Postfix a zpoždění na virusfree.cz

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #15 kdy: 16. 10. 2014, 15:14:57 »
Problem je na strane odesilatele - nema korektne nastavene DNS zaznamy, nebude mit nastaveny spravne dopredny a reverzni zaznam v DNS, take SMTP banner tomu musi odpovidat. Diky tomu pak z VOLNY a CENTRUM skoro zmizel spam... overte si sve DNS zaznamy, hlavne jestli mate reverzni zaznam a jestli vas SMTP banner tomuto nazvu odpovida a nebudete mit problem. Hosi z virusfree to maji nastaveno spravne, lec ponekud velmi striktne a proto se pak lidi lini studovat RFC divi.

Pán tam asi pracuje :-) Je to totiž stejná odpověď, jakou člověk dostává z virusfree. Člověk jim desetkrát napíše (a pokaždé ověří), proč odmítají maily, když je vše v pořádku (DNS, SPF, DKIM, množství mailů...) a oni mu 10x napíšou nějakou kravinu, jako např. že nesedí reverzní záznamy. Když se člověk po 11. zeptá jaký reverzní záznam nesedí, protože i z toho centrumáckýho testu má ověřeno, že reverzy jsou skutečně OK. Tak mu odpoví, že je to JEHO starost a že oni mu to říkat nebudou a že mají všechno v pořádku. A nakonec z nich vyleze, že ty maily skutečně v pořádku byly, ale danou doménu mají poznačenou, jako hromadný mail to přes den prakticky nepřijímají.

Virusfree udělali z emailu zcela nespolehlivou službu, podle vzoru: "Když nedojde nic, nedoje ani spam.". Bohužel to jejich klientům asi nevadí a dokud vadit nezačne, tak se to asi nezmění...



Re:Postfix a zpoždění na virusfree.cz
« Odpověď #16 kdy: 16. 10. 2014, 15:34:20 »
  Zdar,
  juknul jsem do dnesniho logu, na tyhle servery mame jen 3 Connection timed out, za vcera jen 1. Vesmes u nize uvedenych IP. Reverzy i DNS mame taky OK, DKIM, SPF, denne mame plsu minus 10-15 000 majlu.

  Kazdopadne pomoci ruznych antispamovych technik na vstupu SMPT serveru bychom meli za den tak 60-80 000 prichozich emailu, odesilatele ale zasadne nedostanou "Connection timed out". Nic neni dokonale, to vime, v odmitnuti je proto inteligentni odpoved s vysvetlenim a doporucenim ...

  J.Karliak.
ty vole, teď jsem si prošel log :-)

mail postfix/smtp[656]: connect to cax.virusfree.cz[77.93.216.15]:25: Connection timed out
mail postfix/smtp[777]: connect to cax.virusfree.cz[89.185.230.2]:25: Connection timed out
mail postfix/smtp[656]: connect to cax.virusfree.cz[195.250.152.90]:25: Connection timed out
mail postfix/smtp[777]: connect to cax.virusfree.cz[195.250.152.90]:25: Connection timed out
mail postfix/smtp[656]: connect to cax.virusfree.cz[89.185.230.2]:25: Connection timed out
mail postfix/smtp[777]: connect to cax.virusfree.cz[77.93.216.15]:25: Connection timed out
mail postfix/smtp[656]: connect to cax.virusfree.cz[195.250.152.92]:25: Connection timed out
mail postfix/smtp[777]: connect to cax.virusfree.cz[195.250.152.92]:25: Connection timed out
mail postfix/smtp[656]: connect to cbx.virusfree.cz[89.185.230.3]:25: Connection timed out
mail postfix/smtp[777]: connect to cbx.virusfree.cz[89.185.230.3]:25: Connection timed out

Používáme SPF + DKIM + STARTTLS + SMTP banner obsahuje platný záznam (PTR i A záznam odpovídá), nejsme na žádném spamlistu, neposíláme spam a neposíláme kvanta mailů. Z toho mi plyne jediné - mají to rozbité a nestíhají nápor.

Franta <xkucf03/>

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #17 kdy: 16. 10. 2014, 15:53:15 »
Taky jsem koukl do logu – něco projde, ale často vrací chyby:

451 Nevyzadane obchodni sdeleni (in reply to RCPT TO command)
451 Rozesilani nevyzadanych obchodnich sdeleni. (in reply to RCPT TO command)
554 5.7.1 <…@centrum.cz>: Recipient address rejected: Access denied (in reply to RCPT TO command))

Prostě chudáci s nespolehlivým freemailem se musí smířit, že jim občas nebude chodit pošta.

Lol Phirae

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #18 kdy: 16. 10. 2014, 15:54:40 »
Bohužel to jejich klientům asi nevadí a dokud vadit nezačne, tak se to asi nezmění...

Ano, a tady řešímě přesně co? Že vám paní Vomáčková nepřišel mail na Seznam, Centrum, Volny, ... ? No,to máte blbé. Zřiďte si mailovou schránku tam, kam maily chodí.

Ano, bude lip...

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #19 kdy: 16. 10. 2014, 16:37:17 »
Já to nechápu, denně tam pošlu nějakých 500-3000 mailů a v pohodě. Navíc, na jejich webu čtu :

    Služba je zcela bezúdržbová, bezpečná a dokonale funkční.

Takže asi bude problém jinde....

Dle RFC skutečně není povinné mít reverzní záznam, ale ... stejně tak já mohu stanovit, že maily z domén bez reverzního záznamu prostě přijímat nebudu a přesně to oni udělali a já se jím nedivím, měl by to mít povinně každý, stejně jako striktní kontrolu SPF a DKIM a hned by bylo spamu o 2/3 méně... jinak každý dobytek (podnikatel v marketingu) zajde do KFC/McDonalds, připojí se na tamní wifi, dá hambáč a mezitím odešle spam s 100000 maily.... přesně tohle kontrola reverzního záznamu pohltí a spam pak nedorazí.


j

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #20 kdy: 16. 10. 2014, 16:56:12 »
Problem je na strane odesilatele - nema korektne nastavene DNS zaznamy, nebude mit nastaveny spravne dopredny a reverzni zaznam v DNS, take SMTP banner tomu musi odpovidat. Diky tomu pak z VOLNY a CENTRUM skoro zmizel spam... overte si sve DNS zaznamy, hlavne jestli mate reverzni zaznam a jestli vas SMTP banner tomuto nazvu odpovida a nebudete mit problem. Hosi z virusfree to maji nastaveno spravne, lec ponekud velmi striktne a proto se pak lidi lini studovat RFC divi.

 450 4.7.1 Client host rejected: cannot find your hostname

Presne tohle ti zahlasi normalne nakonfigurovanej srv, pokud mas tenhle problem. Timeout === k serveru se nelze vubec pripojit a nekomunikuje. Tzn, pricina bud v nebezicim MTA nebo natvrdo odstrelene IP firewallem.

take SMTP banner tomu musi odpovidat
Nemusí. Protokol SMTP je definován RFC 2821, ne nějakými pochybnými pravidly, která si vymyslí nějaký správce serveru, když se špatně vyspí.

RFC mluvi o spouste vecech jako "mel by" a je pak na prijemci, jak stim nalozi. Pokud takove nastaveni vyzaduje, je to naprosto koser chovani. Ostatne, funkcni reverz taky nikde neni popsan jako "musi mit", ale vzhledem k trivialite jeho nastaveni je jen otazka neschopnosti admina to nastavit. A spamer si ho pochopitelne nenastavi, neb nema jak.

Jinak ja na svych serverch kontroluju tam a zpet reverz + prelozitelnost helo + greylist + spf. Tohle celkem spolehlive zastreli tak 90+% spamu samo o sobe (pri desitkach tisic prichozich mailu celkem slusny ulehceni dalsim castem jako antivir a antispam). A samo, odstreli to i prasata, co si neumej nakonfigurovat srv ...

McFly

  • *****
  • 590
    • Zobrazit profil
    • E-mail
Re:Postfix a zpoždění na virusfree.cz
« Odpověď #21 kdy: 16. 10. 2014, 17:09:10 »
Takže asi bude problém jinde....
Schválně si projeď log poštovního serveru a budeš nemile překvapený, kolikrát tě servery virusfree.cz zdradily. :-D Asi jako jsem byl překvapený já, který se snaží mít vše nastaveno korektně. A ano, za svůj server dám ruku do ohně. Dal by ji do ohně i někdo z virusfree.cz? To by skončilo nehezkým popálením...  ;D ;D ;D

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #22 kdy: 16. 10. 2014, 17:42:31 »
Navíc, na jejich webu čtu :

    Služba je zcela bezúdržbová, bezpečná a dokonale funkční.

Takže asi bude problém jinde....
Všichni ladí konfigurace, opravují chyby, testují, ukládají data redundantně - a úplně zbytečně. Stačí napsat na web "dokonale funkční", a je to.

Dle RFC skutečně není povinné mít reverzní záznam, ale ...
Tak příště neargumentujte tím, že si má někdo přečíst RFC a někdo jiný se jím řídí, když je to ve skutečnosti přesně opačně.

jinak každý dobytek (podnikatel v marketingu) zajde do KFC/McDonalds, připojí se na tamní wifi, dá hambáč a mezitím odešle spam s 100000 maily.... přesně tohle kontrola reverzního záznamu pohltí a spam pak nedorazí.
Přesně tohle kontrola reverzního záznamu vůbec pohltit nemusí, protože nikde není řečeno, že KFC/McDonalds nemá nastavené reverzní záznamy. Někteří ISP je nastavují automaticky pro všechny své adresy, protože nač řešit žádosti zákazníků o vytvoření reverzního záznamu, když je může zadarmo vytvořit automat pro každého. A pak už stačí řešit jenom ty zákazníky, kteří požadují nějaký konkrétní název v reverzním záznamu.

Někdo

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #23 kdy: 16. 10. 2014, 18:14:11 »
Přesně tohle kontrola reverzního záznamu vůbec pohltit nemusí, protože nikde není řečeno, že KFC/McDonalds nemá nastavené reverzní záznamy. Někteří ISP je nastavují automaticky pro všechny své adresy, protože nač řešit žádosti zákazníků o vytvoření reverzního záznamu, když je může zadarmo vytvořit automat pro každého. A pak už stačí řešit jenom ty zákazníky, kteří požadují nějaký konkrétní název v reverzním záznamu.

KFC/McDonalds a podobní poskytovatelé dnes vždy používají NAT, v lepším případě s blokovaným přístupem na TCP port 25 do internetu, v horším případě se sdílenou adresou na různých blacklistech - to pro spamery kteří chtějí být efektivní není moc přitažlivé.

Boj se spamem je hlavně o statistice, jde o nakombinování takových pravidel které odpudí maximum spamu a minimum legitimních mailů. To, že někteří ISP nastavují automaticky správné reverzní záznamy pro všechny své IP adresy nemohu vyvrátit, ale je to tak řídký jev že je kontrola správnosti reverzního DNS v boji proti spamu velmi účinná (a z pohledu výkonu levná) a proto se velmi často používá - ovšem pouze pro odmítání mailů, správnost reverzního DNS rozhodně neznamená automatické přijetí mailů! Není možno tuto praxi ignorovat. Toto tedy nutí správce kteří chtějí odesílat maily si správný reverzní DNS záznam pro svůj SMTP server pořídit - je to totiž mnohem méně práce než se hádat se správci ostatních SMTP serverů že podle jejich výkladu všech možných RFC reverzní DNS záznamy nejsou třeba tak ať laskavě toto v rámci svého boje proti spamu nevyžadují.

Teoretické výkřiky o tom že reverzní DNS záznamy nejsou pro doručování mailů potřeba jsou naprosto v rozporu s tím jak fungují SMTP servery v dnešním internetu.

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #24 kdy: 16. 10. 2014, 18:52:44 »
KFC/McDonalds a podobní poskytovatelé dnes vždy používají NAT, v lepším případě s blokovaným přístupem na TCP port 25 do internetu, v horším případě se sdílenou adresou na různých blacklistech - to pro spamery kteří chtějí být efektivní není moc přitažlivé.
Což o reverzních DNS záznamech neříká vůbec nic.

Franta <xkucf03/>

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #25 kdy: 16. 10. 2014, 19:20:22 »
jinak každý dobytek (podnikatel v marketingu) zajde do KFC/McDonalds, připojí se na tamní wifi, dá hambáč a mezitím odešle spam s 100000 maily.... přesně tohle kontrola reverzního záznamu pohltí a spam pak nedorazí.

Rozhodně nechci tyhle prasata hájit, ale tohle mi přijde jako zneužití reverzních záznamů a překroucení jejich smyslu. Proč by měly být vyhrazené k tomu, zda daná IP smí nebo nesmí posílat e-maily? Jako ISP (nebo jakýkoli správce sítě) můžu chtít mít v síti pořádek a můžu chtít mít IP adresy přeložitelné na jména. Že dám nějaké IP adrese jméno, neznamená nic víc, než že jsem si ji pojmenoval – neznamená to, že chci nebo nechci, aby odesílala e-maily. Tohle si musím případně ošetřit na firewallu.

Někdo

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #26 kdy: 16. 10. 2014, 19:28:42 »
KFC/McDonalds a podobní poskytovatelé dnes vždy používají NAT, v lepším případě s blokovaným přístupem na TCP port 25 do internetu, v horším případě se sdílenou adresou na různých blacklistech - to pro spamery kteří chtějí být efektivní není moc přitažlivé.
Což o reverzních DNS záznamech neříká vůbec nic.

Vybrat si z příspěvku který má tři odstavce ten jediný odstavec který neobsahuje to co hledáte a ignorovat ty další dva je hodně defektní způsob komunikace!

Někdo

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #27 kdy: 16. 10. 2014, 19:36:39 »
Jako ISP (nebo jakýkoli správce sítě) můžu chtít mít v síti pořádek a můžu chtít mít IP adresy přeložitelné na jména. Že dám nějaké IP adrese jméno, neznamená nic víc, než že jsem si ji pojmenoval – neznamená to, že chci nebo nechci, aby odesílala e-maily.

Viz výše: "To, že někteří ISP nastavují automaticky správné reverzní záznamy pro všechny své IP adresy nemohu vyvrátit, ale je to tak řídký jev že je kontrola správnosti reverzního DNS v boji proti spamu velmi účinná (a z pohledu výkonu levná) a proto se velmi často používá - ovšem pouze pro odmítání mailů, správnost reverzního DNS rozhodně neznamená automatické přijetí mailů!"

Jinými slovy: správné nastavení SMTP serveru pro příjem mailů z internetu je že chybné reverzní DNS klienta je silnou indikací že jde o spam, korektní reverzní DNS klienta ovšem o spamu neříká nic (hodnocení záleží na dalších antispamových pravidlech).

Franta <xkucf03/>

Re:Postfix a zpoždění na virusfree.cz
« Odpověď #28 kdy: 16. 10. 2014, 19:53:56 »
Viz výše: "To, že někteří ISP nastavují automaticky správné reverzní záznamy pro všechny své IP adresy nemohu vyvrátit, ale je to tak řídký jev že je kontrola správnosti reverzního DNS v boji proti spamu velmi účinná.

Nemám konkrétní čísla, ale musím říct, že poslední dobou mě nejvíc trápí spam od zmrdů, kteří si snad pro každou „kampaň“ založí novou doménu (.info nebo .eu), mají správné reverzní záznamy a když se na ně zkusíš připojit ty, naslouchá jim tam SMTP server a někdy mají i správné jméno v EHLO posílané serverem a nezřídka přijímají poštu na adresy ze kterých ten spam odesílají (kdyby chtěl někdo kontrolovat doručitelnost odpovědí).

Ono nastavit si správně tyhle věci není zase tak těžké a když někdo posílá spam ve velkém, tak se mu to vyplatí – nejsou to prostě amatéři, kteří by posílali spam z internetových kaváren nebo nabouraných domácích počítačů.

Společné pro ně je, že ve WHOISu mají něco jako: „Registrant Name:Registration Private“.


Re:Postfix a zpoždění na virusfree.cz
« Odpověď #29 kdy: 16. 10. 2014, 19:55:38 »
Vybrat si z příspěvku který má tři odstavce ten jediný odstavec který neobsahuje to co hledáte a ignorovat ty další dva je hodně defektní způsob komunikace!
Neopakoval jsem kontext celé diskuse, předpokládal jsem, že kdo na to bude reagovat, přečte si předchozí komentáře.
Ostatně vaše tvrzení o NATu bylo tak jako tak nesmyslné, protože ten spamu vůbec nijak nezabrání (naopak může oslabit vaši kontrolu reverzních záznamů, protože kvůli NATu může být za stejnou IP adresou, za jakou je poštovní server - a která má správný reverzní záznam - schovaný i spamující počítač na wifi).
O tom, že si spousta administrátorů ulehčuje práci, a odmítají e-maily z adres, jejichž reverzní DNS záznam se jim nelíbí, samozřejmě vím. Ale to, že to tak někdo dělá, ještě neznamená, že je to funkční řešení, nebo že by to dokonce bylo řešení podle RFC.