Odchozí pošta padá do spamu

[neregistrovany]

Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta. Vzpominam si, jakou jsem mel pred asi takovymi 20 lety radost, kdyz jsem si ve Windows 98 rozjel vpop3 a pres modem vytacenym spojenim a pomoci no-ip.com aktualizoval mx zaznam a poslal si z post.cz domu testovaci e-mail... Ktery prisel.

Jenze pred dvaceti lety stacilo nacist prave jen ta RFC, ktera jste ted zminil az na poslednim miste...

[Reklama]

[Filip Jirsák]

Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta.

Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?

[_mbily]

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Číst logy. V nich lze vyčenichat okamžik (smtp příkaz), který se protistraně nelíbil. Sledovat velikost fronty (dohledový systém) a jaké maily (od koho, kam) tam zůstávají viset. Vyhodnocovat logy některým z mnoha udělátorů, ty každodenní přehledy alespoň rychle prolistovat. Oko se časem vycvičí reagovat na anomálie. No a dobrou zpětnou vazbu poskytují i telefonáty a tickety od uživatelů :-).

Dále je dobré sledovat (opět dohledový systém) třeba platnost certifikátů serverů a výskyt vlastních adres na majoritních blo/acklistech. Mít na příjmu i vysílání nasazeny ratelimity, třeba i jen v podobě prostého postfwd. A nad nimi opět dohled.

V poslední době se bavím sledováním používaných verzí TLS protokolu. Je až neuvěřitelné, jak i někteří významní provozovatelé zamrzli v čase. Zdravím adminy smtp-out serverů gmmr?.c?n?r?m.cz.

[messagebus]

Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?

Je to ve stejnem RFC, kde je napsano, ze se clovek musi bavit s kazdym bezdomovcem, ktery ho oslovi, a vyhovet jeho prani

[McFly]

Ja osobne cerpal z navodu na netu pred lety, take prakticky z provozovani postovniho serveru. Z postfixu z jeho moznosti nastaveni a voleb, pak pomoci nastroju jako mxtoolbox nebo RFC. Je toho kvanta.

Ve kterém RFC je napsáno, že poštovní klient musí (MUST) mít reverzní DNS záznam? Ve kterém RFC je napsáno, že HELO/EHLO uvítání musí být DNS název, že tento DNS název musí mít A záznam vedoucí zpět na poštovního klienta a že reverzí záznam pro danou IP adresu se musí překládat zase zpět na ten název v HELO/EHLO?

Nikdo netvrdí, že je to napsáno v RFC. ;-) Mohu otázku? Stavěl jste někdy poštovní server a máte PRAKTICKÉ zkušenosti nebo se pohybujete jen v teoretické rovině diskuse? 

[Reklama]

[FKoudelka]

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Nijak. Resp. že je někde problém se dozvíte, až se nebude dařit doručit e-mail na cílový server. Proč se to nedaří pak můžete zkusit zjistit u jeho správce, ale adresa postmaster nejspíš také nebude fungovat a ani jinak se s vámi nebude nikdo bavit. Že by vám někdo napsal, proč váš e-mail neprochází, je velmi ojedinělé. A že by dokonce změnil nesmyslné nastavení, to je nereálné.

Vítejte do světa správy poštovních serverů v roce 2021.

 Ve světě firemního mailu se dozvíte sakra rychle, že nějaký mail neprošel, zpravidla telefonem.
To, že je chyba  na straně odesilatele se prokazuje těžko, ale dělám to tak jednou do měsíce a světe div se, on si ten obchodník coby odesilatel tu změnu u interního IT často  i vynutí :-) Stačí mu napsat tohle a tohle máte blbě a přepošlete to info 1:1 na správce mail serveru. Když uvedete i řešení( typu máš blbě SPF) pak se IT až na vyjímky necuká.

[Filip Jirsák]

Nikdo netvrdí, že je to napsáno v RFC. ;-)

Dotaz (velmi správný) byl, kde se může začínající správce tahle pravidla dozvědět. Vy jste argumentoval RFC. Pak jste psal o nástrojích, ale ty mne mohou informovat o některých problémech hotové konfigurace, ale není to něco, co bych si mohl předem pročíst, pochopit souvislosti a pak podle toho server správně nakonfigurovat.

Mohu otázku? Stavěl jste někdy poštovní server a máte PRAKTICKÉ zkušenosti nebo se pohybujete jen v teoretické rovině diskuse? 

Pár poštovních serverů jsem postavil a provozoval, bohužel ještě v době, kdy e-mail fungoval normálně. Takže si uvědomuju, jak moc je ten současný stav rozbitý. A nemám náladu řešit něco, kde probíhá závod o to, kdo to rozbije ještě víc. Takže před pár lety jsem zrušil poslední poštovní server, který jsem spravoval, můj osobní. Navíc spravovat poštovní server neznamená jenom na začátku to nastavit správně a pak už to jenom udržovat. Musíte o to pečovat pořád – to, že nějaké e-maily nejdou odeslat, se stane nezávisle na správci, není to chyba konfigurace. Prostě se nějaký „správce“, který si přečetl step-by-step návod, takže všemu rozumí, rozhodl vymyslet další způsob, jak nepřijímat e-maily.

Pak je tu ještě jedna velmi podstatná věc, kterou nějak zapomněli zmínit všichni ti, kteří tvrdí, jak je správa poštovního serveru jednoduchá. Totiž to, že chybně nastavený poštovní server škodí především všem okolo. Když nějaký poštovní server „spravuje“ někdo, kdo si myslí, jak je to jednoduché, je mi vážně úplně jedno, že ten server nebude doručovat e-maily jeho uživatelům a nebude schopen odeslat e-maily od jeho uživatelů. Co mi ale doopravdy vadí je to, že takový server rozesílá spam a viry všude možně a otravuje tím mne i ostatní. A pokud chcete argumentovat tím, že se takový server dostane na blocklist – ano, dostane se tam, za pár dnů si uživatelé začnou stěžovat, že jim neodchází e-maily, tak to správce zjistí a za týden či dva rozesílání spamu zastaví. Jenomže mezi tím ten server stihne do světa vychrlit miliony spamů.

Když špatně nakonfigurujete DNS nebo HTTPS server, poškodíte tím akorát svou organizaci a své zákazníky. Špatně nakonfigurovaný poštovní server ale škodí celému internetu. Takže rady typu „nějak to spytlíkuj podle návodu, rozumět tomu nemusíš, no a pokud nastane nějaký problém, tak si všimneš a začneš to řešit“ považuju ze velmi nezodpovědné. Ale koneckonců mne už to tolik trápit nemusí, já nejspíš najdu akorát o něco víc e-mailů ve složce se spamem. Ale vy to budete řešit na svém e-mailovém serveru.

[Filip Jirsák]

Ve světě firemního mailu se dozvíte sakra rychle, že nějaký mail neprošel, zpravidla telefonem.

Za prvé, bavíme se tu o neudržovaném mail serveru v malé firmě, který je na dvou blacklistech. To nevypadá jako něco, kde se někdo sakra rychle dozvěděl o chybě a řeší to.

Za druhé, mýlíte se i v tom, že se to dozvíte sakra rychle vy. Dozvíte se to v případě, kdy se odesílateli vrátí zpráva o nedoručení. Ta se mu může vrátit hned, ale také až za několik hodin, pokud si třeba cílový server užívá greylisting a nakonec e-mail odmítne z jiného důvodu. A nebo se to možná dozvíte až za několik dní, až se odesílatel e-mailu začne shánět po tom, proč na jeho e-mail nikdo nereaguje. V některých případech se to nedozvíte vůbec, protože pokud někdo posílá e-mail někomu novému, a dotyčný nebude reagovat, zkusí to možná za pár dní znovu – ale když se ani pak nedočká odpovědi, prostě si pomyslí něco o hulvátech, kteří ani neumí odpovědět, ale ve spoustě případů to nebude dál řešit. A jak to, že se o nedoručení odesílatel nedozví z e-mailu? No protože nějaký server po cestě e-mail prostě přijme k doručení, ale pak ho stopí. Nebo ho doručí do spamu, kde si ho nikdo nevšimne.

[RDa]

Pak je tu ještě jedna velmi podstatná věc, kterou nějak zapomněli zmínit všichni ti, kteří tvrdí, jak je správa poštovního serveru jednoduchá. Totiž to, že chybně nastavený poštovní server škodí především všem okolo. Když nějaký poštovní server „spravuje“ někdo, kdo si myslí, jak je to jednoduché, je mi vážně úplně jedno, že ten server nebude doručovat e-maily jeho uživatelům a nebude schopen odeslat e-maily od jeho uživatelů. Co mi ale doopravdy vadí je to, že takový server rozesílá spam a viry všude možně a otravuje tím mne i ostatní.

Muzete uvest jak spatne nastaveny postovni server rozesila spam? Znam jenom OPEN RELAY a to je u vsech navodu v dnesni dobe snad vypnuto - ze si ten mail konfigurujete proste na prijem nejake domeny, odesilani jen autorizovanych uzivatelu a nic vic.

[FKoudelka]

Pokud máš neexistující/špatné HELO/EHLO uvítání, třeba náš poštovní server tě odmítne.

Chapu, ale jak se ma clovek ktery vam chce posilat postu dozvedet ze toto vyzadujete? Mate to treba nekde zverejne?

Slusne vychovany server jim posle chybovou hlasku. Kdo se v ni vyzna, je druha vec

[Filip Jirsák]

Muzete uvest jak spatne nastaveny postovni server rozesila spam? Znam jenom OPEN RELAY a to je u vsech navodu v dnesni dobe snad vypnuto - ze si ten mail konfigurujete proste na prijem nejake domeny, odesilani jen autorizovanych uzivatelu a nic vic.

No, to je přesně ten problém, že když si někdo akorát přečte jeden návod, tak potom neví, jakými všemi možnými způsoby může poštovní server škodit. Takže tady je částečný výčet:

• open relay – server přeposílá libovolné e-maily, které mu někdo předá
• open relay pro vnitřní síť – server nijak neověřuje uživatele, považuje za důvěryhodné všechny počítače ve vnitřní síti. A některý z počítačů je napaden a začne rozesílat spam. Třeba to může být jen chybně udělaný formulář ne webové stránce…
• rozesílání spamu autentizovaným uživatelem – server sice pro odeslání e-mailu vyžaduje autentizaci, ale nějaký klient má napadený počítač, který začne rozesílat spam pod jeho účtem
• zprávy o nedoručení – pokud server přijme e-mail k doručení a následně zjistí, že e-mail doručit nemůže, měl dříve povinnost o tom poslat odesílateli e-mail. Z toho důvodu je to stále výchozí nastavení mnoha poštovních serverů. A když jsem to řešil naposledy, neuměly si poštovní servery u e-mailů ve frontě zapamatovat, zda ověřily odesílatele podle DKIM nebo SPF a posílat nedoručenky jenom ověřeným odesílatelům. Pokud nevíte, jak spameři nedoručenek zneužívají – pošlou e-mail s falešnou adresou odesílatele (adresou, kam chtějí spam doručit). Když server odešle nedoručenku domnělému odesílateli, cituje v ní začátek nedoručitelného e-mailu. A v téhle citované části musí být to, co chce spammer doručit.
• nevzdělaný uživatel, který ručně odesílá ze svého účtu spam, protože je přesvědčený, že všichni ostatní posílají spam, jenom on posílá zajímavé nabídky

Určitě jsem nevypsal všechny možnosti, spammeři jsou velmi vynalézaví.

[Filip Jirsák]

Slusne vychovany server jim posle chybovou hlasku. Kdo se v ni vyzna, je druha vec

No právě, slušně vychovaný server. Jenže spousta správců potírá spam hlava nehlava, vymýšlí další a další nesmyslná pravidla, a je jim úplně jedno, že blokují i regulérní poštu. Takoví jednak ani nebudou umět procpat do chybové hlášky smysluplné informace; jednak bych se vůbec nedivil, kdyby k tomu přistupovali způsobem „přece nebudu spammerům napovídat, co mají opravit“.

[RDa]

• open relay – server přeposílá libovolné e-maily, které mu někdo předá
• open relay pro vnitřní síť – server nijak neověřuje uživatele, považuje za důvěryhodné všechny počítače ve vnitřní síti. A některý z počítačů je napaden a začne rozesílat spam. Třeba to může být jen chybně udělaný formulář ne webové stránce…
• rozesílání spamu autentizovaným uživatelem – server sice pro odeslání e-mailu vyžaduje autentizaci, ale nějaký klient má napadený počítač, který začne rozesílat spam pod jeho účtem
• zprávy o nedoručení – pokud server přijme e-mail k doručení a následně zjistí, že e-mail doručit nemůže, měl dříve povinnost o tom poslat odesílateli e-mail. Z toho důvodu je to stále výchozí nastavení mnoha poštovních serverů. A když jsem to řešil naposledy, neuměly si poštovní servery u e-mailů ve frontě zapamatovat, zda ověřily odesílatele podle DKIM nebo SPF a posílat nedoručenky jenom ověřeným odesílatelům. Pokud nevíte, jak spameři nedoručenek zneužívají – pošlou e-mail s falešnou adresou odesílatele (adresou, kam chtějí spam doručit). Když server odešle nedoručenku domnělému odesílateli, cituje v ní začátek nedoručitelného e-mailu. A v téhle citované části musí být to, co chce spammer doručit.
• nevzdělaný uživatel, který ručně odesílá ze svého účtu spam, protože je přesvědčený, že všichni ostatní posílají spam, jenom on posílá zajímavé nabídky

Určitě jsem nevypsal všechny možnosti, spammeři jsou velmi vynalézaví.

open relay - resi navody na konfiguraci (absolutni zaklad)
open relay pro vnitřní síť - resi navody na konfiguraci (zaklad je mit ucty, na site se nehraje - je to obecne server "nekde", treba ve VPS)
rozesílání spamu autentizovaným uživatelem - za napadeny klientsky PC muze jiste konfigurace postovniho serveru, nebudte smesny.
zprávy o nedoručení - nepozoroval jsem tento druh spamu, nejspis proto, ze dorucovani probiha v ramci 1 serveru, zadne pozdejsi nedoruceni nenastava u moderni posty (drive meli servery vice oddelenych casti - neco se staralo o prijem, neco o filtraci a trideni a neco o dorucovani do schranek.. pokud nestavite vykonny a redundantni mail cluster, tak to neni vas pripad domaciho uzivatele)
nevzdělaný uživatel - za tohle muze taky konfigurace postovniho serveru??

Suma sumarum - nemate zadny relevantni priklad, jak lze dnes primocare nakonfigurovat rozesilani spamu.
Za to vase zavadejici posty s FUD by nejeden ctenar jako ciry spam klasifikoval.

[neregistrovany]

* doména z reverzního záznamu musí být v EHLO hlavičce

Musi v ni byt obsazena nebo tam musi JEN ona?

[McFly]

Nikdo netvrdí, že je to napsáno v RFC. ;-)

Dotaz (velmi správný) byl, kde se může začínající správce tahle pravidla dozvědět. Vy jste argumentoval RFC. Pak jste psal o nástrojích, ale ty mne mohou informovat o některých problémech hotové konfigurace, ale není to něco, co bych si mohl předem pročíst, pochopit souvislosti a pak podle toho server správně nakonfigurovat.

Mohu otázku? Stavěl jste někdy poštovní server a máte PRAKTICKÉ zkušenosti nebo se pohybujete jen v teoretické rovině diskuse? 

Pár poštovních serverů jsem postavil a provozoval, bohužel ještě v době, kdy e-mail fungoval normálně. Takže si uvědomuju, jak moc je ten současný stav rozbitý. A nemám náladu řešit něco, kde probíhá závod o to, kdo to rozbije ještě víc. Takže před pár lety jsem zrušil poslední poštovní server, který jsem spravoval, můj osobní. Navíc spravovat poštovní server neznamená jenom na začátku to nastavit správně a pak už to jenom udržovat. Musíte o to pečovat pořád – to, že nějaké e-maily nejdou odeslat, se stane nezávisle na správci, není to chyba konfigurace. Prostě se nějaký „správce“, který si přečetl step-by-step návod, takže všemu rozumí, rozhodl vymyslet další způsob, jak nepřijímat e-maily.

Pak je tu ještě jedna velmi podstatná věc, kterou nějak zapomněli zmínit všichni ti, kteří tvrdí, jak je správa poštovního serveru jednoduchá. Totiž to, že chybně nastavený poštovní server škodí především všem okolo. Když nějaký poštovní server „spravuje“ někdo, kdo si myslí, jak je to jednoduché, je mi vážně úplně jedno, že ten server nebude doručovat e-maily jeho uživatelům a nebude schopen odeslat e-maily od jeho uživatelů. Co mi ale doopravdy vadí je to, že takový server rozesílá spam a viry všude možně a otravuje tím mne i ostatní. A pokud chcete argumentovat tím, že se takový server dostane na blocklist – ano, dostane se tam, za pár dnů si uživatelé začnou stěžovat, že jim neodchází e-maily, tak to správce zjistí a za týden či dva rozesílání spamu zastaví. Jenomže mezi tím ten server stihne do světa vychrlit miliony spamů.

Když špatně nakonfigurujete DNS nebo HTTPS server, poškodíte tím akorát svou organizaci a své zákazníky. Špatně nakonfigurovaný poštovní server ale škodí celému internetu. Takže rady typu „nějak to spytlíkuj podle návodu, rozumět tomu nemusíš, no a pokud nastane nějaký problém, tak si všimneš a začneš to řešit“ považuju ze velmi nezodpovědné. Ale koneckonců mne už to tolik trápit nemusí, já nejspíš najdu akorát o něco víc e-mailů ve složce se spamem. Ale vy to budete řešit na svém e-mailovém serveru.

Já s vámi v podstatě souhlasím. Sám se starám o několik poštovních serverů (soukromé, firemní) a snažím se je udržovat bezpečné a na úrovni. Tato problematika je tak komplexní, že někomu, kdo očekává, že to jednou nastaví a pak už na to nikdy nesáhne, mohu doporučit jedině se do něčeho takového nepouštět, pokud to s provozováním poštovního serveru nemyslí vážně. :-)