O postfix armazena em cache consultas RBL?

tag-icon tag-icon postfix email-server rbl
O postfix armazena em cache consultas RBL?

Isso está me deixando louco… Linux Debian + postfix… /etc/postfix/main.cf tem as seguintes linhas:

smtpd_recipient_restrictions =
    check_recipient_access hash:/etc/postfix/access,
    reject_invalid_hostname,
    reject_non_fqdn_recipient,
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_unknown_recipient_domain,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client sbl-xbl.spamhaus.org,
    check_policy_service unix:private/policyd-spf,
    check_policy_service inet:127.0.0.1:10023,
    permit_auth_destination,
    reject

Atualmente o postfix está rejeitando mensagens recebidas de um único IP:

 [email protected]
   SMTP error from remote mail server after RCPT TO:<[email protected]>:
   host mail.server.ext [123.123.123.123]: 554 5.7.1 Service unavailable; Client host [234.234.234.234] blocked using cbl.abuseat.org; Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=234.234.234.234

Bem…http://cbl.abuseat.org/lookup.cgi?ip=234.234.234.234não relata nenhuma lista negra de 234.234.234.234 (obviamente o IP 234.234.234.234 não é o real).

Dezenas de e-mails foram bloqueados até agora pelo mesmo motivo, mas cada vez que consulto manualmente o RBL, o IP é relatado como limpo.

O postfix armazena em cache consultas para RBLs? o que estou perdendo?

Agradeço antecipadamente pelo seu tempo.

Responder1

Da perspectiva da camada superior, o Postfix depende do resolvedor libc para fazer a pesquisa de DNS (incluindo RBL), portanto, o comportamento depende da biblioteca. Por exemplo, o postfix sempre fará a pesquisa via servidor NS definido em/etc/resolv.conf.

Se o servidor NS tiver mecanismo de cache, o postfix também obterá o resultado do cache. Isso também acontece se o seu provedor tiver "Sequestro de DNS"(o pacote DNS desviado para o servidor NS). Nesse caso, você também acessará o cache (se eles o ativarem).

Para verificar qual é o resultado da pesquisa de DNS, você pode usar digo comando. Por exemplo, verifique se o endereço IP 216.154.195.36 foi listado em cbl.abuseat.org.

$  dig  36.195.154.216.cbl.abuseat.org

; <<>> DiG 9.10.1-P1 <<>> 36.195.154.216.cbl.abuseat.org
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 48609
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

Se o retorno for NXDOMAIN, o endereço IP não foi listado.

Da perspectiva da camada inferior, cada smtpdprocessoarmazenou em cache seus próprios resultados de pesquisa DNSBL. Esses resultados não são compartilhados com outros processos Postfix. Cada smtpdprocesso será reutilizado atémax_useoumax_idlealcançado. Quando smtpdo processo termina, o cache RBL também será perdido. Quando o novo smtpdprocesso foi criado pelo masterdaemon,ele irá pegar uma nova configuraçãoon main.cf(incluindo max_idlee max_use. Portanto, na verdade, não há necessidade de reiniciar o postfix.

informação relacionada