Ich weiß nicht wie lange – vielleicht ein Jahrzehnt – habe ich Folgendes in meiner Postfix-Konfiguration:
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
In letzter Zeit kam es bei einigen Benutzern gelegentlich zu Bounces, bei denen ich Folgendes auf dem Server sehe:
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: connect from mail-cwlgbr01
on2134.outbound.protection.outlook.com[40.107.11.134]
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: Anonymous TLS connection e
stablished from mail-cwlgbr01on2134.outbound.protection.outlook.com[40.107.11.13
4]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: NOQUEUE: reject: RCPT from mail-cwlgbr01on2134.outbound.protection.outlook.com[40.107.11.134]: 554 5.7.1 Service unavailable; Client host [40.107.11.134] blocked using sbl.spamhaus.org; Error: open resolver; https://www.spamhaus.org/returnc/pub/3.64.1.98; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<GBR01-CWL-obe.outbound.protection.outlook.com>
Aber dann 2 Minuten später
Nov 14 03:25:43 ip-10-0-200-150 postfix/smtpd[25205]: connect from mail-cwlgbr01
on2125.outbound.protection.outlook.com[40.107.11.125]
Nov 14 03:25:44 ip-10-0-200-150 postfix/smtpd[25205]: Anonymous TLS connection e
stablished from mail-cwlgbr01on2125.outbound.protection.outlook.com[40.107.11.12
5]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Nov 14 03:25:44 ip-10-0-200-150 postfix/smtpd[25205]: 4E7A780053: client=mail-cw
lgbr01on2125.outbound.protection.outlook.com[40.107.11.125]
Nov 14 03:25:44 ip-10-0-200-150 postfix/cleanup[25245]: 4E7A780053: message-id=<[email protected]>
Nov 14 03:25:44 ip-10-0-200-150 mimedefang.pl[23843]: 4E7A780053: MDLOG,4E7A780053,mail_in,,,<[email protected]>,<[email protected]>,FW: Undeliverable: FW: The Philosopher's Trading Experiment: Peter Thiel and the Big Short That Never Was
Nov 14 03:25:44 ip-10-0-200-150 mimedefang[20720]: 4E7A780053: Filter time is 21ms
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: mail-cwlgbr01on2125.outbound.protection.outlook.com [40.107.11.125] not internal
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: not authenticated
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: failed to parse authentication-results: header field
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: DKIM verification successful
Nov 14 03:25:44 ip-10-0-200-150 postfix/qmgr[28094]: 4E7A780053: from=<[email protected]>, size=177480, nrcpt=1 (queue active)
Nov 14 03:25:44 ip-10-0-200-150 amavis[22145]: (22145-03) ESMTP [127.0.0.1]:10024 /var/spool/amavisd/tmp/amavis-20221113T221855-22145-4K_9q1uQ: <[email protected]> -> <[email protected]> SIZE=177480 Received: from ip-10-0-200-150.eu-central-1.compute.internal ([127.0.0.1]) by localhost (my.postfixserver.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[email protected]>; Mon, 14 Nov 2022 03:25:44 +0000 (UTC)
Die verknüpfteSpamHaus-Fehlerseitelässt mich nicht glauben, dass es sich hier um ein zeitweiliges Problem handeln sollte.
Die wichtigste Frage ist: Wie behebe ich das? Der Mailserver läuft auf einer AWS EC2-Instanz, ohne spezielle DNS-Konfiguration auf dem Server. Ist es möglich, dass AWS eine Art Round-Robin mit den DNS-Abfragen durchführt und einige der abgefragten Server jetzt öffentliche Resolver sind?
Wenn ich tiefer in die Materie einsteige, frage ich mich, ob ich diese Prüfung überhaupt durchführen sollte oder ob sie inzwischen veraltet ist. Die gleiche verlinkte Fehlerseite versucht, mich dazu zu überreden,SpamHaus DQS.Diese ServerFault-Frageabout dbl.spamhaus.orgverweist auf eine Dokumentation, in der steht, dass Sie dies überhaupt nicht im Mailserver tun sollten, wenn Sie weniger als 200.000 E-Mails pro Tag versenden, sondern stattdessen in SpamAssassin, aber ich kann in der sblDokumentation keine ähnliche Warnung/Empfehlung finden. StattdessensblDokumentationscheint zu wollen, dass die Leute aufhören, sblStandalone zu verwenden, und stattdessen auf die integrierteZen DNSBL.
Einerseits bin ich ein großer Anhänger der „Wenn es nicht kaputt ist, repariere es nicht“-Schule, weshalb diese Zeile ungefähr seit Ewigkeiten in meiner Postfix-Konfiguration steht. Aber andererseits scheint es jetzt kaputt zu sein, und es scheint, als hätte sich im Zeitraum 2017–2019 viel geändert, und es ist jetzt nicht gut dokumentiert (alle „How-tos“ für virtuelle Postfix/AmavisD-Mails scheinen entweder vor diesem Zeitraum geschrieben worden zu sein oder nur zu sagen „Amavis führt SpamAssassin aus, keine spezielle Konfiguration erforderlich“, aber ohne Bezug auf DNSBLs.
Wie sollte ich dies in der modernen Welt für einen Mailserver mit geringem Volumen tun?
Antwort1
StoppenDauerhafte (554) Ablehnung von E-Mails aufgrund vorübergehender Fehler (sollte 4XX sein), im Moment. Denken Sie über weitere Änderungen nach, wenn Sie davon ausgehen, dass sie sich lohnen.
Abfragen öffentlicher Resolver
Diese Formulierung bezieht sich auf mehr als nur ein paar große öffentliche Dienste. Sie möchten wissen, wer sie befragt, um mehr über ihre Datenquellen zu erfahren, und sie möchten, dass größere Benutzer ihnen Geld zahlen. Dabei ist es ihnen egal, ob das etwas wirklich Öffentliches ist oder nur etwas, das Amazon für Sie und alle anderen im Rechenzentrum eingerichtet hat. Wenn es Ihren Datenverkehr schwer von den anderen Servern zu unterscheiden macht, möchten sie lieber DNS-Datenverkehr sehen.direkt von Ihrem Server, an den ein eindeutiger rDNS-Name angehängt ist (normalerweise: über einen rekursiven Server, der auf dem Mailserver selbst ausgeführt wird).
Die Spamhaus-Dokumentation empfiehlt, nicht auf SMTP-Ebene zu blockieren
um ihre Auto-Learning-Funktionen zu nutzen
weil Sie damit bessere Ergebnisse erzielen. Wenn Sie solche Funktionen derzeit nicht verwenden, würde ich Ihnen empfehlen, sich nicht zu sehr auf die Leistungs- oder Lautstärkezahlen zu konzentrieren.
Wenn Ihre Lautstärke niedrig ist, betrachten Sie es alsKosten-NutzenKompromiss zwischen der Zeit, die der Benutzer mit Spam vergeudet, und der Zeit, die der Administrator mit der Konfiguration, Wartung und Fehlerbehebung verbringt. SpamAssassin verkörpert bestimmte historisch mit Perl verbundene Softwaredesignentscheidungen. Und Rspamd, nun ja, es ist ein sehr komplexer Parser, der mit Blick auf hohe Leistung in einer sehr speicherunsicheren Sprache geschrieben wurde. Sie sind kostenlos zu verwenden, aber sicherlich nichtwie im Bier.
Die Anleitungen scheinen entweder vor diesem Zeitraum geschrieben worden zu sein oder nur zu sagen: „Amavis führt SpamAssassin aus, keine spezielle Konfiguration erforderlich.“
Stimmt, aber: Es gibt eine sehr aktuelle Dokumentation in den von Spamhaus bereitgestellten Integrationen fürSpamAssassinUndRSpamd. Beachten Sie, dass diese nicht mit den öffentlichen Mirrors funktionieren. Sie werden abgefragt, indem ein Schlüssel gesendet wird, der Ihr Konto eindeutig identifiziert – den Sie manuell anfordern und dann den Schlüssel kopieren müssen. So können sie überprüfen, ob Sie persönlich mehr bezahlen, als sie kostenlos anbieten. Dadurch wird auch das Problem gelöst, mit dem Sie ursprünglich konfrontiert waren.