LINUX.ORG.RU
ФорумAdmin

Received-SPF: softfail


0

1

Не могу понять, почему не работает SPF. Почта посылается с моего сервера на ящик gmail.com. Вот запись SPF в DNS

_SPF 14400 IN TXT "v=spf1 ip4:82.97.229.44"
volmed.org.ru.	 14400 	IN 	TXT 	"v=spf1 include:_SPF.volmed.org.ru ~all"
82.97.229.44 - это мой IP В письме вылезает такая ошибка
Received-SPF: softfail (google.com: domain of transitioning misha@volmed.org.ru does not designate 217.150.62.193 as permitted sender) client-ip=217.150.62.193;
Authentication-Results: mx.google.com;
       spf=softfail (google.com: domain of transitioning misha@volmed.org.ru does not designate 217.150.62.193 as permitted sender) smtp.mail=misha@volmed.org.ru;
       dkim=pass header.i=@volmed.org.ru
Откуда берется ip 217.150.62.193 - вообще не понятно.


217.150.62.193 это финальный доставлятор почты. его и надо в SPF прописать. Что такое 82.97.229.44, непонятно, в любом случае, все промежуточные хосты в проверке SPF не участвуют (уж не диалапный ли это твой IP).

Bers666 ★★★★★
()
Ответ на: комментарий от Bers666

Спасибо, добавил 217.150.62.193 и все заработало.

_SPF 14400 IN TXT "v=spf1 ip4:82.97.229.44 ip4:217.150.62.193"
volmed.org.ru.	 14400 	IN 	TXT 	"v=spf1 include:_SPF.volmed.org.ru ~all"
И код из письма.
Received-SPF: pass (google.com: domain of misha@volmed.org.ru designates 217.150.62.193 as permitted sender) client-ip=217.150.62.193;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of misha@volmed.org.ru designates 217.150.62.193 as permitted sender) smtp.mail=misha@volmed.org.ru;
       dkim=pass header.i=@volmed.org.ru

mnk
() автор топика
Ответ на: комментарий от router

А как она должна идти? Это транстелекомовский сервер. По моему нормально. Или объясните, как правильно настроить.

mnk
() автор топика
Ответ на: комментарий от blind_oracle

Постфикс так и настроен, что почта идет от моего сервера к серверу получателя. Кто ж мне даст транстелекомовский сервер для релея использовать.
А SPF - это настройка DNS.
Пробовал я прописывать свой сервер - так не работает же. Смотри 1 пост. И ответ на него.

mnk
() автор топика
Ответ на: комментарий от mnk

Так, ты давай разберись как работает почта.

Твой сервер с IP адресом IP1 подключается к серверу gmail и пытается сунуть ему почту. Сервер гугля смотрит в днс в spf запись и считывает список адресов-сетей, которым разрешено отправлять почту от имени этого домена. Если IP1 среди них нет, то он идет лесом.

Так вот в твоем случае с гуглем соединяется не твой IP, а какой-то левый. Почему так - это уже тебе виднее, релей, нат или что-то еще.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Логика в Вашем сообщении конечно есть.
Но тогда, где собака зарыта. Вообще очень странно.
В Postfix main.cf

relayhost=
Как то считал, что в данном случае почта посылается прямо в инет. Никаких нат на почту у меня нет. Почтовый сервер смотрит в инет. Что тогда надо поправить?

mnk
() автор топика
Ответ на: комментарий от blind_oracle

Вот main.cf. Если нужно еще что - пиши.

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib64/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
myhostname = volmed.org.ru
#### dkim
disable_mime_output_conversion=yes
######
smtp_bind_address = 82.97.229.44


# See also below, section "REJECTING MAIL FOR UNKNOWN LOCAL USERS".
#
unknown_local_recipient_reject_code = 550

myorigin = volmed.org.ru
mydestination = $myhostname, $myorigin,  localhost.$mydomain, localhost, $mydomain
#Максимально допустимый размер вложения 20Мб
message_size_limit = 20971520
mynetworks = 127.0.0.0/8, 
    172.16.130.0/24, 
    172.16.131.0/24, 
    172.16.137.0/24, 
    172.16.132.0/24,
    192.168.200.0/24
    
relay_domains = $mydestination

relayhost =  

disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes

smtpd_helo_restrictions =
    permit_mynetworks,
    reject_invalid_hostname,
    check_helo_access hash:/etc/postfix/helo_access,
    check_helo_access regexp:/etc/postfix/helo_regexp,
    reject_non_fqdn_hostname,
    reject_unknown_hostname,
    permit
# ограничения, проверяемые на этапе MAIL FROM:
smtpd_sender_restrictions =
    permit_mynetworks,
    check_sender_access  hash:/etc/postfix/whitelist,
    permit_sasl_authenticated,
    regexp:/etc/postfix/sender_access,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    check_sender_access mysql:/etc/postfix/sql/access.cf,
    permit

# ограничения, проверяемые на этапе RCPT TO:
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_pipelining,
    reject_non_fqdn_recipient,
    reject_unknown_recipient_domain,
    regexp:/etc/postfix/recipient_access,
    reject_unauth_destination,
    check_policy_service unix:private/policy,
    permit

smtpd_client_restrictions =
    permit_mynetworks,
    check_client_access hash:/etc/postfix/access,
    hash:/etc/postfix/client_access,
    regexp:/etc/postfix/dul_checks,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client psbl.surriel.com,
    reject_rbl_client spamsources.fabel.dk,
    reject_rbl_client opm.blitzed.org,
    reject_rbl_client combined.njabl.org,
    reject_rbl_client dul.ru,
    reject_rbl_client dialup.balcklist.jippg.org,
    reject_rbl_client relays.mail-abuse.org,
    reject_rbl_client dnsbl.sorbs.net,
    reject_unknown_client,
    permit

header_checks = regexp:/etc/postfix/header_checks

body_checks = regexp:/etc/postfix/body_checks

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

local_recipient_maps = $virtual_mailbox_maps $virtual_alias_maps

transport_maps = mysql:/etc/postfix/sql/transport.cf
# тут из mysql выбирается virtual


virtual_alias_maps = mysql:/etc/postfix/sql/aliases.cf 
virtual_gid_maps = static:1001
virtual_mailbox_base = /var/mail/virtual

virtual_mailbox_domains = mysql:/etc/postfix/sql/virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/sql/virtual_mailbox.cf

virtual_mailbox_limit = 524288000
virtual_create_maildirsize = yes

virtual_mailbox_limit_inbox = yes

virtual_mailbox_limit_maps = mysql:/etc/postfix/sql/virtual_mailbox_limits.cf
virtual_mailbox_limit_override = yes
virtual_overquota_bounce = yes


virtual_maildir_extended = yes
virtual_maildir_extended = yes
virtual_minimum_uid = 1001
virtual_uid_maps = static:1001
virtual_mailbox_extended = yes
virtual_maildir_limit_message = Sorry, the user's maildir has overdrawn his diskspace quota, please try again later.
debug_peer_level = 9
debugger_command =
	 PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
	 ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix

newaliases_path = /usr/bin/newaliases

mailq_path = /usr/bin/mailq

setgid_group = postdrop

html_directory = /usr/share/doc/postfix/html

manpage_directory = /usr/share/man

readme_directory = /usr/share/doc/postfix/README_FILES

address_verify_sender = $double_bounce_sender

mnk
() автор топика
Ответ на: комментарий от mnk

transport_maps = mysql:/etc/postfix/sql/transport.cf

вот это покажи, что там в таблице-то.

И зачем relay_domains = $mydestination, если ты не выступаешь никому релеем?

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

transport.cf

user = user
password = password
dbname = abills
hosts = 127.0.0.1
query = SELECT transport FROM mail_domains WHERE domain='%d'
Сама таблица
domain	        create_date	               change_date               status   id       backup_mx    transport	comments
volmed.org.ru	2009-11-18 14:26:45	2009-11-18 14:26:45	0	1	        0              virtual	 
relay_domains - убрал.

mnk
() автор топика
Ответ на: комментарий от mnk

Ну не знаю, других IP адресов на сервере нет?

Попробуй отправить письмо на гмейл и покажи запись из логов постфикса на эту тему.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

1. При отправке на mail.ru нормально цепляет

Received-SPF: pass (mx90.mail.ru: domain of volmed.org.ru designates 82.97.229.44 as permitted sender) client-ip=82.97.229.44; envelope-from=apache@volmed.org.ru; helo=volmed.org.ru;
2. log postfix. Только он не подробный, не помню, как уровень логов там включать.
Jun 24 14:19:46 ns1 postfix/smtpd[21087]: connect from unknown[172.16.130.128]
Jun 24 14:19:46 ns1 postfix/smtpd[21087]: E91A380131: client=unknown[172.16.130.128]
Jun 24 14:19:47 ns1 postfix/cleanup[21092]: E91A380131: message-id=<51C81D42.1060108@volmed.org.ru>
Jun 24 14:19:47 ns1 postfix/qmgr[21075]: E91A380131: from=<misha@volmed.org.ru>, size=671, nrcpt=1 (queue active)
Jun 24 14:19:47 ns1 dkimproxy.out[22210]: connect from 82.97.229.44 
Jun 24 14:19:47 ns1 postfix/smtpd[21087]: disconnect from unknown[172.16.130.128]
Jun 24 14:19:47 ns1 postfix/smtpd[21096]: connect from ns1.volmed.org.ru[127.0.0.1]
Jun 24 14:19:47 ns1 postfix/smtp[21094]: discarding EHLO keywords: 8BITMIME STARTTLS
Jun 24 14:19:47 ns1 postfix/smtpd[21096]: 073B8801B7: client=unknown[172.16.130.128]
Jun 24 14:19:47 ns1 dkimproxy.out[22210]: DKIM signing - signed; message-id=<51C81D42.1060108@volmed.org.ru>, signer=<>, from=<misha@volmed.org.ru> 
Jun 24 14:19:47 ns1 postfix/cleanup[21092]: 073B8801B7: message-id=<51C81D42.1060108@volmed.org.ru>
Jun 24 14:19:47 ns1 postfix/qmgr[21075]: 073B8801B7: from=<misha@volmed.org.ru>, size=1610, nrcpt=1 (queue active)
Jun 24 14:19:47 ns1 postfix/smtp[21094]: E91A380131: to=<mkukushkin35@gmail.com>, relay=127.0.0.1[127.0.0.1]:10027, delay=0.32, delays=0.07/0/0.01/0.24, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 073B8801B7)
Jun 24 14:19:47 ns1 postfix/qmgr[21075]: E91A380131: removed
Jun 24 14:19:47 ns1 postfix/smtpd[21096]: disconnect from ns1.volmed.org.ru[127.0.0.1]
Jun 24 14:19:48 ns1 postfix/smtp[21097]: 073B8801B7: to=<mkukushkin35@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.71.27]:25, delay=1.3, delays=0.24/0/0.15/0.87, dsn=2.0.0, status=sent (250 2.0.0 OK 1372069188 u4si6591158lae.3 - gsmtp)

mnk
() автор топика
Ответ на: комментарий от mnk

Ну, на первый взгляд всё хорошо - твой сервер подключается к гмылу напрямую. Не знаю откуда у тебя мог взяться левый айпишник.

Попробуй его из SPF убрать.

И можешь посмотреть заголовки этого письма в Gmail? Там должен быть список релеев через которые оно прошло.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Да странно, а я и не обратил внимание. Гмайл почему то считает что адрес моего сервера 217.150.62.193 (Received: from volmed.org.ru ([217.150.62.193])), а не 82.97.229.44. Отчего такое может быть?

Delivered-To: mkukushkin35@gmail.com
Received: by 10.64.136.201 with SMTP id qc9csp31983ieb;
        Mon, 24 Jun 2013 03:46:10 -0700 (PDT)
X-Received: by 10.152.8.230 with SMTP id u6mr11273422laa.13.1372070769482;
        Mon, 24 Jun 2013 03:46:09 -0700 (PDT)
Return-Path: <misha@volmed.org.ru>
Received: from volmed.org.ru ([217.150.62.193])
        by mx.google.com with ESMTP id p10si6627179lah.16.2013.06.24.03.46.08
        for <mkukushkin35@gmail.com>;
        Mon, 24 Jun 2013 03:46:09 -0700 (PDT)
Received-SPF: pass (google.com: domain of misha@volmed.org.ru designates 217.150.62.193 as permitted sender) client-ip=217.150.62.193;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of misha@volmed.org.ru designates 217.150.62.193 as permitted sender) smtp.mail=misha@volmed.org.ru;
       dkim=pass header.i=@volmed.org.ru
Received: from volmed.org.ru (ns1.volmed.org.ru [127.0.0.1])
	by volmed.org.ru (Postfix) with ESMTP id 12CC9801B7
	for <mkukushkin35@gmail.com>; Mon, 24 Jun 2013 14:46:08 +0400 (MSK)

mnk
() автор топика
Ответ на: комментарий от mnk

Хз, посканировав этот адрес видно что это роутер Микротик:

# telnet 217.150.62.193
Trying 217.150.62.193...
Connected to 217.150.62.193.
Escape character is '^]'.

MikroTik v5.21
Login:
И обратная запись в днс у него странная VokzalInfo-vla-gw.transtelecom.net (217.150.62.193)

Возможно они как-то траффик заворачивают на себя, но это странно. Если они твой провайдер, спроси.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Большое спасибо за помощь. Направление поиска понято, буду с ДНС и провом разбираться. А VokzalInfo-vla-gw.transtelecom.net - это наш пров.

mnk
() автор топика
Ответ на: комментарий от mnk

Вполне возможно они заворачивают 25 порт наружу на какой-то свой девайс, что-то вроде прозрачного проксирования.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Разобрались. Глюк был у прова. Уже поправили. Еще раз спасибо за помощь. А то бы так это ошибку и не нашли, а она где нибудь еще бы всплыла.

mnk
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.