Odchozí pošta padá do spamu

[neregistrovany]

Dostal jsem se k neudrzovanemu mailserveru v male firme, odkud posta casto pada prijemcum do SPAMu. Nastavil jsem IP adrese reverzni DNS zaznam, zridil DKIM  a SPF. Pomoci teto sluzby https://mxtoolbox.com/SuperTool.aspx?action=blacklist jsem zjistil ze IP adresa serveru je na dvou blacklistech (BARRACUDA a SORBS SPAM) z celkoveho poctu 83. Relaying je znemoznen nastavenim, statistika SMTP ukazuje vzdy jen desitky ci nizsi stovky odeslanych mailu za nekolik dni (takze SPAM ven dlouhodobe netece).

Po upravach jsem si ze serveru poslal mail na svuj gmail account a spadl do SPAMu. V detailu mailu v gmailu je:

Received-SPF: pass (google.com: domain of info@xxxxxx.cz designates www.xxx.yyy.zzz as permitted sender) client-ip=www.xxx.yyy.zzz;
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@xxxxxx.cz header.s=dkim header.b=K0neFdo7;
       spf=pass (google.com: domain of info@xxxxx.cz designates www.xxx.yyy.zzz as permitted sender)

Otazka zni: Co jeste muzu zlepsit, aby maily ze serveru nepadaly prijemcum do SPAMu? Vlastniho serveru se nechteji vzdat protoze jsou na nej historicky navazane nejake scripty, a s pronajatym serverem by to bylo jen obtizne provozovatelne.

[Reklama]

[McFly]

Určitě bych doporučil odstranit server z blacklistů, tj. zjistit, jak se tam server dostal a tomuto zamezit.

[Filip Jirsák]

Především je potřeba odstranit server z blacklistů.

To, že přes server odesílají e-maily nějaké skripty, přece není důvod odesílat přes něj veškerou poštu. Můžete poštovní server zmigrovat jinam a současný server použít jenom jako relay pro ty skripty, aby předával e-maily k odeslání skutečnému serveru.

[neregistrovany]

Především je potřeba odstranit server z blacklistů.

To se samozrejme pokusim

To, že přes server odesílají e-maily nějaké skripty, přece není důvod odesílat přes něj veškerou poštu. Můžete poštovní server zmigrovat jinam a současný server použít jenom jako relay pro ty skripty, aby předával e-maily k odeslání skutečnému serveru.

Nevim co si predstavujete pod pojmem "skutecny server" ale obecne nechteji platit za pronajaty server a zaroven za udrzovani vlastniho. Tu debatu jsem s nimi pomerne dlouho vedl, byla z jejich strany pomerne racionalni ale nechce se mi ji tu celou reprodukovat.

[neregistrovany]

Jeste jsem se docetl:

"In addition to checking the domain name part of the sender's e-mail address, some e-mail servers also perform SPF checks on the SMTP session HELO/EHLO greeting host name. Therefore always make sure that your e-mail server is configured to use a correct host name (like "mail.example.com") in the HELO/EHLO greeting, and that an A- and/or AAAA-record exists for this host name in DNS."

Jako udelat to samozrejme muzu, ale je to skutecne tak? Vsude jinde jsme cetl jen o potrebe revernich zaznamu na IP adresu SMTP serveru.

[Reklama]

[McFly]

Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne. Je potřeba, aby minimálně existoval A záznam k HELO/EHLO. Nejlepší situace je mít v HELO/EHLO existující A záznam (+ odpovídající PTR záznam pro IP serveru). Jinak SPF záznam na HELO/EHLO máme nastaveno taky - SpamAssassin tě za to malinko odmění. :-)

Zrovna nyní řeším s jednou větší firmou, že jeden jejich server je "neoptimálně" nastavený - špatný PTR (neexistující A), taky chybné HELO/EHLO a třešnička na dortu je striktní SPF záznam, který ale neodpovídá tomu serveru, takže sami říkají, ať jejich poštu rovnou zahodíme... tak zahazujeme.

[Filip Jirsák]

Nevim co si predstavujete pod pojmem "skutecny server" ale obecne nechteji platit za pronajaty server a zaroven za udrzovani vlastniho. Tu debatu jsem s nimi pomerne dlouho vedl, byla z jejich strany pomerne racionalni ale nechce se mi ji tu celou reprodukovat.

Myslel jsem přenést poštovní server se schránkami k nějakému poskytovateli e-mailových služeb a ve firmě si nechat pod původním názvem malý server, který bude dělat jenom SMTP relay k tomu poskytovateli e-mailových služeb. (Předpokládám, že důvod je ten, že jsou někde skripty, které odesílají e-maily přes ten server a nechcete v těch skriptech měnit název serveru, případně do nich dodělávat autentizaci.) Tj. ten současný server by nemusel zůstávat „v plné palbě“, mohl by se z něj udělat malý virtuál. Může to cenově nakonec vyjít lépe, než udržovat ten současný server. Ale to záleží na konkrétních podmínkách, někdy je prostě dané, že firma „potřebuje“ vlastní server, racionální argumenty tam nejsou, ale stejně s tím nic nenaděláte.

Jako udelat to samozrejme muzu, ale je to skutecne tak? Vsude jinde jsme cetl jen o potrebe revernich zaznamu na IP adresu SMTP serveru.

To je právě ten problém, že dávno neexistují pravidla, kterými by se poštovní servery řídily. Dávno se to bere jako válka proti spamu, kde je povoleno vše. Takže to, že někdo kontroluje reverzní záznamy, neznamená, že někdo jiný nekontroluje HELO a nemá nějaké pravidlo, že musí být shodné bůhví s čím. Bohužel není neobvyklé, že správci poštovního serveru v zuřivém boji se spamem blokují kde co, dají si velké poskytovatele na allowlist a pak tvrdí, že jejich pravidla jsou v pořádku, protože jim přece e-maily od velkých poskytovatelů chodí.

Třeba jeden známý blacklist dával na blacklist celé rozsahy jenom proto, že reverzní název obsahoval tu rozlišovací část IP adresy – protože ty reverzní záznamy prostě byly automaticky vygenerované pro celý rozsah IP adres. Odůvodnili to tak, že je to známka automaticky přidělovaných reverzních záznamů (což měli pravdu), a že to je známka spotřebitelských přípojek a na nich prý nemá poštovní server co dělat. Tečka, bavit se o tom s nikým nebudou a vám nezbývá, než přesvědčit ISP, aby vám ten jeden reverzní záznam změnil a odstranil z něj to číslo.

A takováhle de… ne moc chytrá pravidla si navymýšlí kde kdo, každý svá. A po vás se chce, abyste na všechna ta pravidla přišel a server podle nich nakonfiguroval…

[neregistrovany]

Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne.

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

[ondrej _]

Checkni si server pomocou tejto sluzby https://www.mail-tester.com/

To, ze ti to spadlo v Gmaily do spamu, sa necudujem. Gmail je v tomo svojsky. Vobec to nemusi byt o tom, ze server je zle nastaveny ale cisto len vdaka obsahu mailu.  Aj na zaklade obsahu sa vypocitava skore a ak presiahne urcitu hodnotu, tak je oznaceny ako Spam. Tie filtre a ich prisnost moze a ma kazdy server inac nastavene. Do toho este uciace sa algoritmy.

To aby tvoj mail nespadol do spamu na nejakom mailovom serveri sa nevyhnes.

[McFly]

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Jasně. Ať už dojde k striktnímu odmítnutí (5xx) nebo dočasnému (4xx), kdy to odesílající server zkouší znova a znova, až to pak vzdá, v obou případech je protistrana informována, že e-mail nebylo možné doručit a proč. Většina správců ale zná obecná pravidla nebo alespoň nástroje jako mxtoolbox.com nebo mail-tester.com, které jim pomohou s nastavením.

Provozovat vlastní poštovní server vyžaduje znalosti a taky práci okolo, jako třeba kontrola logů, blacklistů, ap. Když to ale člověka navíc baví, tak je to v pohodě.

Párkrát se nám stalo, že uživatelé měli pitomé heslo, které jim někdo uhodnul a druhý den jsme byli na všemožných blacklistech a ostatní servery se s námi nechtěly bavit. Takže jako správce poštovního serveru jsem si pak užil trochu perných chvil, ale do pár hodin vše v cajku, takříkajíc.

[Filip Jirsák]

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Nijak. Resp. že je někde problém se dozvíte, až se nebude dařit doručit e-mail na cílový server. Proč se to nedaří pak můžete zkusit zjistit u jeho správce, ale adresa postmaster nejspíš také nebude fungovat a ani jinak se s vámi nebude nikdo bavit. Že by vám někdo napsal, proč váš e-mail neprochází, je velmi ojedinělé. A že by dokonce změnil nesmyslné nastavení, to je nereálné.

Vítejte do světa správy poštovních serverů v roce 2021.

[by_cx]

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Zrovna bez tohohle podle mě nedorazí 80 % emailů. Některé servery takový email zahodí, jiné ho odmítnou s chybou a jiné ho přijmou, ale dají mu takové spam skóre, že skončí ve spamu.

Obecně je potřeba držet se následujícího:

* Čistá IP co není na blacklistu,
* ani IP z /24 rozsahu nebo /64 prefixu nesmí být na blacklistu,
* reverzní záznam na této IP,
* doména z reverzního záznamu musí být v EHLO hlavičce,
* správně nastavené DKIM,
* správně nastavené SPF,
* odesílání pošty schované za ověřováním,
* neposílat emaily moc rychle,
* kontrolovat délku fronty,
* kontrolovat do narazí na limity.

I pak ale člověk může skončit na interním blacklistu velkých provozovatelů pošty, někde to je i výchozí chování. Tam pak je potřeba přistupovat individuálně, mají k tomu dokumentaci. Většinou k tomu vrátí info když odmítnou emaily.

Provozujeme SMTP server postavený na Haraka pro zákazníky a není to tak strašné, když se to dobře nastaví. Tento rok jsme řešili jen problém s blacklistem UCEPROTECTL3 a s Microsoftem, kterému ale stačilo potvrdit, že existujeme.

[McFly]

Tento rok jsme řešili jen problém s blacklistem UCEPROTECTL3 a s Microsoftem, kterému ale stačilo potvrdit, že existujeme.

UCEPROTECT Level 3 nás taky potrápil. Jinak bych seznam "must have" věcí doplnil ještě třeba o DMARC politiku.

https://napoveda.seznam.cz/cz/dmarc-zaznam/

[neregistrovany]

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Většina správců ale zná obecná pravidla

To me prave zajima, odkud je zna?

[McFly]

Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta. Vzpominam si, jakou jsem mel pred asi takovymi 20 lety radost, kdyz jsem si ve Windows 98 rozjel vpop3 a pres modem vytacenym spojenim a pomoci no-ip.com aktualizoval mx zaznam a poslal si z post.cz domu testovaci e-mail... Ktery prisel. Zacatecnikum mohu doporucit i video od Ondry Caletky na youtube, jak si postavil osobni postovni server.