Porque no sé cuánto tiempo (tal vez una década) he tenido lo siguiente en mi configuración de postfix:
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
Recientemente, algunos usuarios ocasionalmente obtuvieron rebotes, y esto es lo que veo en el servidor:
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: connect from mail-cwlgbr01
on2134.outbound.protection.outlook.com[40.107.11.134]
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: Anonymous TLS connection e
stablished from mail-cwlgbr01on2134.outbound.protection.outlook.com[40.107.11.13
4]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: NOQUEUE: reject: RCPT from mail-cwlgbr01on2134.outbound.protection.outlook.com[40.107.11.134]: 554 5.7.1 Service unavailable; Client host [40.107.11.134] blocked using sbl.spamhaus.org; Error: open resolver; https://www.spamhaus.org/returnc/pub/3.64.1.98; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<GBR01-CWL-obe.outbound.protection.outlook.com>
Pero luego 2 minutos después
Nov 14 03:25:43 ip-10-0-200-150 postfix/smtpd[25205]: connect from mail-cwlgbr01
on2125.outbound.protection.outlook.com[40.107.11.125]
Nov 14 03:25:44 ip-10-0-200-150 postfix/smtpd[25205]: Anonymous TLS connection e
stablished from mail-cwlgbr01on2125.outbound.protection.outlook.com[40.107.11.12
5]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Nov 14 03:25:44 ip-10-0-200-150 postfix/smtpd[25205]: 4E7A780053: client=mail-cw
lgbr01on2125.outbound.protection.outlook.com[40.107.11.125]
Nov 14 03:25:44 ip-10-0-200-150 postfix/cleanup[25245]: 4E7A780053: message-id=<[email protected]>
Nov 14 03:25:44 ip-10-0-200-150 mimedefang.pl[23843]: 4E7A780053: MDLOG,4E7A780053,mail_in,,,<[email protected]>,<[email protected]>,FW: Undeliverable: FW: The Philosopher's Trading Experiment: Peter Thiel and the Big Short That Never Was
Nov 14 03:25:44 ip-10-0-200-150 mimedefang[20720]: 4E7A780053: Filter time is 21ms
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: mail-cwlgbr01on2125.outbound.protection.outlook.com [40.107.11.125] not internal
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: not authenticated
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: failed to parse authentication-results: header field
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: DKIM verification successful
Nov 14 03:25:44 ip-10-0-200-150 postfix/qmgr[28094]: 4E7A780053: from=<[email protected]>, size=177480, nrcpt=1 (queue active)
Nov 14 03:25:44 ip-10-0-200-150 amavis[22145]: (22145-03) ESMTP [127.0.0.1]:10024 /var/spool/amavisd/tmp/amavis-20221113T221855-22145-4K_9q1uQ: <[email protected]> -> <[email protected]> SIZE=177480 Received: from ip-10-0-200-150.eu-central-1.compute.internal ([127.0.0.1]) by localhost (my.postfixserver.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[email protected]>; Mon, 14 Nov 2022 03:25:44 +0000 (UTC)
el vinculadoPágina de error de SpamHausNo me hace pensar que esto debería ser un problema intermitente.
La pregunta de primer nivel es, ¿cómo soluciono esto? El servidor de correo se ejecuta en una instancia AWS EC2, sin ninguna configuración DNS especial en el servidor. ¿Es posible que AWS esté realizando algún tipo de operación por turnos con las consultas de DNS y que algunos de los servidores que están consultando sean ahora solucionadores públicos?
Profundizando más, me pregunto si debería hacer esta verificación o si ahora está desactualizada. La misma página de error vinculada intenta convencerme de usarSpamHaus DQS.Esta pregunta de ServerFaultacerca de dbl.spamhaus.orgpuntos a la documentación que dice que no debería hacer esto en el servidor de correo en absoluto, si está enviando menos de 200.000 correos electrónicos por día, y en su lugar debería hacerlo en SpamAssassin, pero no puedo encontrar una advertencia similar/ sugerencia en la sbldocumentación. En cambio, elsbldocumentaciónParece querer que la gente deje de usar sblla versión independiente y, en su lugar, cambie a la integrada.Zen DNSBL.
Por un lado, soy muy de la escuela "si no está roto, no lo arregles", razón por la cual esa línea ha estado en mi configuración de Postfix aproximadamente desde siempre. Pero, por otro lado, ahora parece que está roto, y parece que ha cambiado mucho en el período 2017-2019, y no está bien documentado ahora (todos los "procedimientos" del correo virtual de Postfix/AmavisD parecen tampoco haber sido escrito antes de este período, o simplemente decir "Amavis ejecuta SpamAssassin, no se requiere configuración especial", pero sin referencia a DNSBL.
¿Cómo debería hacer esto en el mundo moderno, para un servidor de correo de bajo volumen?
Respuesta1
Detenerpermanentemente (554) rechazando correo debido a errores transitorios (debería ser 4XX), ahora mismo. Piense en cambios adicionales si espera que valgan la pena y cuándo.
consultando resolutores públicos
La redacción se refiere a más de unos pocos grandes servicios públicos. Les gusta saber quién los está sondeando para conocer sus fuentes de datos y les gusta conseguir que los usuarios más importantes les paguen. No les importa si se trata de algo verdaderamente público o simplemente algo que Amazon ha configurado para usted y todos los demás en el centro de datos. Si hace que su tráfico sea difícil de distinguir de otros servidores, preferirán ver el tráfico DNS.directamente desde su servidor, con un nombre rDNS claro adjunto (normalmente: a través de un servidor recursivo que se ejecuta en el propio servidor de correo).
La documentación de Spamhaus recomienda no bloquear a nivel SMTP
para utilizar sus funciones de aprendizaje automático
porque eso te da mejores resultados. Si no está utilizando estas funciones en este momento, le recomendaría que no se concentre demasiado en el rendimiento o los números de volumen.
Si su volumen es bajo, véalo como uncoste-beneficiocompensación entre la vida útil del usuario desperdiciada en spam y la vida útil del administrador dedicada a la configuración, el mantenimiento y la resolución de problemas. SpamAssassin incorpora ciertas opciones de diseño de software históricamente asociadas a Perl. Y Rspamd, bueno, es un analizador muy complejo escrito teniendo en mente un alto rendimiento, en un lenguaje altamente inseguro para la memoria. Son de uso gratuito, pero ciertamente no.como en la cerveza.
Los "instrucciones" parecen haberse escrito antes de este período o simplemente dicen "Amavis ejecuta SpamAssassin, no se requiere configuración especial"
Sin embargo, es cierto: hay documentación muy reciente en las integraciones proporcionadas por Spamhaus paraSpamAssassinyRSpamd. Tenga en cuenta que estos no funcionan con los espejos públicos. Se consultan enviando una clave que identifica de forma única su cuenta, que debe solicitar manualmente y luego copiar la clave. Así, podrán comprobar si tú, personalmente, superas lo que ofrecen de forma gratuita. Que también solucionará el problema al que se enfrentaba inicialmente.