Fórum Root.cz

Hlavní témata => Server => Téma založeno: neregistrovany 25. 10. 2021, 00:53:12

Název: Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 25. 10. 2021, 00:53:12
Dostal jsem se k neudrzovanemu mailserveru v male firme, odkud posta casto pada prijemcum do SPAMu. Nastavil jsem IP adrese reverzni DNS zaznam, zridil DKIM  a SPF. Pomoci teto sluzby https://mxtoolbox.com/SuperTool.aspx?action=blacklist jsem zjistil ze IP adresa serveru je na dvou blacklistech (BARRACUDA a SORBS SPAM) z celkoveho poctu 83. Relaying je znemoznen nastavenim, statistika SMTP ukazuje vzdy jen desitky ci nizsi stovky odeslanych mailu za nekolik dni (takze SPAM ven dlouhodobe netece).

Po upravach jsem si ze serveru poslal mail na svuj gmail account a spadl do SPAMu. V detailu mailu v gmailu je:

Received-SPF: pass (google.com: domain of info@xxxxxx.cz designates www.xxx.yyy.zzz as permitted sender) client-ip=www.xxx.yyy.zzz;
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@xxxxxx.cz header.s=dkim header.b=K0neFdo7;
       spf=pass (google.com: domain of info@xxxxx.cz designates www.xxx.yyy.zzz as permitted sender)

Otazka zni: Co jeste muzu zlepsit, aby maily ze serveru nepadaly prijemcum do SPAMu? Vlastniho serveru se nechteji vzdat protoze jsou na nej historicky navazane nejake scripty, a s pronajatym serverem by to bylo jen obtizne provozovatelne.
Název: Re:odchozi posta pada do SPAMu
Přispěvatel: McFly 25. 10. 2021, 07:36:13
Určitě bych doporučil odstranit server z blacklistů, tj. zjistit, jak se tam server dostal a tomuto zamezit. ;)
Název: Re:odchozi posta pada do SPAMu
Přispěvatel: Filip Jirsák 25. 10. 2021, 08:59:02
Především je potřeba odstranit server z blacklistů.

To, že přes server odesílají e-maily nějaké skripty, přece není důvod odesílat přes něj veškerou poštu. Můžete poštovní server zmigrovat jinam a současný server použít jenom jako relay pro ty skripty, aby předával e-maily k odeslání skutečnému serveru.
Název: Re:odchozi posta pada do SPAMu
Přispěvatel: neregistrovany 25. 10. 2021, 09:13:01
Především je potřeba odstranit server z blacklistů.

To se samozrejme pokusim

Citace
To, že přes server odesílají e-maily nějaké skripty, přece není důvod odesílat přes něj veškerou poštu. Můžete poštovní server zmigrovat jinam a současný server použít jenom jako relay pro ty skripty, aby předával e-maily k odeslání skutečnému serveru.

Nevim co si predstavujete pod pojmem "skutecny server" ale obecne nechteji platit za pronajaty server a zaroven za udrzovani vlastniho. Tu debatu jsem s nimi pomerne dlouho vedl, byla z jejich strany pomerne racionalni ale nechce se mi ji tu celou reprodukovat.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 25. 10. 2021, 10:15:03
Jeste jsem se docetl:

"In addition to checking the domain name part of the sender's e-mail address, some e-mail servers also perform SPF checks on the SMTP session HELO/EHLO greeting host name. Therefore always make sure that your e-mail server is configured to use a correct host name (like "mail.example.com") in the HELO/EHLO greeting, and that an A- and/or AAAA-record exists for this host name in DNS."

Jako udelat to samozrejme muzu, ale je to skutecne tak? Vsude jinde jsme cetl jen o potrebe revernich zaznamu na IP adresu SMTP serveru.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 25. 10. 2021, 10:54:36
Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne. Je potřeba, aby minimálně existoval A záznam k HELO/EHLO. Nejlepší situace je mít v HELO/EHLO existující A záznam (+ odpovídající PTR záznam pro IP serveru). Jinak SPF záznam na HELO/EHLO máme nastaveno taky - SpamAssassin tě za to malinko odmění. :-)

Zrovna nyní řeším s jednou větší firmou, že jeden jejich server je "neoptimálně" nastavený - špatný PTR (neexistující A), taky chybné HELO/EHLO a třešnička na dortu je striktní SPF záznam, který ale neodpovídá tomu serveru, takže sami říkají, ať jejich poštu rovnou zahodíme... tak zahazujeme.
Název: Re:odchozi posta pada do SPAMu
Přispěvatel: Filip Jirsák 25. 10. 2021, 11:18:04
Nevim co si predstavujete pod pojmem "skutecny server" ale obecne nechteji platit za pronajaty server a zaroven za udrzovani vlastniho. Tu debatu jsem s nimi pomerne dlouho vedl, byla z jejich strany pomerne racionalni ale nechce se mi ji tu celou reprodukovat.
Myslel jsem přenést poštovní server se schránkami k nějakému poskytovateli e-mailových služeb a ve firmě si nechat pod původním názvem malý server, který bude dělat jenom SMTP relay k tomu poskytovateli e-mailových služeb. (Předpokládám, že důvod je ten, že jsou někde skripty, které odesílají e-maily přes ten server a nechcete v těch skriptech měnit název serveru, případně do nich dodělávat autentizaci.) Tj. ten současný server by nemusel zůstávat „v plné palbě“, mohl by se z něj udělat malý virtuál. Může to cenově nakonec vyjít lépe, než udržovat ten současný server. Ale to záleží na konkrétních podmínkách, někdy je prostě dané, že firma „potřebuje“ vlastní server, racionální argumenty tam nejsou, ale stejně s tím nic nenaděláte.

Jako udelat to samozrejme muzu, ale je to skutecne tak? Vsude jinde jsme cetl jen o potrebe revernich zaznamu na IP adresu SMTP serveru.
To je právě ten problém, že dávno neexistují pravidla, kterými by se poštovní servery řídily. Dávno se to bere jako válka proti spamu, kde je povoleno vše. Takže to, že někdo kontroluje reverzní záznamy, neznamená, že někdo jiný nekontroluje HELO a nemá nějaké pravidlo, že musí být shodné bůhví s čím. Bohužel není neobvyklé, že správci poštovního serveru v zuřivém boji se spamem blokují kde co, dají si velké poskytovatele na allowlist a pak tvrdí, že jejich pravidla jsou v pořádku, protože jim přece e-maily od velkých poskytovatelů chodí.

Třeba jeden známý blacklist dával na blacklist celé rozsahy jenom proto, že reverzní název obsahoval tu rozlišovací část IP adresy – protože ty reverzní záznamy prostě byly automaticky vygenerované pro celý rozsah IP adres. Odůvodnili to tak, že je to známka automaticky přidělovaných reverzních záznamů (což měli pravdu), a že to je známka spotřebitelských přípojek a na nich prý nemá poštovní server co dělat. Tečka, bavit se o tom s nikým nebudou a vám nezbývá, než přesvědčit ISP, aby vám ten jeden reverzní záznam změnil a odstranil z něj to číslo.

A takováhle de… ne moc chytrá pravidla si navymýšlí kde kdo, každý svá. A po vás se chce, abyste na všechna ta pravidla přišel a server podle nich nakonfiguroval…
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 25. 10. 2021, 11:51:51
Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne.

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: ondrej _ 25. 10. 2021, 12:10:35
Checkni si server pomocou tejto sluzby https://www.mail-tester.com/

To, ze ti to spadlo v Gmaily do spamu, sa necudujem. Gmail je v tomo svojsky. Vobec to nemusi byt o tom, ze server je zle nastaveny ale cisto len vdaka obsahu mailu.  Aj na zaklade obsahu sa vypocitava skore a ak presiahne urcitu hodnotu, tak je oznaceny ako Spam. Tie filtre a ich prisnost moze a ma kazdy server inac nastavene. Do toho este uciace sa algoritmy.

To aby tvoj mail nespadol do spamu na nejakom mailovom serveri sa nevyhnes.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 25. 10. 2021, 12:13:58
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Jasně. Ať už dojde k striktnímu odmítnutí (5xx) nebo dočasnému (4xx), kdy to odesílající server zkouší znova a znova, až to pak vzdá, v obou případech je protistrana informována, že e-mail nebylo možné doručit a proč. Většina správců ale zná obecná pravidla nebo alespoň nástroje jako mxtoolbox.com nebo mail-tester.com, které jim pomohou s nastavením.

Provozovat vlastní poštovní server vyžaduje znalosti a taky práci okolo, jako třeba kontrola logů, blacklistů, ap. Když to ale člověka navíc baví, tak je to v pohodě.

Párkrát se nám stalo, že uživatelé měli pitomé heslo, které jim někdo uhodnul a druhý den jsme byli na všemožných blacklistech a ostatní servery se s námi nechtěly bavit. Takže jako správce poštovního serveru jsem si pak užil trochu perných chvil, ale do pár hodin vše v cajku, takříkajíc. ;)
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 25. 10. 2021, 12:14:45
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?
Nijak. Resp. že je někde problém se dozvíte, až se nebude dařit doručit e-mail na cílový server. Proč se to nedaří pak můžete zkusit zjistit u jeho správce, ale adresa postmaster nejspíš také nebude fungovat a ani jinak se s vámi nebude nikdo bavit. Že by vám někdo napsal, proč váš e-mail neprochází, je velmi ojedinělé. A že by dokonce změnil nesmyslné nastavení, to je nereálné.

Vítejte do světa správy poštovních serverů v roce 2021.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: by_cx 25. 10. 2021, 12:18:10
Citace
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Zrovna bez tohohle podle mě nedorazí 80 % emailů. Některé servery takový email zahodí, jiné ho odmítnou s chybou a jiné ho přijmou, ale dají mu takové spam skóre, že skončí ve spamu.

Obecně je potřeba držet se následujícího:

* Čistá IP co není na blacklistu,
* ani IP z /24 rozsahu nebo /64 prefixu nesmí být na blacklistu,
* reverzní záznam na této IP,
* doména z reverzního záznamu musí být v EHLO hlavičce,
* správně nastavené DKIM,
* správně nastavené SPF,
* odesílání pošty schované za ověřováním,
* neposílat emaily moc rychle,
* kontrolovat délku fronty,
* kontrolovat do narazí na limity.

I pak ale člověk může skončit na interním blacklistu velkých provozovatelů pošty, někde to je i výchozí chování. Tam pak je potřeba přistupovat individuálně, mají k tomu dokumentaci. Většinou k tomu vrátí info když odmítnou emaily.

Provozujeme SMTP server postavený na Haraka pro zákazníky a není to tak strašné, když se to dobře nastaví. Tento rok jsme řešili jen problém s blacklistem UCEPROTECTL3 a s Microsoftem, kterému ale stačilo potvrdit, že existujeme.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 25. 10. 2021, 12:23:41
Tento rok jsme řešili jen problém s blacklistem UCEPROTECTL3 a s Microsoftem, kterému ale stačilo potvrdit, že existujeme.

UCEPROTECT Level 3 nás taky potrápil. Jinak bych seznam "must have" věcí doplnil ještě třeba o DMARC politiku.

https://napoveda.seznam.cz/cz/dmarc-zaznam/
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 25. 10. 2021, 17:00:49
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?
Většina správců ale zná obecná pravidla

To me prave zajima, odkud je zna?
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 25. 10. 2021, 17:12:55
Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta. Vzpominam si, jakou jsem mel pred asi takovymi 20 lety radost, kdyz jsem si ve Windows 98 rozjel vpop3 a pres modem vytacenym spojenim a pomoci no-ip.com aktualizoval mx zaznam a poslal si z post.cz domu testovaci e-mail... Ktery prisel. :) Zacatecnikum mohu doporucit i video od Ondry Caletky na youtube, jak si postavil osobni postovni server.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 25. 10. 2021, 18:28:50
Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta. Vzpominam si, jakou jsem mel pred asi takovymi 20 lety radost, kdyz jsem si ve Windows 98 rozjel vpop3 a pres modem vytacenym spojenim a pomoci no-ip.com aktualizoval mx zaznam a poslal si z post.cz domu testovaci e-mail... Ktery prisel. :)

Jenze pred dvaceti lety stacilo nacist prave jen ta RFC, ktera jste ted zminil az na poslednim miste...
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 25. 10. 2021, 22:14:07
Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta.
Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: _mbily 25. 10. 2021, 22:57:53
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Číst logy. V nich lze vyčenichat okamžik (smtp příkaz), který se protistraně nelíbil. Sledovat velikost fronty (dohledový systém) a jaké maily (od koho, kam) tam zůstávají viset. Vyhodnocovat logy některým z mnoha udělátorů, ty každodenní přehledy alespoň rychle prolistovat. Oko se časem vycvičí reagovat na anomálie. No a dobrou zpětnou vazbu poskytují i telefonáty a tickety od uživatelů :-).

Dále je dobré sledovat (opět dohledový systém) třeba platnost certifikátů serverů a výskyt vlastních adres na majoritních blo/acklistech. Mít na příjmu i vysílání nasazeny ratelimity, třeba i jen v podobě prostého postfwd. A nad nimi opět dohled.

V poslední době se bavím sledováním používaných verzí TLS protokolu. Je až neuvěřitelné, jak i někteří významní provozovatelé zamrzli v čase. Zdravím adminy smtp-out serverů gmmr?.c?n?r?m.cz.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: messagebus 26. 10. 2021, 00:33:24
Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?

Je to ve stejnem RFC, kde je napsano, ze se clovek musi bavit s kazdym bezdomovcem, ktery ho oslovi, a vyhovet jeho prani :)
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 26. 10. 2021, 08:08:43
Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta.
Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?

Nikdo netvrdí, že je to napsáno v RFC. ;-) Mohu otázku? Stavěl jste někdy poštovní server a máte PRAKTICKÉ zkušenosti nebo se pohybujete jen v teoretické rovině diskuse?  ;D ;D ;D
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: FKoudelka 26. 10. 2021, 09:04:53
Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?
Nijak. Resp. že je někde problém se dozvíte, až se nebude dařit doručit e-mail na cílový server. Proč se to nedaří pak můžete zkusit zjistit u jeho správce, ale adresa postmaster nejspíš také nebude fungovat a ani jinak se s vámi nebude nikdo bavit. Že by vám někdo napsal, proč váš e-mail neprochází, je velmi ojedinělé. A že by dokonce změnil nesmyslné nastavení, to je nereálné.

Vítejte do světa správy poštovních serverů v roce 2021.

 Ve světě firemního mailu se dozvíte sakra rychle, že nějaký mail neprošel, zpravidla telefonem.
To, že je chyba  na straně odesilatele se prokazuje těžko, ale dělám to tak jednou do měsíce a světe div se, on si ten obchodník coby odesilatel tu změnu u interního IT často  i vynutí :-) Stačí mu napsat tohle a tohle máte blbě a přepošlete to info 1:1 na správce mail serveru. Když uvedete i řešení( typu máš blbě SPF) pak se IT až na vyjímky necuká.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 09:46:40
Nikdo netvrdí, že je to napsáno v RFC. ;-)
Dotaz (velmi správný) byl, kde se může začínající správce tahle pravidla dozvědět. Vy jste argumentoval RFC. Pak jste psal o nástrojích, ale ty mne mohou informovat o některých problémech hotové konfigurace, ale není to něco, co bych si mohl předem pročíst, pochopit souvislosti a pak podle toho server správně nakonfigurovat.

Mohu otázku? Stavěl jste někdy poštovní server a máte PRAKTICKÉ zkušenosti nebo se pohybujete jen v teoretické rovině diskuse?  ;D ;D ;D
Pár poštovních serverů jsem postavil a provozoval, bohužel ještě v době, kdy e-mail fungoval normálně. Takže si uvědomuju, jak moc je ten současný stav rozbitý. A nemám náladu řešit něco, kde probíhá závod o to, kdo to rozbije ještě víc. Takže před pár lety jsem zrušil poslední poštovní server, který jsem spravoval, můj osobní. Navíc spravovat poštovní server neznamená jenom na začátku to nastavit správně a pak už to jenom udržovat. Musíte o to pečovat pořád – to, že nějaké e-maily nejdou odeslat, se stane nezávisle na správci, není to chyba konfigurace. Prostě se nějaký „správce“, který si přečetl step-by-step návod, takže všemu rozumí, rozhodl vymyslet další způsob, jak nepřijímat e-maily.

Pak je tu ještě jedna velmi podstatná věc, kterou nějak zapomněli zmínit všichni ti, kteří tvrdí, jak je správa poštovního serveru jednoduchá. Totiž to, že chybně nastavený poštovní server škodí především všem okolo. Když nějaký poštovní server „spravuje“ někdo, kdo si myslí, jak je to jednoduché, je mi vážně úplně jedno, že ten server nebude doručovat e-maily jeho uživatelům a nebude schopen odeslat e-maily od jeho uživatelů. Co mi ale doopravdy vadí je to, že takový server rozesílá spam a viry všude možně a otravuje tím mne i ostatní. A pokud chcete argumentovat tím, že se takový server dostane na blocklist – ano, dostane se tam, za pár dnů si uživatelé začnou stěžovat, že jim neodchází e-maily, tak to správce zjistí a za týden či dva rozesílání spamu zastaví. Jenomže mezi tím ten server stihne do světa vychrlit miliony spamů.

Když špatně nakonfigurujete DNS nebo HTTPS server, poškodíte tím akorát svou organizaci a své zákazníky. Špatně nakonfigurovaný poštovní server ale škodí celému internetu. Takže rady typu „nějak to spytlíkuj podle návodu, rozumět tomu nemusíš, no a pokud nastane nějaký problém, tak si všimneš a začneš to řešit“ považuju ze velmi nezodpovědné. Ale koneckonců mne už to tolik trápit nemusí, já nejspíš najdu akorát o něco víc e-mailů ve složce se spamem. Ale vy to budete řešit na svém e-mailovém serveru.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 09:59:28
Ve světě firemního mailu se dozvíte sakra rychle, že nějaký mail neprošel, zpravidla telefonem.
Za prvé, bavíme se tu o neudržovaném mail serveru v malé firmě, který je na dvou blacklistech. To nevypadá jako něco, kde se někdo sakra rychle dozvěděl o chybě a řeší to.

Za druhé, mýlíte se i v tom, že se to dozvíte sakra rychle vy. Dozvíte se to v případě, kdy se odesílateli vrátí zpráva o nedoručení. Ta se mu může vrátit hned, ale také až za několik hodin, pokud si třeba cílový server užívá greylisting a nakonec e-mail odmítne z jiného důvodu. A nebo se to možná dozvíte až za několik dní, až se odesílatel e-mailu začne shánět po tom, proč na jeho e-mail nikdo nereaguje. V některých případech se to nedozvíte vůbec, protože pokud někdo posílá e-mail někomu novému, a dotyčný nebude reagovat, zkusí to možná za pár dní znovu – ale když se ani pak nedočká odpovědi, prostě si pomyslí něco o hulvátech, kteří ani neumí odpovědět, ale ve spoustě případů to nebude dál řešit. A jak to, že se o nedoručení odesílatel nedozví z e-mailu? No protože nějaký server po cestě e-mail prostě přijme k doručení, ale pak ho stopí. Nebo ho doručí do spamu, kde si ho nikdo nevšimne.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: RDa 26. 10. 2021, 10:12:43
Pak je tu ještě jedna velmi podstatná věc, kterou nějak zapomněli zmínit všichni ti, kteří tvrdí, jak je správa poštovního serveru jednoduchá. Totiž to, že chybně nastavený poštovní server škodí především všem okolo. Když nějaký poštovní server „spravuje“ někdo, kdo si myslí, jak je to jednoduché, je mi vážně úplně jedno, že ten server nebude doručovat e-maily jeho uživatelům a nebude schopen odeslat e-maily od jeho uživatelů. Co mi ale doopravdy vadí je to, že takový server rozesílá spam a viry všude možně a otravuje tím mne i ostatní.

Muzete uvest jak spatne nastaveny postovni server rozesila spam? Znam jenom OPEN RELAY a to je u vsech navodu v dnesni dobe snad vypnuto - ze si ten mail konfigurujete proste na prijem nejake domeny, odesilani jen autorizovanych uzivatelu a nic vic.

Název: Re:Odchozí pošta padá do spamu
Přispěvatel: FKoudelka 26. 10. 2021, 10:50:43
Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne.

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?
Slusne vychovany server jim posle chybovou hlasku. Kdo se v ni vyzna, je druha vec
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 10:58:03
Muzete uvest jak spatne nastaveny postovni server rozesila spam? Znam jenom OPEN RELAY a to je u vsech navodu v dnesni dobe snad vypnuto - ze si ten mail konfigurujete proste na prijem nejake domeny, odesilani jen autorizovanych uzivatelu a nic vic.
No, to je přesně ten problém, že když si někdo akorát přečte jeden návod, tak potom neví, jakými všemi možnými způsoby může poštovní server škodit. Takže tady je částečný výčet:


Určitě jsem nevypsal všechny možnosti, spammeři jsou velmi vynalézaví.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 11:00:32
Slusne vychovany server jim posle chybovou hlasku. Kdo se v ni vyzna, je druha vec
No právě, slušně vychovaný server. Jenže spousta správců potírá spam hlava nehlava, vymýšlí další a další nesmyslná pravidla, a je jim úplně jedno, že blokují i regulérní poštu. Takoví jednak ani nebudou umět procpat do chybové hlášky smysluplné informace; jednak bych se vůbec nedivil, kdyby k tomu přistupovali způsobem „přece nebudu spammerům napovídat, co mají opravit“.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: RDa 26. 10. 2021, 11:24:04
  • open relay – server přeposílá libovolné e-maily, které mu někdo předá
  • open relay pro vnitřní síť – server nijak neověřuje uživatele, považuje za důvěryhodné všechny počítače ve vnitřní síti. A některý z počítačů je napaden a začne rozesílat spam. Třeba to může být jen chybně udělaný formulář ne webové stránce…
  • rozesílání spamu autentizovaným uživatelem – server sice pro odeslání e-mailu vyžaduje autentizaci, ale nějaký klient má napadený počítač, který začne rozesílat spam pod jeho účtem
  • zprávy o nedoručení – pokud server přijme e-mail k doručení a následně zjistí, že e-mail doručit nemůže, měl dříve povinnost o tom poslat odesílateli e-mail. Z toho důvodu je to stále výchozí nastavení mnoha poštovních serverů. A když jsem to řešil naposledy, neuměly si poštovní servery u e-mailů ve frontě zapamatovat, zda ověřily odesílatele podle DKIM nebo SPF a posílat nedoručenky jenom ověřeným odesílatelům. Pokud nevíte, jak spameři nedoručenek zneužívají – pošlou e-mail s falešnou adresou odesílatele (adresou, kam chtějí spam doručit). Když server odešle nedoručenku domnělému odesílateli, cituje v ní začátek nedoručitelného e-mailu. A v téhle citované části musí být to, co chce spammer doručit.
  • nevzdělaný uživatel, který ručně odesílá ze svého účtu spam, protože je přesvědčený, že všichni ostatní posílají spam, jenom on posílá zajímavé nabídky

Určitě jsem nevypsal všechny možnosti, spammeři jsou velmi vynalézaví.

open relay - resi navody na konfiguraci (absolutni zaklad)
open relay pro vnitřní síť - resi navody na konfiguraci (zaklad je mit ucty, na site se nehraje - je to obecne server "nekde", treba ve VPS)
rozesílání spamu autentizovaným uživatelem - za napadeny klientsky PC muze jiste konfigurace postovniho serveru, nebudte smesny.
zprávy o nedoručení - nepozoroval jsem tento druh spamu, nejspis proto, ze dorucovani probiha v ramci 1 serveru, zadne pozdejsi nedoruceni nenastava u moderni posty (drive meli servery vice oddelenych casti - neco se staralo o prijem, neco o filtraci a trideni a neco o dorucovani do schranek.. pokud nestavite vykonny a redundantni mail cluster, tak to neni vas pripad domaciho uzivatele)
nevzdělaný uživatel - za tohle muze taky konfigurace postovniho serveru??

Suma sumarum - nemate zadny relevantni priklad, jak lze dnes primocare nakonfigurovat rozesilani spamu.
Za to vase zavadejici posty s FUD by nejeden ctenar jako ciry spam klasifikoval.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 26. 10. 2021, 12:06:35
* doména z reverzního záznamu musí být v EHLO hlavičce

Musi v ni byt obsazena nebo tam musi JEN ona?
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 26. 10. 2021, 12:18:00
Nikdo netvrdí, že je to napsáno v RFC. ;-)
Dotaz (velmi správný) byl, kde se může začínající správce tahle pravidla dozvědět. Vy jste argumentoval RFC. Pak jste psal o nástrojích, ale ty mne mohou informovat o některých problémech hotové konfigurace, ale není to něco, co bych si mohl předem pročíst, pochopit souvislosti a pak podle toho server správně nakonfigurovat.

Mohu otázku? Stavěl jste někdy poštovní server a máte PRAKTICKÉ zkušenosti nebo se pohybujete jen v teoretické rovině diskuse?  ;D ;D ;D
Pár poštovních serverů jsem postavil a provozoval, bohužel ještě v době, kdy e-mail fungoval normálně. Takže si uvědomuju, jak moc je ten současný stav rozbitý. A nemám náladu řešit něco, kde probíhá závod o to, kdo to rozbije ještě víc. Takže před pár lety jsem zrušil poslední poštovní server, který jsem spravoval, můj osobní. Navíc spravovat poštovní server neznamená jenom na začátku to nastavit správně a pak už to jenom udržovat. Musíte o to pečovat pořád – to, že nějaké e-maily nejdou odeslat, se stane nezávisle na správci, není to chyba konfigurace. Prostě se nějaký „správce“, který si přečetl step-by-step návod, takže všemu rozumí, rozhodl vymyslet další způsob, jak nepřijímat e-maily.

Pak je tu ještě jedna velmi podstatná věc, kterou nějak zapomněli zmínit všichni ti, kteří tvrdí, jak je správa poštovního serveru jednoduchá. Totiž to, že chybně nastavený poštovní server škodí především všem okolo. Když nějaký poštovní server „spravuje“ někdo, kdo si myslí, jak je to jednoduché, je mi vážně úplně jedno, že ten server nebude doručovat e-maily jeho uživatelům a nebude schopen odeslat e-maily od jeho uživatelů. Co mi ale doopravdy vadí je to, že takový server rozesílá spam a viry všude možně a otravuje tím mne i ostatní. A pokud chcete argumentovat tím, že se takový server dostane na blocklist – ano, dostane se tam, za pár dnů si uživatelé začnou stěžovat, že jim neodchází e-maily, tak to správce zjistí a za týden či dva rozesílání spamu zastaví. Jenomže mezi tím ten server stihne do světa vychrlit miliony spamů.

Když špatně nakonfigurujete DNS nebo HTTPS server, poškodíte tím akorát svou organizaci a své zákazníky. Špatně nakonfigurovaný poštovní server ale škodí celému internetu. Takže rady typu „nějak to spytlíkuj podle návodu, rozumět tomu nemusíš, no a pokud nastane nějaký problém, tak si všimneš a začneš to řešit“ považuju ze velmi nezodpovědné. Ale koneckonců mne už to tolik trápit nemusí, já nejspíš najdu akorát o něco víc e-mailů ve složce se spamem. Ale vy to budete řešit na svém e-mailovém serveru.

Já s vámi v podstatě souhlasím. Sám se starám o několik poštovních serverů (soukromé, firemní) a snažím se je udržovat bezpečné a na úrovni. Tato problematika je tak komplexní, že někomu, kdo očekává, že to jednou nastaví a pak už na to nikdy nesáhne, mohu doporučit jedině se do něčeho takového nepouštět, pokud to s provozováním poštovního serveru nemyslí vážně. :-)
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 12:37:18
rozesílání spamu autentizovaným uživatelem - za napadeny klientsky PC muze jiste konfigurace postovniho serveru, nebudte smesny.
Za to, že poštovní server dovolí rozesílat klientovi neomezené množství e-mailů, může chybná konfigurace poštovního serveru. Správně nakonfigurovaný server má nastavené různé limity na počty zpráv a pokus o překročení limitu musí minimálně spustit okamžitý poplach, v lepším případě rovnou zablokovat podezřelý účet a zařízení.

zprávy o nedoručení - nepozoroval jsem tento druh spamu, nejspis proto, ze dorucovani probiha v ramci 1 serveru, zadne pozdejsi nedoruceni nenastava u moderni posty (drive meli servery vice oddelenych casti - neco se staralo o prijem, neco o filtraci a trideni a neco o dorucovani do schranek.. pokud nestavite vykonny a redundantni mail cluster, tak to neni vas pripad domaciho uzivatele)
Pokud problémy v konfiguraci poštovního serveru řešíte až tehdy, když je pozorujete, znamená to, že mezi tím server stihl odeslat tisíce spamů.

nevzdělaný uživatel - za tohle muze taky konfigurace postovniho serveru??
Je to součást provozování bezpečného serveru. Nikoho nezajímá, proč váš server spamuje, řeší jenom to, že spamuje. Na blacklist se za to můžete dostat úplně stejně, jako za jakýkoli jiný spam.

Suma sumarum - nemate zadny relevantni priklad, jak lze dnes primocare nakonfigurovat rozesilani spamu.
Za to vase zavadejici posty s FUD by nejeden ctenar jako ciry spam klasifikoval.
Akorát že tady kde kdo píše, jaká brnkačka je správa serveru – ani těchhle pár možných problémů tu nikdo nezmínil. To nevypadá, že byste si byli reálně vědomi toho, kde všude mohou být problémy.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 13:41:55
Já s vámi v podstatě souhlasím. Sám se starám o několik poštovních serverů (soukromé, firemní) a snažím se je udržovat bezpečné a na úrovni. Tato problematika je tak komplexní, že někomu, kdo očekává, že to jednou nastaví a pak už na to nikdy nesáhne, mohu doporučit jedině se do něčeho takového nepouštět, pokud to s provozováním poštovního serveru nemyslí vážně. :-)
Souhlasím. Samozřejmě někdo nový, kdo to zatím neřešil, se to také musí nějak naučit. Akorát zrovna tohle je potřeba se učit s velkou pokorou, protože způsobů, jak napáchat nějakou škodu, je spousta, a často to znamená obtěžování spousty lidí, kteří s vámi nemají vůbec nic společného. Proto bych byl velmi opatrný s radami typu „nic to není, naklikejte to podle návodu a dál nic neřešte“.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: FKoudelka 26. 10. 2021, 18:36:53

Slusne vychovany server jim posle chybovou hlasku. Kdo se v ni vyzna, je druha vec
No právě, slušně vychovaný server. Jenže spousta správců potírá spam hlava nehlava, vymýšlí další a další nesmyslná pravidla, a je jim úplně jedno, že blokují i regulérní poštu. Takoví jednak ani nebudou umět procpat do chybové hlášky smysluplné informace; jednak bych se vůbec nedivil, kdyby k tomu přistupovali způsobem „přece nebudu spammerům napovídat, co mají opravit“.
Promiňte, ale už jste fakt asi dlouho nedělal správce mailu. Kdyby se choval jak říkáte, brzo by skončil. A do hlášek nic necpe, to server. Existuje spousta možností jak předfiltrovat poštu, než ji semelou spamová pravidla. Tam už je to na stroji a vy můžete vybalancovat, co s poštou kterou vyhodnotí jako spam. Například : z domény .cz označit a přeposlat, z obskurních domén házet do karantény a sledovat atd…
Kde berete statistiky typu “spousta správců” apod ve svých zavádějících maximách ?
To pak devalvuje to správné, co říkáte, jako “ správce to musí znát a sledovat”
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 19:07:58
Kdyby se choval jak říkáte, brzo by skončil.
Vedle v diskusi je spousta lidí, kteří provozují svůj vlastní poštovní server. Ti by vyhodili sami sebe? Co třeba správci spamfree.cz/virusfree.cz, ti skončili?

A do hlášek nic necpe, to server.
Server sámo sobě tam právě nacpe jen nějakou obencou hlášku, ze které nikdo nic nepozná.

Existuje spousta možností jak předfiltrovat poštu
No právě.

Kde berete statistiky typu “spousta správců” apod ve svých zavádějících maximách ?
Je to odhad. Vycházející např. z toho, kolik lidí se chlubí, jaké procentu spamu jejich antivirové řešení zastaví –  a když se jich zeptám, kolik zastaví regulérní pošty, opáčí, že to je nezajímá. Po připomínce, že pak by ovšem bylo nejlepší server vypnout, protože tím by zastavili 100 % spamu, se urazí a komunikace tím skončí.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: FKoudelka 26. 10. 2021, 19:09:25
Ve světě firemního mailu se dozvíte sakra rychle, že nějaký mail neprošel, zpravidla telefonem.
Za prvé, bavíme se tu o neudržovaném mail serveru v malé firmě, který je na dvou blacklistech. To nevypadá jako něco, kde se někdo sakra rychle dozvěděl o chybě a řeší to.

Za druhé, mýlíte se i v tom, že se to dozvíte sakra rychle vy. Dozvíte se to v případě, kdy se odesílateli vrátí zpráva o nedoručení. Ta se mu může vrátit hned, ale také až za několik hodin, pokud si třeba cílový server užívá greylisting a nakonec e-mail odmítne z jiného důvodu. A nebo se to možná dozvíte až za několik dní, až se odesílatel e-mailu začne shánět po tom, proč na jeho e-mail nikdo nereaguje. V některých případech se to nedozvíte vůbec, protože pokud někdo posílá e-mail někomu novému, a dotyčný nebude reagovat, zkusí to možná za pár dní znovu – ale když se ani pak nedočká odpovědi, prostě si pomyslí něco o hulvátech, kteří ani neumí odpovědět, ale ve spoustě případů to nebude dál řešit. A jak to, že se o nedoručení odesílatel nedozví z e-mailu? No protože nějaký server po cestě e-mail prostě přijme k doručení, ale pak ho stopí. Nebo ho doručí do spamu, kde si ho nikdo nevšimne.
Ad 1) no to se přece OP snaží napravit. Tipuju to na ty blacklisty
Ad2) proboha jak víte líp než já, kdy se to dozvím ? Taky odhadujete ?
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: LA_user 26. 10. 2021, 19:30:39
To me prave zajima, odkud je zna?

Začal bych tím, že bych vygooglil něco jako "mail-tester", narazil na službu https://www.mail-tester.com, zkusil bych tam poslat email a nebyl bych spokojen, dokud nebudu mít 10/10.

Co třeba správci spamfree.cz/virusfree.cz, ti skončili?

Spamfree/Virusfree je kapitola sama pro sebe, ti v očích znalých lidí, skončili už dávno.
Podpora příšerná, administratoři líní až na půdu cokoli měnit, jediný co na ně funguje je, stěžovat si u těch, co jim platí, aby si je zpacifikovali sami.
Známe marketingová hesla a dovednosti různých obchodníků.. Někteří dokáží prodat i naleštěný prd, nicméně schopnost něco prodat, vůbec nevypovídá o kvalitách produktu/služby.
A to je právě důvod, proč tací ještě vůbec fungují.


___

K tazateli, vyřeš blacklisty, zkus odeslat nějakou zprávu na https://www.mail-tester.com a sleduj, co je tam ještě "špatně".. Oprav co můžeš a bude to "dobrý".
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Filip Jirsák 26. 10. 2021, 19:36:38
Ad 1) no to se přece OP snaží napravit. Tipuju to na ty blacklisty
Z toho, že se to snaží napravit, ovšem neplyne, že nejde o dlouhodobý problém.

Dostal jsem se k neudrzovanemu mailserveru v male firme, odkud posta casto pada prijemcum do SPAMu. Nastavil jsem IP adrese reverzni DNS zaznam, zridil DKIM  a SPF.
Tohle naopak svědčí o tom, že ten problém byl dlouhodobý.

Ad2) proboha jak víte líp než já, kdy se to dozvím ? Taky odhadujete ?
Odhaduju, že se to nedozvíte dřív, než to odesílatel začne řešit. A také odhaduju, že když odesílatel pošle e-mail někomu novému, nevolá vám hned za pět minut, že ještě nedostal odpověď a že ten e-mail určitě nedošel.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: FKoudelka 26. 10. 2021, 22:51:56
Dobrý monitoring prezence/absence na blacklistech zdarma nabízí
https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3aRoot.cz&run=toolpage
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: McFly 27. 10. 2021, 08:08:41
Dobrý monitoring prezence/absence na blacklistech zdarma nabízí
https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3aRoot.cz&run=toolpage

zkus https://multirbl.valli.org/  ;)
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: FKoudelka 27. 10. 2021, 09:01:56
Dobrý monitoring prezence/absence na blacklistech zdarma nabízí
https://mxtoolbox.com/SuperTool.aspx?action=blacklist%3aRoot.cz&run=toolpage

zkus https://multirbl.valli.org/  ;)
Zapomněl jsem říct, že to posílá periodicky report. Kouknu ještě na hetrixtools.com ten je taky skvělej , ale blacklist jsem ještě nezkoušel, jen dostupnost.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: messagebus 27. 10. 2021, 10:25:56
Zajimava diskuse. Fascinujici doporuceni neprovozovat server vlastnim usilim, ale sverit celou vec komercnim spolecnostem, kde se asi predpoklada vyskyt vysoce schopnych a 25/8 odpovednych jedincu. Pritom dva nejvetsi poskytovatele podobnych sluzeb jsou totalni psychopati - napriklad odmitaji postu na zaklade kontroverznich blacklistu, kde se plati za whitelisting, nebo vyhazuji zamestnance za nazory nesouvisejici s praci. O dalsich schopnych profesionalech dokonce byla rec i v tomto vlakne.

S takovym pristupem by ridicak skupiny B neziskal nikdo, coz by bylo zajiste v nejlepsim zajmu ostatnich, to nikdo nepopre :)

Jen si ten mail server klidne vyzkousejte. Rozesilani spamu je vysoce komercni zalezitost, napadenych serveru rozesilajicich spam je v te zaplave profesionalnich spameru zanedbatelny pocet.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: neregistrovany 27. 10. 2021, 10:40:58
To me prave zajima, odkud je zna?

Začal bych tím, že bych vygooglil něco jako "mail-tester", narazil na službu https://www.mail-tester.com, zkusil bych tam poslat email a nebyl bych spokojen, dokud nebudu mít 10/10.

Tohle vypada na dobrej tip, diky
Název: Re:Odchozí pošta padá do spamu - vysvětlení co patří do EHLO,PTR,SPF
Přispěvatel: Vietnamka 07. 01. 2022, 19:30:42
Snažím se porozumět celému tomuto ověřovacímu řetězu, podmínkám a vyvodit z toho pravidla , jaké proměnné mají být v DNS, EHLO, dál co v případě ,když odesílání mailu je delegováno na jiné "mailingové služby"( takové ty smartemailingy). Samozřejmě takové ty klíčové věci, jako že (TCP)komunikuje vždy IP adresa (a ne doména) nebo protokol SMTP nebo nutné záznamy v DNS a i princip SPF znám (tam trochu váhám, jestli platí striktní definice, že se kontroluje IP adresa komunikující strany v TCP spojení. Někde jsem četl že prý kontroluje i Envelope sender a že se doporujčuje i kontrolovat HELO).

Jako chtěl jsem si to vypátrat sám, ale má to dva háčky: jednak množství subjektů, které to mají správně je jak zrnko v poušti (ostatně stačí se podívat po pravici ) a za druhé bych musel někde zchrastit "tcpdump" komunikace někde (pro přečtení EHLO). Dokonce i nepřímou komunikaci(myslím, že server MX dělá souběžný doménový lookup, RBL check...)

Narazil jsem na toto:


Obecně je potřeba držet se následujícího:

* Čistá IP co není na blacklistu,
* ani IP z /24 rozsahu nebo /64 prefixu nesmí být na blacklistu,
** * reverzní záznam na této IP, **
** * doména z reverzního záznamu musí být v EHLO hlavičce,
**
* správně nastavené DKIM,
* správně nastavené SPF,
* odesílání pošty schované za ověřováním,
* neposílat emaily moc rychle,
* kontrolovat délku fronty,
* kontrolovat do narazí na limity.



Předpokládám že tím se myslel  jako objekt počítač (tedy konkrétní IP adresa) jakožto zdroj mailového provozu (oproti uživateli,doméně)

Tam mi nesedí že doména z reverzního záznamu musí být v EHLO.(Ano už se říkalo že jde o nesmyslnou buzeraci):
Citace: McFly
Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne. Je potřeba, aby minimálně existoval A záznam k HELO/EHLO. Nejlepší situace je mít v HELO/EHLO existující A záznam (+ odpovídající PTR záznam pro IP serveru). Jinak SPF záznam na HELO/EHLO máme nastaveno taky - SpamAssassin tě za to malinko odmění. :-)

Zrovna nyní řeším s jednou větší firmou, že jeden jejich server je "neoptimálně" nastavený - špatný PTR (neexistující A), taky chybné HELO/EHLO a třešnička na dortu je striktní SPF záznam, který ale neodpovídá tomu serveru, takže sami říkají, ať jejich poštu rovnou zahodíme... tak zahazujeme.
Tam mi nesedí že doména z reverzního záznamu musí být v EHLO.(Ano už se říkalo že jde o nesmyslnou buzeraci) . Není to moc přehnaný požadavek?


Jsou tu údaje: ip adresa, ze které mail odchází ("to si nevybereš", to se musíš přesunout k jinému počítači - hodnota určená ip protokolem)  a "textová hodnota" za MAIL FROM ("papír snese všechno"-tam lze napsat arbitrární hodnotu)

Z toho lze odvodit:
-z ("živé")ip adresy lze vyvodit PTR .
-z MAILFROM části za @ lze vyvodit vyhledat ip  adresu   a z ní následně druhé PTR.
Takže celkem 5 hodnot. Prozatím ani neuvažujeme SPF! Mailfrom je jasné. A co se tedy má s čím rovnat?




Hlavně pak bych chtěl rozebrat tu shodu HELO, MAIL FROM (část za @).

Mimojiné, DKIM záznam ležící přímo na doména.cz je asi špatně že? (Má být selektor._domainkey.domena.cz)
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Vietnamka 07. 01. 2022, 19:42:05
Pozor mám tam chybu! Zaměnil jsem   HELO za  MAIL FROM.

Jo a taky je mi divné, proč se uvádí pořád jako port (MSA-MTA/ MTA-MX) 25? Vždyť to snad nemůže být od roku 2016 pravda....
Název: Re:Odchozí pošta padá do spamu - vysvětlení co patří do EHLO,PTR,SPF
Přispěvatel: Filip Jirsák 07. 01. 2022, 20:05:06
Jako chtěl jsem si to vypátrat sám, ale má to dva háčky: jednak množství subjektů, které to mají správně je jak zrnko v poušti (ostatně stačí se podívat po pravici ) a za druhé bych musel někde zchrastit "tcpdump" komunikace někde (pro přečtení EHLO). Dokonce i nepřímou komunikaci(myslím, že server MX dělá souběžný doménový lookup, RBL check...)
V tomhle ale neexistuje nic jako „správně“. Nejsou na to žádné standardy. Když někdo bude odmítat e-maily, kde bude  EHLO obahovat písmeno „a“, protože zjistí, že spousta spamu přišla ze spojení, kde v EHLO bylo „a“, bude prostě takové e-maily odmítat, a nic s tím neuděláte. Ale nedělal bych z toho pravidlo, že mít „a“ v EHLO je špatně.

* reverzní záznam na této IP,
* doména z reverzního záznamu musí být v EHLO hlavičce,
Přijímající SMTP server má otevřené spojení s klientem (který spojení inicioval), který chce přijímajícímu serveru doručit e-mail. Ten klient komunikuje z nějaké IP adresy, kterou server zná – a pomocí reverzního DNS záznamu si ji přeloží na DNS záznam. Server pak může dál vyhodnocovat tenhle DNS záznam – třeba jestli neobsahuje číslice. Nebo ho přeloží zpět na IP adresu a zkoumá, zda mezi přeloženými IP adresami je i ta původní IP adresa klienta. A nebo může ověřovat, zda doména z toho reverzního záznamu se objeví v EHLO hlavičce, kterou klient pošle. Asi protože pro spammera je hrozně obtížné zjistit si reverzí DNS záznam počítače, odkud zkouší spam odeslat – musel by udělat jeden DNS dotaz navíc…

A co se tedy má s čím rovnat?
Doména z MAIL FROM a SPF. Někdo porovnává EHLO a reverzní DNS záznam. Mezi MAIL FROM a EHLO nebo reverzním DNS záznamem není vůbec žádný vztah.

Jo a taky je mi divné, proč se uvádí pořád jako port (MSA-MTA/ MTA-MX) 25? Vždyť to snad nemůže být od roku 2016 pravda....
Snad všude funguje MSA pořád i na portu 25. Port 587 pro MSA se zaváděl proto, aby bylo možné v síti zablokovat odchozí komunikaci na port 25 a tím zabránit spamování z napadených počítačů. Když pak MSA naslouchá na portech 25 i 587, ničemu to nevadí – klienti, kteří mají zablokovaný port 25, se připojí na port 587, a případně nějaká důvěryhodná zařízení se starší konfigurací mohou dál používat pro předání e-mailu MSA dál port 25.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: Vietnamka 07. 01. 2022, 21:19:26
... IP adresa přeložená na záznam...  Nebo ho přeloží zpět na IP adresu a zkoumá, zda mezi přeloženými IP adresami je i ta původní IP adresa klienta.
To mi nedává smysl, z logiky věci by  reverzní doménové jméno  se mělo přeložit vždy na tu stejnou IP, jako pro kterou bylo reverzní doménové jméno vyhledané. (Jsou ale IP adresy, které reverzní jméno nemají, tam ale chybí už první krok)

(Pokud ses neuklepl a nemyslel to jeden krok posunutě / záměna IP a jména: přeložení doménového jména na ip adresu a té reverzně na reverzní jméno.)

A nebo může ověřovat, zda doména z toho reverzního záznamu se objeví v EHLO hlavičce, kterou klient pošle. Asi protože pro spammera je hrozně obtížné zjistit si reverzí DNS záznam počítače, odkud zkouší spam odeslat – musel by udělat jeden DNS dotaz navíc…

Čili kvůli tomuhle ty SMTP provádějí ty nestandardní filtrace na výskyt čísel s pomlčkami? (V kombinaci s tou kontrolou rovnosti, jinak by tam rovnou mohl napsat HELO domena.com)

Ten dotaz původně mířil na to, jestli je přípustné mít v HELO hlavičce například mailer.firma.cz, když její zpětné přeložené jméno (mailer.firma.cz -> IP -> reverzní jméno) je třeba s1.firma.cz nebo rovnou outbound.mailgun.net nebo outlook.com. Což podle mě ale je legitimní, když někdo posílá  maily outsourcovaně.
Název: neshody v PTR (N:1)
Přispěvatel: Vietnamka 07. 01. 2022, 21:42:06
Našel jsem tedy jeden příklad:
{85.207.4.158+85.207.59.62} -PTR-> cnc2-smtp1.cncenter.cz -A-> 85.207.59.62 (-PTR-> cnc2-smtp1.cncenter.cz )

Takovéhle "smyčky" jsou povolené?  (že víc IP má stejné reverzní jméno, smyčka to není, ale trychtýř)? Zajímá mě to na víc úrovních (například nikdo nebrání providerovi v Brazílii nastavit stejné doménové jméno jeho zákazníkovi jako má zákazník v hostingu v japonsku). To ale není tento případ očividně, když se shodují na /16,/15,/14.... (a ostatně  v ASN blok je pro /16)

A nebo je tam chyba, že to vrací jen jednu IP adresu, ale mělo by (aspoň obě)?

Nebo je to situace naprosto v pořádku? Nebo může tato podivnost  pramenit, že neexistuje na světě jen RR typu A?
Název: Re:neshody v PTR (N:1)
Přispěvatel: Filip Jirsák 07. 01. 2022, 22:06:55
Našel jsem tedy jeden příklad:
{85.207.4.158+85.207.59.62} -PTR-> cnc2-smtp1.cncenter.cz -A-> 85.207.59.62 (-PTR-> cnc2-smtp1.cncenter.cz )

Takovéhle "smyčky" jsou povolené?  (že víc IP má stejné reverzní jméno, smyčka to není, ale trychtýř)? Zajímá mě to na víc úrovních (například nikdo nebrání providerovi v Brazílii nastavit stejné doménové jméno jeho zákazníkovi jako má zákazník v hostingu v japonsku). To ale není tento případ očividně, když se shodují na /16,/15,/14.... (a ostatně  v ASN blok je pro /16)

A nebo je tam chyba, že to vrací jen jednu IP adresu, ale mělo by (aspoň obě)?

Nebo je to situace naprosto v pořádku? Nebo může tato podivnost  pramenit, že neexistuje na světě jen RR typu A?
Je to trochu divné, popírá to smysl PTR – PTR by mělo ukazovat na jméno zařízení, které by z principu věci mělo být unikátní. Ale ničemu to nevadí – prostě A záznam vede na víc IP adres, tak se to jméno použilo i pro reverzní záznam. To, že by dva ISP v různých částech světa nastavili stejné doménové jméno do PTR ničemu nevadí.

To, že ten A záznam vrací jenom jednu IP adresu je proti doporučení pro PTR záznamy – pro ty by mělo (mělo, ale nemusí)  platit, že příslušný A záznam vede zase zpět (i) na původní IP adresu. Pokud by se třeba někdo pokoušel z té IP adresy 85.207.4.158 posílat e-maily, spousta serverů by to vyhodnotila jako spam, protože kontrolují, že je splněné to kolečko IP → PTR → název → A → IP. Ale pro 85.207.59.62 to nijak nevadí – i kdyby někdo zjistil (jako vy) že i pro 85.207.4.158 existuje PTR záznam vedoucí na stejné jméno, nemůže to použít pro žádnou kontrolu. To jméno cnc2-smtp1.cncenter.cz si můžu dát klidně ke své IP adrese jako reverzní záznam a majitel domény cncenter.cz nemá jak mi v tom zabránit.

A samozřejmě ta vámi popsaná situace může být jen dočasná – ať už kvůli probíhajícím změnám v DNS, nebo pro to, že se pro to doménové jméno cnc2-smtp1.cncenter.cz používá nějaké rozvažování a teď zrovna vám server vrátil jenom jednu IP adresu. Což je mimochodem důvod, proč by se neměly míchat technické názvy (které se objevují v PTR záznamech a měly by to být jednoznačné názvy zařízení) a názvy pro lidi. Tj. pro lidi mám www.example.com a to obsluhují čtyři servery alpha.example.com, beta.example.com, gama.example.com a delta.example.com. A reverzní záznamy IP adresy jednotlivých serverů povedou zase zpět na tu alphu až deltu. Na www.example.com nepovede žádný reverzní záznam, protože to není jméno žádného zařízení/serveru, ale jméno služby.
Název: Re: stejné reverzní DNS jméno pro víc IP , vysvětlení jedním strojem svíceIP
Přispěvatel: Vietnamka 07. 01. 2022, 22:30:13
Teď mě to napadlo, hypoteticky, kdyby to byl jeden počítač (stroj, ne služba) co má více IP adres (klidně i na stejném rozhraní), tak by ta asimetrie více IP->jedno jméno asi  dávala smysl (i když to je jen jedna půlka problému-druhá je vrácení jedné IP pro to doménové jméno). "Prostě by měl jedno hostname v /etc/hostname" (velké zjednodušení!)


Jinak moc pěkné vysvětlení, je vidět, že to jde, když chcete
Název: Re: stejné reverzní DNS jméno pro víc IP , vysvětlení jedním strojem svíceIP
Přispěvatel: Filip Jirsák 07. 01. 2022, 22:47:48
Teď mě to napadlo, hypoteticky, kdyby to byl jeden počítač (stroj, ne služba) co má více IP adres (klidně i na stejném rozhraní), tak by ta asimetrie více IP->jedno jméno asi  dávala smysl (i když to je jen jedna půlka problému-druhá je vrácení jedné IP pro to doménové jméno). "Prostě by měl jedno hostname v /etc/hostname" (velké zjednodušení!)
Ano, to je dobrý příklad – třeba router, který má přirozeně víc rozhraní a víc IP adres, přesto chci umět odkazovat jménem na celý router, aniž bych specifikoval, které přesně rozhraní. A pak je dobré mít pojmenovaná i jednotlivá rozhraní, takže tam by ideálně měly pro každou IP adresu existovat 2 PTR záznamy – jeden na jméno rozhraní a druhý na jméno celého routeru. Jména rozhraní by pak měla 1 A záznam vedoucí na IP adresu toho rozhraní, a jméno celého routeru by pak mělo několik A záznamů vedoucích na všechny IP adresy všech rozhraní. Ale to už záleží na politice pojmenovávání v konkrétní síti, zda je někdo hračička a pojmenuje vše takhle pečlivě.
Název: Re:Odchozí pošta padá do spamu ; guessSPF ; ? shoda From,MAIL FROM , HELO
Přispěvatel: Vietnamka 11. 01. 2022, 23:18:23
No tak mě třeba překvapilo, že to vypadá, že seznam absolutně neprovádí žádné kontroly.
1.V hlavičce (v webovém rozhraní zkoušeno jen) jsou jen hlavičky od odesilatele a POUZE "RECEIVED: from+by". Žádné Authentication results, spam-score... (Vím že může prezentovat uživateli e-mail v originální příchozí formě, BFU by tomu stejně nerozuměli)
2. Zároveň projde i mail s porušeným spf, ale platným DKIM (ano vím, že se uvádí, že stačí aby prošlo jedno), nechce se mi to už testovat


Teorie 1(té benevolentnosti, ne absence hlaviček) je, že dokud mail nikdo neoznačí jako spam, tak daná IP/doména se vůbec nedostane do databáze a nedějí na ní žádné kontroly.... Což ale podle mě odporuje denodení realitě, kdy maily jsou posílané z napadených koncových stanic.


k google: (brát s rezervnou ; na základě 1 prošlého a 1 neprošlého mailu)
3. nevím to jistě, ale google mail si hlídá SPF (a zároveň platný DKIM není postačující podmínka). Byl tam ještě třetí faktor- špatné HELO (doména neodpovídala IP).
4. Ale zároveň google nekontroluje PTR kolečko (tedy neexistující PTR), ale bylo splněno MAILFROM+HELO->A


Kromě toho taky google dělá jakousi SPF kontrolu i když  není definovaná. Pozná se to podle "best guess" - pravděpodobně jde o nepsané pravidlo jestli ip adresa domény (v tomto případě třeba bylinkyodsoudruha.cz) se rovná ip adrese  (modulo /24) - skutečně se lišili v posledním bajtu)
Kód: [Vybrat]
spf=pass (google.com: [b]best guess record[/b] for domain of wy1233@he-wd120.wedos.net designates 81.01.0.140 as permitted sender) smtp.mailfrom=wy1233@hc-wd120.wedos.net
Zvláštní praxe :
- (1) proč se uvádí "domain of wy1233@he-wd120.wedos.net" (ta část před @). V received je jen část za @. V return-path je celá adresa wedos.
- From a MAIL FROM se liší. Jako vím, že to je jasný příklad  "outsourcingu posílání mailů/remailingu. Nic proti tomu nemám.  Ale zaprvé proč (2) mě na to neupozorní Desktopový klient a taky proč  (3)se napoužije na mail from: bylinkyodsoudruha.cz

(4) JE snad někde dané, že HELO a doménová část MAIL FROM se mají rovnat? Proč to tak je? Existují protipříklady, že HELO je interní název stroje (typicky mail.hosting.cz nebo ještě lépe název z PTR ) a From : & MAIL FROM jsou shodné  skutečné adresy zákazníka hostingu. Jako jasné, je že HELO má být dohledatelný název stroje (což je ve všech případech splněno), volitelně(!!!) i rovný PTR záznamu.
Název: Re:Odchozí pošta padá do spamu ; guessSPF ; ? shoda From,MAIL FROM , HELO
Přispěvatel: Filip Jirsák 12. 01. 2022, 12:10:01
1.V hlavičce (v webovém rozhraní zkoušeno jen) jsou jen hlavičky od odesilatele a POUZE "RECEIVED: from+by". Žádné Authentication results, spam-score... (Vím že může prezentovat uživateli e-mail v originální příchozí formě, BFU by tomu stejně nerozuměli)
Výsledky antispamové kontroly ení nutné zapisovat do původního e-mailu. Klidně mohou být zapsané někde v databázi, nebo se prostě předají aplikaci doručující do schránek jiným způsobem. To, že se ty hlavičky přidávjaí do e-mailu, je spíš obezlička, když se spamové filtry do zpracování filtrů zařazovaly dodatečně a nebyl jiný (a univerzální) způsob, jak hodnocení z antispamu „propašovat“ dál v řetězci zpracování ke službě, která ukládá e-maily do schránky, případně je má zahodit nebo přesunout do složky se spamem.

Rozhodně se z toho, že v e-mailu nevidíte přidané hlavičky antispamu, nedá soudit, že by server kontrolu neprováděl. A třeba kontrola IP adresy a domény se často provádí už v rámci SMTP relace – když kontrola neprojde, je e-mail rovnou odmítnut. Když projde, tak je z tohoto pohledu v pořádku a není důvod o tom dělat nějaký záznam.

- From a MAIL FROM se liší. Jako vím, že to je jasný příklad  "outsourcingu posílání mailů/remailingu. Nic proti tomu nemám.  Ale zaprvé proč (2) mě na to neupozorní Desktopový klient
Protože to MAIL FROM je čistě transportní záležitost serverů. Jako by vás Pošta upozorňovala, že balík nepřivezli přes Brno ale přes Ostravu.

JE snad někde dané, že HELO a doménová část MAIL FROM se mají rovnat?
V žádném případě. To, že se liší, je běžná věc – pokud bych si měl tipnout, řekl bych, že se doručí víc e-mailů, kde se tohle liší, než kde je to stejné. Vlastně správně by to ani stejné být nemělo – v EHLO má být jméno zařízení, v MAIL FROM doména.
Název: Re:Odchozí pošta padá do spamu
Přispěvatel: davidb 21. 01. 2022, 18:30:14
obvykle zacinam zjistovanim puvodu spamu, pokud se neodstrani pricina je mazani z blacklistu vcelku k nicemu, ale klidne tenhle krok preskocte  ;)