LINUX.ORG.RU
ФорумAdmin

postfix


0

1

Всех приветствую.

Хотел посоветоваться, использует кто-то в своих конфигах postfix(main.cf) проверку обратной зоны? Проблема в том что на моей практике я много встречал серверов в том числе и зарубежных которые просто не хотят прописывать для своих почтовиков обратную зону,как следствие сего клиент(заказчик) же думает что я криво настроил ему почтовый сервер и т.д.

По этому напрашивается пару вопросов: 1. Насколько это оправдано 2. Может это устаревшие требование, использовать данную проверку 3. Ваше личное мнение.

Спасибо


1. Насколько это оправдано

Я пробовал, но больше проблем, чем преимуществ. Причём пробовал давно, во времена, когда в интернетах ещё не было такого количества «одминчегов», а уж сейчас... Однако вариант, когда плохой реверс - только причина ужесточения фильтра, а не абсолютная причина отказа в приёме, работает уже получше.

2. Может это устаревшие требование

Вообще, Гугль, наоборот, настаивает, но только для v6:

<<< 550-5.7.1 Our system has detected that this message
<<< 550-5.7.1 does not meet IPv6 sending guidelines regarding PTR records and
<<< 550-5.7.1 authentication. Please review
<<< 550-5.7.1 https://support.google.com/mail/?p=ipv6_authentication_error for more
<<< 550 5.7.1 information. q8si4578308bkr.87 - gsmtp
554 5.0.0 Service unavailable
Возможно, пока идёт внедрение IPv6, надеются это стандартом пропихнуть или просто народ приучить.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 1)

1. Насколько это оправдано

достаточно сильно это оправдано, поток говна меньше в разы. Ибо сервера без PTR обычно спамерские бот машины или фейковые SMTP релеи.

MikeDM ★★★★★ ()

2. Может это устаревшие требование, использовать данную проверку

И да попробуй своему серверу не прописать PTR запись и не будет тебя ни яндекс принимать ни гугль.

MikeDM ★★★★★ ()

3. Ваше личное мнение.

PTR это не гарантия того, что сервер валидный. К сожалению. Но централизация разрушит саму идею почтовой системы на корню. в смысле если будет система глобальной фильтрации итп итд.

MikeDM ★★★★★ ()

1. Насколько это оправдано

когда в интернетах ещё не было такого количества «одминчегов», а уж сейчас...

Во, даже Мегафон туда же:

250 mx2.megafon.ru
mail from:<>
250 sender <> ok
rcpt to:<postmaster@megafon.ru>
550 #5.1.0 Rejected by bounce verification.
«mail from:<>» (!) блокируется сознательно, а ты про реверс что-то там хочешь... И если кто-то скажет, что предполагается, что с «mail from:<postmaster@megafon.ru>» ничего не отправляется, и боунс можно блокировать, то, увы, боунсы там блокируются для всех.

AS ★★★★★ ()

1. Насколько это оправдано

Если у тебя нет вороха постоянно меняющихся контактов с мелкими конторами которые почему-то хотят именно свой сервер.

2. Может это устаревшие требование, использовать данную проверку

Не скажите, батенька.

3. Ваше личное мнение.

У самого трижды были проблемы с доставкой из-за несоответствия PTR у сендера. Одних включил в white-list, двоих, пока разбирались послало руководство по причине проблем с исполнением обязательств.
Если контора не могжет организовать работу почты, хотя бы переездом на яндекс - остерегайся таких контор :)

Yustas ★★★★ ()
Ответ на: комментарий от Yustas

Проблема в том что контор таких очень много, а заказчик гос структура доказать что либо сложно. Я замахался добавлять в белый список сервера, есть такие которые даже просто А запись забывают прописать, притом что это зарубежная контора почти госс. Вот и как тут бороться с таким, открыть все нельзя ибо есть шанс стать опен релеем, оставить как есть значит постоянно доказывать «что ты не верблюд» и т.д.

mkgeka ()

Насчёт обратной зоны я бы действительно поостерёгся, мало ли какие говносисадмины по ту сторону сидят, да и само её наличие или отсутствие мало что гарантирует (residential broadband, на который приходится, наверное, большая часть спам-ботов, почти всегда имеет эту запись). А вот использование reject_unknown_sender_domain (отвергать адреса отправителя, не имеющие MX записи у домена) и запрос к нескольким хорошим DNSBL - жизненно необходимо.

frozen_twilight ★★ ()
Ответ на: комментарий от frozen_twilight

Да, для большей надёжности reject_unknown_sender_domain стоит добавить ещё дополнительную проверку на фейковый (но формально валидный) MX. Некоторые домены, специально зарегенные под спам, используют mx.fakemx.net.

Итого, получается примерно такой smtpd_sender_restrictions:

smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_mx_access regexp:/etc/postfix/check_mx_access
В /etc/postfix/check_mx_access прописать:
/^mx\.fakemx\.net$/	REJECT

frozen_twilight ★★ ()
Ответ на: комментарий от Yustas

остерегайся таких контор

Я знаю одну контору, которую знает тут каждый (не хочу называть имён, но годовой оборот у неё заваливает за биллионы). И как минимум у каждой женщины на полочке стоит её продукция. Так вот, они не осилили. =) Даже после полу-годовой переписки с ихними админами. Вот такие дела. Пришлось заносить в whitelist.

beastie ★★★★★ ()
Последнее исправление: beastie (всего исправлений: 1)
Ответ на: комментарий от beastie

И как минимум у каждой женщины на полочке стоит её продукция
Даже после полу-годовой переписки с ихними админами

У админов ихних, очевидно, на полочке стоит та же самая продукция xD

Yustas ★★★★ ()
Ответ на: комментарий от MikeDM

своему серверу не прописать PTR запись и не будет тебя ни яндекс принимать ни гугль

Неправда! Гугл принимает, как минимум. Правда у меня SPF и DKIM настроено.

generator ★★★ ()
Ответ на: комментарий от beastie

А если почтовый сервер два домена обрабатывает, как PTR прописать?

generator ★★★ ()
Ответ на: комментарий от generator

нужно прописать PTR запись хоста, грубо говоря есть хост mail.myhost.ru обслуживает два домена myhost2.ru myhost3.ru прописать нужно mail.myhost.ru.

mkgeka ()
Ответ на: комментарий от mkgeka

А, понятно. Просто показалось, что речь идёт именно про проверку соответствия PTR и домена.

generator ★★★ ()
Ответ на: комментарий от generator

Там прикол в том, что есть 2 edge-сервера. ptr прописан для 1.1.1.1, но почта из интранета выходит через 2.2.2.2. Оба указывают в helo одно и тоже имя. Обратная проверка обламывается.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

Ну в сферическом случае для обоих серверов можно прописать один и тот же PTR :)

generator ★★★ ()
Ответ на: комментарий от generator

Я уже 2 года пытаюсь от них это добиться. =) Но, как во всех больших фирмах, всё это не так просто. Забава ещё в том, что их то я у себя за-whitelist-ил (работать то надо!), но вот к другим (gmx, t-online, freenet etc.) их почта всё равно не доходит. А они и не чешутся, не смотря на многократное напоминание об этом.

beastie ★★★★★ ()
Ответ на: комментарий от beastie

PTR нужно прописать именно для 2,2,2,2, так как он отправляет. helo тоже должен совпадать с hostname и PTR(есть такая проверка в postfix).

mkgeka ()
Ответ на: комментарий от mkgeka

Это ты не мне, а л'ореаль расскажи. Я уже отчаялся и махнул рукой. =)

beastie ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.