme 30s a někdo měl v Kerio serveru 20s).
Dnes se hraje na SPF a DMARC - a to ty hacknuté DSL modemy v Brazílii nebudou mít dobře.
Docela účinné je nepřijímat maily z neexistujících domén (to spolu se striktním SPF spam omezí na hacknuté účty legitimních serverů).
Kdo nemá podepsané maily DKIM a nastavené SPF, dostává od Googlu trestné body (jde do spamu, pokud se vůbec doručí), takže tyto požadavky můžete klidně aplikovat taky.
No a zbytek jsou nevyžádaná obchodní sdělení, ale tam už jde o obsah, ne původce, ten je formálně v pořádku.
-
Ale taky to mohl napsat/rozepsat/uložit a poslat, až bude mít přístup k internetu.
To by mělo být vidět v hlavičkách e-mailu – první Received by měla být právě o tom, že první server přijal zprávu od klienta.
A tipoval bych, že i datum v hlavičce e-mailu (to, které se zobrazuje jako datum odeslání) bude datum prvního serveru. Protože klient může mít čas jakkoli špatně, u serveru je přeci jen daleko větší jistota, že bude mít čas správně. Hlavně dříve to tak bylo, dnes už má většina klientů také čas synchronizovaný.
Pozor také na různá časová pásma – musíte si všechny časy v hlavičkách převést na stejné časové pásmo. Každý server si tam dá časové pásmo, jaké se mu hodí – a i když odesílatel a příjemce jsou v ČR, časová pásma v hlavičkách mohou být různá.
Tak byl odeslán asi v 9 dopoledne (podle hlavičky), ale čas v přišlé poště je 18 hodin toho dne(je to v hlavičce a souhlasí s časem přišlé pošty), ale mě se zobrazil až večer. No tak na nového Asánže jsem zrovna narazil nemusel, dopr. to se mi nehodí:D.
Jestli tam je několikahodinová prodleva mezi odesláním e-mailu a jeho doručením vašemu serveru, a pak ještě několikahodinová prodleva mezi doručením vašemu serveru a doručením do schránky, máte fakt smůlu…
Jestli je dlouhá prodleva mezi tím, když e-mail přijme váš server, a okamžikem, kdy je pro vás e-mail dostupný v poštovním klientovi, zaměřil bych se na antispam a antivir na vašem serveru. Jestli tam není nějaká operace, která by neprocházela, timeoutovala, zkoušela se třeba opakovaně po nějaké době a e-mail by se dál propustil až po několika neúspěšných pokusech. Ale je divné, proč by se to dělo jen u některých e-mailů. Napadají mne jen hodně divoké scénáře.
Ideální by bylo, kdybyste sem mohl hlavičky nějakého takového zpožděného e-mailu vložit. S co nejmenší cenzurou, někdy může být stopa v něčem zdánlivě nepodstatném.
-
Ale greylisting v dnes moc nedává smysl - od potíží s velkými hráči, kteří druhý pokus nutně neudělají za stejné IP adresy, po časové limity (když druhá strana udělá druhý pokus moc brzo - měli jsme 30s a někdo měl v Kerio serveru 20s).
Spousta opatření tzv. proti spamu nedává smysl. A zrovna greylisting bych řadil k těm opatřením s menším smyslem, protože na straně spammera bylo triviální ho obejít.
Dnes se hraje na SPF a DMARC - a to ty hacknuté DSL modemy v Brazílii nebudou mít dobře.
Docela účinné je nepřijímat maily z neexistujících domén (to spolu se striktním SPF spam omezí na hacknuté účty legitimních serverů).
Kdo nemá podepsané maily DKIM a nastavené SPF, dostává od Googlu trestné body (jde do spamu, pokud se vůbec doručí), takže tyto požadavky můžete klidně aplikovat taky.
Doufám, že se dočkám toho, že půjde striktně aplikovat DMARC politiky a nebude člověk pořád narážet na to, že je to někde nastavené špatně.
Proti spamu raději DKIM, ten zajišťuje identitu odesílatele. SPF zajišťuje identitu „pošťáka“, posledního serveru zodpovědného za doručení e-mailu, který je uveden v obálkové adrese. Je to dobré k tomu, aby se e-maily o nedoručitelnosti neposílaly na falešné adresy. Ale používat SPF pro validaci From z e-mailu je historický omyl.