LINUX.ORG.RU
решено ФорумAdmin

Свой почтовый сервер. Некоторые спамфильтры нас не пропускают.

 ,


5

5

После того, как яндекс изъявил желание стать платным для корп клиентов, с нашей стороны было изъявлено желание развернуть свой почтовый сервер. Что сопсна на новогодних и было сделано. ПО - postfix+dovecot. Из web-интерфейса старый-добрый кубик (RoundCube) на nginx v.1.18, php v.7.4.33.
Результат проверки mail-tester показывает 10/10. Helocheck говорит что host mail.abuseat.org[54.93.50.35] said: 550 *** The HELO for IP address (IP нашего почтовика) was ‘mail.наш.домен’ (valid syntax) *** (in reply to RCPT TO command).
Все письма доставляются всем, за исключением:

  1. gmail, туда они попадают в спам, но доходят
  2. Почтовый сервер, где «прикручен» antispam.lotte.net, который возвращает 554 refused to talk to me.
  3. И почтовый сервер, у которого антиспам spamhaus. Там ребята выкладывают лог, что значение HELO нифига не наше, а вообще какие-то левые, буржуйские домены. Либо предлагают закрыть 25 порт, но тогда входящая почта встаёт колом.

В логах почта ходит нормально и ничего подозрительного нет. Единственное что основной наш домен, на котором крутится сайт example.com на IP 11.11.11.11, а почтовый сервер mail.example.com на IP 22.22.22.22, но соответствующая запись example.com MX на mail.example.com сделана.
Конфиг postfix’a
Конфиг Dovecot’a
iptables вдруг пригодится
Я не совсем понимаю куда ещё посмотреть. Где и что не так работает.


А кому пришла идея использовать собственный почтовый сервер при ОТСУТСТВИИ в штате вашей организации postmaster-a ?

Поднять по гайдам из интернета postfix+dovecot+sieve+spamassassin+clamAV это конечно легко, а вот как дальше работать чтобы рассылки доходили до адресата могут не только лишь все.

mail-tester это конечно хорошо, но отнюдь не всё.

SSLVersion:	TLSv1_3
SSLCipher:	TLS_AES_256_GCM_SHA384
ClientCert:	n/a
SNI:	n/a
SPF_mfrom.Record:	v=spf1 ip4:185.248.102.34 -all
SPF_mfrom:	pass: local="suffix.ru: 185.248.102.34 is authorized to use 'suffix.ru' in 'mfrom' identity (mechanism 'ip4:185.248.102.34' matched)"
SPF_helo.Record:	v=spf1 ip4:185.248.102.34 -all
SPF_helo:	pass: local="mail.suffix.ru: 185.248.102.34 is authorized to use 'mail.suffix.ru' in 'helo' identity (mechanism 'ip4:185.248.102.34' matched)"
DKIM:	pass: signature="@suffix.ru" result="pass"
DKIM_policy.sender:	"o=-; r=postmaster@suffix.ru", location="suffix.ru", result="accept"
DKIM_policy.author:	"o=-; r=postmaster@suffix.ru", location="suffix.ru", result="accept"
DKIM_policy.ADSP:	"dkim=discardable", location="suffix.ru", result="accept"
DMARC_result:	pass
DMARC_disposition:	none
DMARC_dkim:	pass
DMARC_dkim_align:	strict
DMARC_spf:	pass
DMARC_spf_align:	strict
DMARC_published.v:	DMARC1
DMARC_published.p:	reject
DMARC_published.sp:	reject
DMARC_published.adkim:	s
DMARC_published.aspf:	s
DMARC_published.rua:	mailto:suffix@suffix.ru
DMARC_published.ruf:	mailto:suffix@suffix.ru



CheckTLS ConfidenceFactor for "suffix.ru": 121 of 121 (100%)
MX Server 	Pref 	Answer 	Connect 	HELO 	TLS 	Cert 	Secure 	From 	MTASTS 	DANE 	Score
mail.suffix.ru 	OK
(119ms) 	OK
(704ms) 	OK
(119ms) 	OK
(121ms) 	OK
(1,165ms) 	OK
(122ms) 	OK
(120ms) 	OK 	
	                     100% 	100% 	100% 	100% 	100% 	100% 	100% 	100% 	100% 	121


Ну и плюс:

https://www.immuniweb.com/ssl/mail.suffix.ru/2zC2VSPt/

По первому вопросу - для Gmail архиполезно настроить MTA-STS - очень помогает попадать во «Входящие».

suffix ★★
()

А что, spamhaus стал вменяемый ?

Те, что его используют сознательно не хотят принимать почту :)

vel ★★★★★
()
Ответ на: комментарий от KivApple

А Вы писатель, а не читатель ?

В своём стартовом посте этого топика его автор пишет:

Результат проверки mail-tester показывает 10/10

Значит всяко Reverse DNS, DKIM, SPF есть.

suffix ★★
()
DMARC_result:	pass
DMARC_disposition:	none
DMARC_dkim:	pass
DMARC_dkim_align:	strict
DMARC_spf:	pass
DMARC_spf_align:	strict
DMARC_published.v:	DMARC1
DMARC_published.p:	reject
DMARC_published.sp:	reject
DMARC_published.adkim:	s
DMARC_published.aspf:	s
DMARC_published.rua:	mailto:suffix@suffix.ru
DMARC_published.ruf:	mailto:suffix@suffix.ru

Для начала можно выставить p=none (чтобы отчёты приходили) и fo=1 (чтобы проверки и DKIM и SPF генерировали отчёты).

UPD: Ну, sp=none тоже не помешает.

dsl
()
Последнее исправление: dsl (всего исправлений: 1)

значение HELO нифига не наше, а вообще какие-то левые, буржуйские домены. Либо предлагают закрыть 25 порт

HELO не ваш, а src ip ваш? Если src ip не ваш, то чем поможет закрытие 25 у вас?

Если SPF в строгом режиме (-all), то какая разница кто с каким HELO куда приходит?

slowpony ★★★★★
()

Конфиг Dovecot’a
iptables вдруг пригодится

Если не принимают на той стороне, это вот точно не пригодится.

AS ★★★★★
()
Ответ на: комментарий от dsl

У меня слава богу всё в порядке - и это тест моего почтового сервера :)

Я показал автору вопроса как и что должно быть на примере своего сервера.

Так что советуйте автору темы а не мне :)

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 1)

Я не совсем понимаю куда ещё посмотреть. Где и что не так работает.

По 1 и 2 надо причины посмотреть на той стороне. А 3 - это само по себе интересно. Что значит «значение HELO нифига не наше»? Это сам Постфикс от балды подставляет? В логе про эти сообщения что-то есть? Закрадывается подозрение, что этот сервер ещё и шлюз с NAT, и сообщения мимо Постфикса идут. Это так?

AS ★★★★★
()
Ответ на: комментарий от suffix

А, понял, извиняюсь :) Думал это вывод по серверу из вопроса.

Так что советуйте автору темы а не мне :)

Вот это и хотел!

dsl
()
Ответ на: комментарий от KivApple

Если бы этого не было, то mail-tester уже давно забраковал домен

Shprot
() автор топика
Ответ на: комментарий от suffix

В последний раз разворачивал почтовый сервер лет 5 тому назад и сегодня впервые узнал про MTA-STS. Благодарю. Походу сегодня придётся освежать знания в области мать части и применять на практике.

Shprot
() автор топика
Ответ на: комментарий от dsl

v=DMARC1;p=none;sp=none;adkim=r;aspf=r;pct=100;fo=0;rf=afrf;ri=86400;rua=mailto:postmaster@наш.домен
DMARC у меня ничего не режет, а fo в нуле по дефолту. Рекомендуете единичку поставить?

Shprot
() автор топика
Ответ на: комментарий от vel

Манагерам-продажникам на работе это не объяснишь. Они задают вопрос: - «Почему приходят отбойник?».

Shprot
() автор топика
Ответ на: комментарий от Shprot

Ну если spamhaus, то только искать чистый айпишник.

Anoxemian ★★★★★
()

Большие почтовики помимо проверки статичных полей используют различные эвристики для определения спама.
Поэтому тут нет универсального идеального ответа «настрой X, Y, Z и всё всегда будет хорошо».
Иногда надо будет переписываться с суппортом, чтоб тебя разблокировали, заполнять всякие формы и итд итп

zolden ★★★★★
()
Ответ на: комментарий от zolden

Переписка с сапортом идёт, я им доказываю что мы кросссафффчики, всё у нас настроено и только они нас блочат. Сапорт нам скидывает какие-то левые HELO и говорят что мы не совсем кросссафффчики. И нам стоит проверить ПО на предмет майлваря, вируса и т.п. Ну на рабочих местах вЕнда, KRD я несколько компов просканил. Всё чисто. В логах (повторюсь) nginx, postfix, dovecot, mail.log ничего подозрительного нет!

Выхлоп с mail-tester
X-Spam-Last-External-IP: ip моего почтового сервера
X-Spam-Last-External-HELO: mail.почтовый.сервер
X-Spam-Last-External-rDNS: mail.почтовый.сервер
X-Spam-Date-of-Scan: Tue, 17 Jan 2023 07:33:57 +0100

Хз что ещё можно предположить…

Shprot
() автор топика
Ответ на: комментарий от Shprot

Сапорт нам скидывает какие-то левые HELO и говорят что мы не совсем кросссафффчики.

Я чуть раньше наводящий вопрос задавал. Почтовый сервер - это только почтовый сервер, или из него ещё и шлюз с NAT сделали для работы офиса?

А, ну и tcpdump поможет вообще в любом случае, если что.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)

По диагонали пролистал, может уже спрашивали: PTR, случаем, не забыли вписать?

thesis ★★★★★
()
Ответ на: комментарий от AS

Оу, прошу прощения, пропустил. Почтовый сервер - это просто почтовый сервер. Он располагается в локальной сети предприятия. У него адрес (пример) 192.168.1.200. Шлюз с NAT - это у нас микротик. На нём проброшены почтовые порты на адрес 192.168.1.200. То есть почта приходит на mail.example.com - наш белый IP и маршрутится на 192.168.1.200. Ну и сама почта уходит с нашего белого IP. У провайдера rDNS прописана.

Shprot
() автор топика
Ответ на: комментарий от thesis

Это одно из первых, что было сделано

Shprot
() автор топика
Ответ на: комментарий от Shprot

У него адрес (пример) 192.168.1.200. Шлюз с NAT - это у нас микротик. На нём проброшены почтовые порты на адрес 192.168.1.200. То есть почта приходит на mail.example.com - наш белый IP

Ага. То есть внешний IP на Микротике, с него проброс на почтовик и через него же ходит народ в сеть. Так? Тогда это то, что я и имел ввиду, только в ином виде. Значит у юзеров зараза, они и шлют этот спам с левыми helo. А выглядит как будто почтовик, раз IP один и тот же.

Правильный путь, конечно, заразу отловить, но можно и на Микротике закрыть исходящий трафик по 25 порту, кроме как с почтовика. И 587 тоже, хотя его зараза вроде не использует.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от AS

закрыть исходящий трафик по 25 порту, кроме как с почтовика. И 587 тоже, хотя его зараза вроде не использует.

А можно редирект на почтовик, тогда IP компьютера с заразой в заголовок попадёт и в примере на спамхаусе видно будет. Да и в логе тоже.

AS ★★★★★
()
Ответ на: комментарий от Shprot

В случае отладки p=none;sp=none;fo=1 пойдёт чтобы получить отчёт в случае ошибки DKIM или SPF. При fo=0 отчёт должен приходить только если DKIM и SPF провалились.

dsl
()

Значит не я один новогодние пропустил)))

У мну тоже сайт отдельно, почта отдельно вместе с другим доменом. Все ходит, на гугл тоже.

По 1. нужно идти в спам и смотреть что с сообщением не так. Там же все ошибки написаны, spf1 не прошел или еще чего… И тогда уже думать.

Harvester
()

Надо платить почтовой мафии. Так просто откосить от мзды не выйдет.

vbr ★★★★
()

Если настроены всё DKIM, SPF, DMARC, то пиши в ТП или жди пока прочие пользователи пометят письма как не спам.

При смене IP адресов, с которых отправлялась почта сообщения с такого почтового сервера могут временно попадать в спам.

Конфиги не смотрел.

kostik87 ★★★★★
()
Ответ на: комментарий от vbr

Надо платить почтовой мафии. Так просто откосить от мзды не выйдет.

Чушь. Надо просто, во-первых, вести себя гарантированно прилично, во-вторых не уступать. Но это если ты гарантию дашь, что ведёшь себя прилично. А не эта вот параллельная рассылка. :-)

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от AS

Можно сколько угодно вести себя прилично, но тот же GMail банит сразу подсетями, и если кто-то из соседей пошалил, то платить придётся всем соседям тоже.

emorozov
()
Ответ на: комментарий от AS

У меня мысль появилась вынести вообще почтовый сервер в DMZ на отдельный порт тика. Предполагаю что это должно решить проблему.

Shprot
() автор топика
Ответ на: комментарий от kostik87

Я же выложил конфиги. Если чего не хватает, скажи, доложу…

Shprot
() автор топика
Ответ на: комментарий от Shprot

У меня мысль появилась вынести вообще почтовый сервер в DMZ на отдельный порт тика. Предполагаю что это должно решить проблему.

Это с чего бы должно решить, если у сервера с пользователями внешний IP общий останется? А спаммера в своей сети ты найди в любом случае. Он там есть, и это плохо.

AS ★★★★★
()

Советую еще проверить репутацию IP-шника в публичных блеклистах по типу такого.

iron ★★★★★
()
Ответ на: комментарий от Shprot

Тогда это глюк спам-алгоритма гугла, или он чего-то недоговаривает и лучше спросить у него. Они и не обязан выкладывать все, чтобы никто не догадался.

Отключить все накрутки, неизвестно что они отвечают гуглу. Хотя, известно «HELO нифига не наше» а что там еще не ваше будет на запрос гугла…? Как было в одной доке: сначала добиваемся работы чисто dovecot, потом прикручиваем postfix, антиспам и тд…

Да, и что там еще на этом IP сидит?

Harvester
()
Ответ на: комментарий от AS

+1 И дополню, правило которому очень много лет, нельзя вешать на один ip и почтарь и через него выпускать пользаков.

anc ★★★★★
()

В общем проблема решена благодаря совету @anc
Повесили почтовик на отдельный IP и spamhaus прекратил бросать кал в наше доменное имя…=)

Shprot
() автор топика
Ответ на: комментарий от suffix

@suffix Дошли руки ознакомиться и применить на практике предложенную тобой политику MTA-STS и появился вопрос. У меня есть действующие, щедро подогнанные одним из регистратором доменов за «просто так» сертификаты от GlobalSign, но там нет вайлдкарда на mta-sts.мой.домен. Я могу для почтовика юзать серты от GlobalSign, а для политики MTA-STS выпустить от Let’s Encrypt…?

Shprot
() автор топика
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.