Postfix greylist IPv6 by subnet

А как ты маску определяешь, которую разрешать? От балды?

А как ты маску определяешь, которую разрешать? От балды?

для IPv4 /24

для IPv6 я бы оставлял первых три блока. Потому что вот два smtp сервера гугла , например

mail-it0-x234.google.com[2607:f8b0:4001:c0b::234]
mail-io0-x22a.google.com[2607:f8b0:4001:c06::22a]

А ничего что на этих пулах могут быть спамеры? Кто вообще гарантирует что целая /24 или там /48 в IPv6, где находится почтовый сервер - это серверный и доверенный сегмент? Может там /29 и /112, например...

По теме - хотелка у тебя специфическая, так что очевидно что придется брать какой-то имеющийся грейлистер с поддержкой ipv6 и допиливать ему чтобы он проверял правила по маске

А ничего что на этих пулах могут быть спамеры?

это мои проблемы. в грейлистилках этот функционал(для ipv4) обычно как опция.

если его не использовать, то задержки могут достигать нескольких часов, что уже критично. на счет допиливать я и сам напишу этот функционал, если не найду рабочего. просто форкну какой-нибудь postfix-gld.

я написал, что это мои проблемы(с тем, что в этом диапазоне могут быть спамеры), потому что прохождение грейлиста не дает права отправки письма, за ним же идут остальные проверки. Плюс сейчас очень много спама идет от взломанных серверов, где все чисто и хорошо. Те грейлистинг я использую , чтобы немного разгрузить сервер, отсекая самые идиотские ботнеты. И я не хочу задержку в два часа из-за того, что, например, у гугля миллион smtp серверов.

milter-greylist

нит в конфигах , ни в документации нет никакого намека на работу с масками.

man milter-greylist

       -M prefixlen
              Use prefixlen as a matching mask when  checking  IPv6  addresses
              entries  in  the greylist. This is aimed as a workaround to mail
              farms that re-emit messages from different IP addresses. With -M
              64,   the   matching  mask  is  ffff:ffff:ffff:ffff::,  and  all
              addresses within  the  same  subnet  are  considered  the  same.
              Default  is -M 128, which corresponds to all IPv6 addresses con‐
              sidered different.

also

geoipv6db statement can be used to specify the location of GeoIPv6 database.

продукт полностью v6 ready

ок,значит не доглядел, спасибо. сейчас протестирую.

печально. она работает как milter (удивительно)

те ее не впихнуть в smtpd_restriction_classes, а у меня юзер сам может выбирать надо оно ему или не очень.

полет отличный, особо понравилось, что она умеет чекать SPF и пропускать грейлист, если с SPF все ок

Вещь хорошая, оч много умеет, я даже комитил в нее. Редкий качественный продукт. Но все равно ушел на exim.

Можно ли чекать блэклист базы данных , до того, как оно проверяет SPF?

Вот пример, прошел коннект, айпишник в блэклистах, но оно увидело , что есть SPF и пропустило дальше

Решение проверять блэклист самим postfix'ом, но ведь этот milter вроде как гибкая штука

Sender IP 63.246.154.254 and address <guidofcmnqkx@bahmanjalili.com> are SPF-compliant, bypassing greylist

так же проблема с SPF ~all, подавляющее число идиотов ставит эту тильду, что соответственно приводит к тому, что любой IP считается прошедшим SPF. Я бы хотел читать этот параметр всегда как -all

А не, с софттейлом все ок, result = SPF_S_FAIL

case MGSPF_SOFTFAIL:
		result = (p->RES == SPF_S_FAIL);
		break;

ну да, еще раз перепроверил, создал тестовый лист, куда запизхнул айпишник тестового mail сервера.

прописал alc , что этот лист мы блочим и нифига are SPF-compliant, bypassing greylist, срали мы на ACL

Несколько часов? Да вы там упоролись, чтоли? 5 минут и всё.

Несколько часов? Да вы там упоролись, чтоли? 5 минут и всё.

Вот тебе пример, у гугля допустим 50 smtp серверов

первый коннект с 4.4.4.4. - грейлистим

прошло 5 минут

второй коннект 4.4.4.5. - о, новый айпи , грейтистим

прошло 5 минут

третий коннект с 4.4.4.6 - о, новый айпи - грейлистим

и так далее

Прошло несколько часов

гугль СЛУЧАЙНО делает опять коннект с 4.4.4.4, о, типа повтор, пропускаем!

Ахахахахах. На семом деле, там не всё плохо. smtp для одного и того же письма как раз один используется.

smtp для одного и того же письма как раз один используется.

нет.

Посмотри логи почтовика. Коннект с другого IP - это редкое явление, на самом деле, и ни о каких часах в обычном случае речи не идёт.

Посмотри логи почтовика.

я этим занимаюсь каждый день , примерно на 10 почтовых серверах разных компаний.

Вот тебе пример прям только что ( отправитель получатель совпадают, это мое тестовое письмо, посланное с gmail):

Apr 12 10:10:24 mail postfix/smtpd[10452]: connect from mail-lf0-x231.google.com[2a00:1450:4010:c07::231]

Apr 12 10:17:19 mail postfix/smtpd[10670]: connect from mail-lf0-x22f.google.com[2a00:1450:4010:c07::22f]

с IPv4 та же история

nospf

Отключает пропускание по дефолту. Далее просто пишем в асл в нужеом аорядке нужные spf условия.

Те если к нам постучался сервак с 30.30.30.1 , а потом постучался сервак c 30.30.30.2. ( с тем же отправителем и получателем), то

это спамер

это спамер

это не спамер, так делают крупные почтовики. все. потому что у них большой поток и много smtp

Далее просто пишем в асл в нужеом аорядке нужные spf условия.

уже отключил, можешь показать пример ACL c spf или ткнуть меня носом в документацию, где это описано? не могу найти

100% все системы уровня гугла мейлру яндекс и прочие аутлуки давно уже одно и то же письмо повторяют с одного ип. Те времена давно канули в лето.

100% все системы уровня гугла мейлру яндекс и прочие аутлуки давно уже одно и то же письмо повторяют с одного ип. Те времена давно канули в лето.

я же кинул чуть выше сегодняшний пример

Человек перепослал письмо руками...

Человек перепослал письмо руками...

этот человек я и я не перепосылал письмо. это тестовое письмо, чтобы подтвердить свои слова.

не ну без шуток,я знаю , о чем говорю.

коннекты с разных айпи это повседневная хрень. Банки, авиa-компании, службы доставки и прочие более-менее крупные контрагенты имеют большое количество smtp.

А вот, нашел пример

racl blacklist spf fail msg \
"SPF verification failure: sender host '%d'[%i] not among
explicitly allowed origin hosts for domain '%sf', and misses are
forbidden; REJECT"

сделал вот так:

racl blacklist dnsrbl "BL_BARRACUDA"  msg "Sender IP caught BL_BARRACUDA blacklist"
racl blacklist dnsrbl "SORBS DUN"  msg "Sender IP caughtSORBS  blacklist"
racl blacklist spf fail msg \
"SPF verification failure: sender host '%d'[%i] not among
explicitly allowed origin hosts for domain '%sf', and misses are
forbidden; REJECT"
racl greylist spf softfail delay 5m autowhite 3d
racl whitelist spf pass 
racl greylist default delay 5m autowhite 3d

Они должны понимать, что их почта плохо доставляется на мелкие неопытные кривопочты с грейлистом по дефолту. Мне казалось гуглы давно ретрают с того же ип. Мож тока в ипв6 так осталось

это не спамер, так делают крупные почтовики. все. потому что у них большой поток и много smtp

Не потому что писем много, а потому что ты сам их с первого раза не принимаешь. Ты сам провоцируешь такое их поведение своим грейсом. Брось бяку, от грейса нет толка уже лет 10 как.

вот мое колдунство, я фильтровал тока в data stage

racl whitelist default maxpeek 104857600 nolog
spamdsock inet "127.0.0.1:783"
dacl whitelist list "my network" maxpeek 104857600
dacl whitelist list "broken mta" maxpeek 104857600
dacl whitelist list "white users" rcptcount < 2 maxpeek 104857600
dacl whitelist auth /.*/ maxpeek 104857600
dacl blacklist list "fishing from" not spf pass flushaddr code "421" ecode "4.7.0" msg "blablabla" maxpeek 104857600
dacl whitelist msgsize >= 20M maxpeek 104857600
# good domains vs spf pass
dacl whitelist list "good domains" spf pass maxpeek 104857600
# ratelimit spam
ratelimit "spam hosts" rcpt 25 / 3h
dacl blacklist spamd > 5 ratelimit "spam hosts" flushaddr code "421" ecode "4.7.0" msg "blablabla" maxpeek 104857600
# open spf: +all
dacl greylist spf self spamd > 10 delay 30m maxpeek 104857600
dacl greylist spf self spamd > 5 delay 3m maxpeek 104857600
dacl greylist spamd > 10 delay 30m maxpeek 104857600
dacl whitelist spf pass dkim pass maxpeek 104857600
dacl greylist spamd > 5 delay 3m maxpeek 104857600
maxpeek 104857600
report delays
logfac local6
# retry window
timeout 2d
autowhite 3d

Понимаешь, меня это удивляет. Я админю тоже не один десяток серверов. Но в любом случае, объясни грейлистилке, что не надо серваки удалять из БД. Как минимум, задержка окажется одноразовой.

Но в любом случае, объясни грейлистилке, что не надо серваки удалять из БД. Как минимум, задержка окажется одноразовой.

так не было у меня проблем с задержкой до IPv6, потому что я заносил сетками /24 и все хорошо.

P.S. Согласен, что грейлист почти не работает сейчас. Ботнеты научились досылать письма. Надо, кстати, пропарсить, какой процент отгреслистинных коннектов не досылался. Если он меньше 2%, то можно грейлистинг убирать.

На моих - 92% отсеивается.

я грейлистю по результату спамассасина и рейтлимичу этот результат. Получается эффект, когда впс спам накапливается в ретрае их екзима и при некотором значении ретраев этот впс застревает в рейтлимите. вот такой фокус. Т.е. 1-2-3 письма с ретраями проходят, но при более интесивной рассылке, эта впс выпадает. Это позволяет не тормозить ложные срабатывания, т.к. их рейт меньше.

Нельзя фильтровать только по spf. Есть честные редиректы, с честным дмарком и подписью домена отправителя.

например, мейлру реджектит по спф, только если нет дмарка. Для корпоративной почты, я считаю даже такое черезчур. Корпоративный уровень очень чувствителен к ложным срабатываниям. Лучше пропустить 1000 писем и пометить SPAM, чем отрезать 1 хорошее письмо.

Нельзя фильтровать только по spf.

А где я фильтрую только по SPF?

Единственный 100% реджект по SPF будет, когда SPF прописан STRONG с -all и IP не вписывается в разрешенный.Те люди специально прям прописали, что не разрешают никаким сервера отправлять почту, кроме тех, что прописаны. Почему я должен игнорировать их требования? Softail или другие варианты кроме strong PASS же просто падают в грейлист.

А вот с DKIM у milter-greylist я пока не разобрался. Она там плачет.

Но это все равно пока на тестовой площадке крутится.