LINUX.ORG.RU
ФорумAdmin

Обьясните пожалуста, как такое может быть с почтой

 


0

1

не доходят (практически все) письма с почтового домена irkutskoil.ru, начинаю разбираться.

host -t mx irkutskoil.ru
irkutskoil.ru mail is handled by 5 mx.irkutskoil.ru.
irkutskoil.ru mail is handled by 5 mx10.irkutskoil.ru.

Всего два сервера рулят этой почтой но у меня в логах:

Aug 23 10:19:31 mail postgrey[1352]: action=pass, reason=triplet found, delay=31410, client_name=mail-eopbgr60081.outbound.protection.outlook.com, client_address=40.107.6.81, sender=..........

Попытки прислать почту с левых каких то outbound.protection.outlook.com причем эти ip всегда разные, естественно postgrey не принимает такие письма. Ведут себя как спамеры, занес в белые списки....

Не знаю коллеги как сформулировать вопрос.... это что это и как?

mx это приемные сервера, а отправляющие могут быть иными, что и наблюдаем. Пользуются микрософтовым облаком всего-то.

futurama ★★★★★ ()
Ответ на: комментарий от futurama

mx это приемные сервера, а отправляющие могут быть иными, что и наблюдаем. Пользуются микрософтовым облаком всего-то.

Те это майкрософтовские сервера отправляют? А зачем? Смысл?

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Те это майкрософтовские сервера отправляют? А зачем? Смысл?

Смысл в Office 365. А вот то, что ты рубишь всё не смотря на SPF-политику(которую чуваки проставили верно) - это плохо:

nslookup -type=TXT irkutskoil.ru
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
irkutskoil.ru   text = "globalsign-domain-verification=aVNALwYxWDVYPK6WR3vYQA9uXQS9q2U4LXHV_HQNOy"
irkutskoil.ru   text = "v=spf1 +ip4:195.206.39.148 +ip4:195.239.81.68 include:spf.protection.outlook.com ~all"
irkutskoil.ru   text = "uJOnGPV/ObZMCQ9GfU0T+4A65aV7Q9vF+Iil8Pbt1YvWjjtVIoOQOqbGSa9ONbHFIXqjQXuGrVJhANPWgZpKnA=="
irkutskoil.ru   text = "MS=ms65834572"

Обрати внимание на include:spf.protection.outlook.com

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Смысл в Office 365. А вот то, что ты рубишь всё не смотря на SPF-политику(которую чуваки проставили верно) - это плохо:

Чесно говоря ничего не понял, но пошел курить, что это за политика и как ее не рубить. Спасибо.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Чесно говоря ничего не понял

ты не должен натравливать postgrey на хосты, которые прописаны SPF как валидные.

Ну и еще ты не должен использовать postgrey, она не умеет нормально работать с IPv6

constin ★★★★ ()
Ответ на: комментарий от constin

ты не должен натравливать postgrey на хосты, которые прописаны SPF как валидные.

Это я понял, ищу как это сделать.

Ну и еще ты не должен использовать postgrey, она не умеет нормально работать с IPv6

Ну пока еще Ipv6 не актуальна, а что взмен postgrey когда придет IPv6? Пока списки эфективны на мой взгляд.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

Ну пока еще Ipv6 не актуальна

ну если ты не принимаешь по IPv6, то ок.

что взмен postgrey

сейчас rspamd актуально ( он умеет и грейлистинг тоже)

constin ★★★★ ()
Ответ на: комментарий от constin

сейчас rspamd актуально ( он умеет и грейлистинг тоже)

Спасибо!

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

обнаковенно

$ host -t mx ya.ru
ya.ru mail is handled by 10 mx.yandex.ru.
$ host mx.yandex.ru
mx.yandex.ru has address 77.88.21.89
mx.yandex.ru has address 213.180.193.89
mx.yandex.ru has address 93.158.134.89
mx.yandex.ru has address 213.180.204.89
mx.yandex.ru has address 87.250.250.89
mx.yandex.ru has IPv6 address 2a02:6b8::89
anto215 ★★ ()
Ответ на: комментарий от futurama

Сервис такой типа как gmail.com для бизнеса :-)

Меня тоже честно слово. Задрали: google.com и оутглюкком. С них сыпятся вирусы и спам. Забанить никак . На первом сидят пара узеров нужных. На втором всякие вроде приличные компании типа «Сахалин-2» и прочие газонефтегиганты. У которых «не хватает» денег на свои почтовики. :)

Bootmen ☆☆☆ ()
Ответ на: комментарий от Bootmen

Вот пусть лучше gmail и аутглюк, а то потом приходится добавлять в белый список тех, кому «хватило» денег на почтовики, которые представляются как EXCHANGESRV.company.local

keir ★★ ()
Ответ на: комментарий от alex_sim

ой почта раньше у них чудила

Да я в том смысле, что для официальной почты пользуются сторонними публичными почтовиками.

Bootmen ☆☆☆ ()
Ответ на: комментарий от keir

Вот пусть лучше gmail и аутглюк,

Может быть может быть.. Но, там пасутся стада спамеров и Итешники этих ресурсов рогом не шевелят, чтобы это прекратить.

Bootmen ☆☆☆ ()
Ответ на: комментарий от Bootmen

Я понял, просто навеяло. У них свои почтовики были причем не один, но чудили. Мои переписываются с кем то и вдруг получают ошибку User unknown... Как!?!?! а ну подать сюда админа (меня) я же вот только что..... почтовиков много и на одном есть такой пользователь, а на другом нет. Щупаю конкретный почтовик за вымя... действительно нету такого, на всех есть, а на этом нету.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

но чудили

И сей чудят. И посылал админам чудаков письма указывая на их ошибки. Сей предоставил это узерам. :)

Bootmen ☆☆☆ ()
Ответ на: комментарий от Pinkbyte

Смысл в Office 365

Микрософт, как обычно, очень плохо умеет в сервисы Интернет...

include:spf.protection.outlook.com

Это достаточно бесполезный инклуд. вот, например: ip4:52.100.0.0/14. Я вот игнорирую всё, что крупнее /24 (хотя нет, сделал недавно /23). Ибо нефиг (а то так до /1 можно дойти). В общем, нет у них SPF для меня. Хотя там и есть по /24. Когда туда попадает, им везёт.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

например: ip4:52.100.0.0/14.

Смешно. Это как воевать с бразильскими ботами.

Bootmen ☆☆☆ ()
Ответ на: комментарий от AS

А чем он бесполезный? Или ты думаешь что подсеть слишком крупная для мелкомягких и у них там ничего с почтой связанного нет? Откуда такая уверенность?

Кагбе у них сетки 52.96.0.0/12 и 52.112.0.0/14 в наличии, как минимум

Не, так-то и с mail.ru может спам идти. С валидными SPF и DKIM - просто утекли пароли на пару тыщонок ящиков - дело такое. Ну так рубить надо позже, по телу письма или по заголовкам. А не connection хреначить на подлете - так-то оно конечно вернее и надежнее, вопросов ноль. Ровно до того момента когда кому-нибудь важная почта не придет.

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Bootmen

У которых «не хватает» денег на свои почтовики. :)

После спама с адресов Российской Академии Наук, у которой на тот момент был свой почтовик(но видимо своего админа не завезли) я убедился, что наличие собственного почтовика - тоже не панацея. Вообще если информационной системой никто не занимается, то абсолютно пофиг где при этом будет бардак - в чьем-то облаке или на собственных серверах компании.

Разве что другим людям сложнее забанить облачные сервисы, нежели отдельные standalone-сервера...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Кагбе у них сетки 52.96.0.0/12 и 52.112.0.0/14 в наличии, как минимум

И там везде почтовые сервера? И не может быть какого-то плохо контролируемого/забытого хлама?

А не connection хреначить на подлете

Отсутствие SPF - это не повод рубить, это повод учинить дополнительные проверки. Которые MS тоже не особо проходит из-за маразматического наименования релеев. Вот, например:

helo=EUR02-VE1-obe.outbound.protection.outlook.com client_addr=52.101.133.14

Это что вот такое в helo?
host EUR02-VE1-obe.outbound.protection.outlook.com
EUR02-VE1-obe.outbound.protection.outlook.com has address 213.199.154.47
EUR02-VE1-obe.outbound.protection.outlook.com has IPv6 address 2a01:111:f400:7e06::200

Это FQDN хоста 52.101.133.14 что ли? Ну да, там, вроде как, в RFC (номер не помню) написано, что проблема с резолвингом значения helo не должна быть поводом для неприёма сообщения, но это ещё один повод закрутить гайки на дальнейших проверках.

В общем, использовать это микросовтовское говно никому не советую.

AS ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Обрати внимание на include:spf.protection.outlook.com

Нда... обратил :)

 nslookup -type=TXT spf.protection.outlook.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
spf.protection.outlook.com      text = "v=spf1 ip4:207.46.100.0/24 ip4:207.46.163.0/24 ip4:65.55.169.0/24 ip4:157.56.110.0/23 ip4:157.55.234.0/24 ip4:213.199.154.0/24 ip4:213.199.180.128/26 ip4:52.100.0.0/14 include:spfa.protection.outlook.com -all"

Итить! скока сеток то! И еще один Инклюде

spfa.protection.outlook.com     text = "v=spf1 ip4:157.56.112.0/24 ip4:207.46.51.64/26 ip4:64.4.22.64/26 ip4:40.92.0.0/15 ip4:40.107.0.0/16 ip4:134.170.140.0/24 include:spfb.protection.outlook.com ip6:2001:489a:2202::/48 -all"

А там еще море... от кого я обязан принимать.... и опять Инклюде а там наверно еще....ну видимо за ради Офиса 365 надо отключать postgrey тем более, что для моей старенькой Федорушки еще нету средств SPF.

alex_sim ★★★ ()
Ответ на: комментарий от alex_sim

что для моей старенькой Федорушки еще нету средств SPF.

Собери себе mailfromd, там можно гибко настроить, для кого что и как проверять. И SPF там есть, и грейлистинг.

AS ★★★★★ ()
Ответ на: комментарий от AS

Собери себе mailfromd, там можно гибко настроить, для кого что и как проверять. И SPF там есть, и грейлистинг.

Спасибо сейчас загуглю

alex_sim ★★★ ()
Ответ на: комментарий от AS

А кто гарантирует что там балансировщик не стоит? Куда-то резолвить по-любому helo надо, иначе найдутся умники, которые отрежут по unknown_helo_hostname(надо ли так делать - вопрос дискуссионный. Я бы тоже порезал, если б это не было б настолько чревато недоставками писем)

А вообще, не зная как организована сеть, я бы зарекся делать скоропалительные выводы на тему того что кто-то идиот(пусть я и недолюбливаю мелкомягких).

Pinkbyte ★★★★★ ()
Последнее исправление: Pinkbyte (всего исправлений: 1)
Ответ на: комментарий от Pinkbyte

А кто гарантирует что там балансировщик не стоит?

А кого это интересует? https://www.rfc-editor.org/rfc/rfc5321.txt

The domain name given in the EHLO command MUST be either a primary host name (a domain name that resolves to an address RR) or, if the host has no name, an address literal, as described in Section 4.1.3 and discussed further in the EHLO discussion of Section 4.1.4.

MUST даже, не should.

Куда-то резолвить по-любому helo надо, иначе найдутся умники, которые отрежут по unknown_helo_hostname

https://tools.ietf.org/html/rfc1123#page-50

The HELO receiver MAY verify that the HELO parameter really corresponds to the IP address of the sender. However, the receiver MUST NOT refuse to accept a message, even if the sender's HELO command fails verification.

Но тут нет ничего про запрещение сравнить наоборот RR клиента с его helo.

А вообще, не зная как организована сеть, я бы зарекся делать скоропалительные выводы на тему того что кто-то идиот

Того, что я привёл в пример, уже достаточно. Но, на самом деле, это ещё не всё. Они боунсы слать умеют, приняв левое сообщение. При этом принимают, наклав на -all в SPF даже.

AS ★★★★★ ()
Ответ на: комментарий от AS

Они боунсы слать умеют, приняв левое сообщение.

То есть, вместо того, чтобы не принять сразу и оставить боунс на откуп отправителя.

AS ★★★★★ ()
Ответ на: комментарий от AS

При этом принимают, наклав на -all в SPF даже.

Вот такие люди бесят! Если кто-то поставил -all, он точно уверен что письма не попадающие под SPF-политику должны дропаться на подлете. А еще бесят люди, отрезающие ЛЮБЫЕ сообщения наглухо при ~all. Докидывай скора в спам - да без базару, но отрезать наглухо, ну такое...

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.