Не знаю, как давно — может быть, десятилетие — в моей конфигурации Postfix есть следующее:
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
В последнее время у моих пользователей время от времени возникают ошибки, и вот что я вижу на сервере:
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: connect from mail-cwlgbr01
on2134.outbound.protection.outlook.com[40.107.11.134]
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: Anonymous TLS connection e
stablished from mail-cwlgbr01on2134.outbound.protection.outlook.com[40.107.11.13
4]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Nov 14 03:23:33 ip-10-0-200-150 postfix/smtpd[25205]: NOQUEUE: reject: RCPT from mail-cwlgbr01on2134.outbound.protection.outlook.com[40.107.11.134]: 554 5.7.1 Service unavailable; Client host [40.107.11.134] blocked using sbl.spamhaus.org; Error: open resolver; https://www.spamhaus.org/returnc/pub/3.64.1.98; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<GBR01-CWL-obe.outbound.protection.outlook.com>
Но затем, через 2 минуты
Nov 14 03:25:43 ip-10-0-200-150 postfix/smtpd[25205]: connect from mail-cwlgbr01
on2125.outbound.protection.outlook.com[40.107.11.125]
Nov 14 03:25:44 ip-10-0-200-150 postfix/smtpd[25205]: Anonymous TLS connection e
stablished from mail-cwlgbr01on2125.outbound.protection.outlook.com[40.107.11.12
5]: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Nov 14 03:25:44 ip-10-0-200-150 postfix/smtpd[25205]: 4E7A780053: client=mail-cw
lgbr01on2125.outbound.protection.outlook.com[40.107.11.125]
Nov 14 03:25:44 ip-10-0-200-150 postfix/cleanup[25245]: 4E7A780053: message-id=<[email protected]>
Nov 14 03:25:44 ip-10-0-200-150 mimedefang.pl[23843]: 4E7A780053: MDLOG,4E7A780053,mail_in,,,<[email protected]>,<[email protected]>,FW: Undeliverable: FW: The Philosopher's Trading Experiment: Peter Thiel and the Big Short That Never Was
Nov 14 03:25:44 ip-10-0-200-150 mimedefang[20720]: 4E7A780053: Filter time is 21ms
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: mail-cwlgbr01on2125.outbound.protection.outlook.com [40.107.11.125] not internal
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: not authenticated
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: failed to parse authentication-results: header field
Nov 14 03:25:44 ip-10-0-200-150 opendkim[11822]: 4E7A780053: DKIM verification successful
Nov 14 03:25:44 ip-10-0-200-150 postfix/qmgr[28094]: 4E7A780053: from=<[email protected]>, size=177480, nrcpt=1 (queue active)
Nov 14 03:25:44 ip-10-0-200-150 amavis[22145]: (22145-03) ESMTP [127.0.0.1]:10024 /var/spool/amavisd/tmp/amavis-20221113T221855-22145-4K_9q1uQ: <[email protected]> -> <[email protected]> SIZE=177480 Received: from ip-10-0-200-150.eu-central-1.compute.internal ([127.0.0.1]) by localhost (my.postfixserver.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <[email protected]>; Mon, 14 Nov 2022 03:25:44 +0000 (UTC)
СвязанныйСтраница ошибки SpamHausне заставляет меня думать, что это должно быть периодической проблемой.
Вопрос верхнего уровня: как это исправить? Почтовый сервер работает на экземпляре AWS EC2 без специальной конфигурации DNS на сервере. Возможно ли, что AWS выполняет своего рода циклический перебор с запросами DNS, и некоторые из серверов, к которым они обращаются, теперь являются публичными резолверами?
Копнув глубже, я задаюсь вопросом, стоит ли мне вообще делать эту проверку, или она уже устарела. Та же самая связанная страница с ошибкой пытается убедить меня использоватьSpamHaus DQS.Этот вопрос ServerFaultabout dbl.spamhaus.orgуказывает на документацию, в которой говорится, что вам вообще не следует делать этого на почтовом сервере, если вы обрабатываете менее 200 тыс. писем в день, и вместо этого следует делать это в SpamAssassin, но я не могу найти похожего предупреждения/предложения в документации sbl. Вместо этого,sblдокументацияпохоже, хочет, чтобы люди перестали использовать sblавтономную версию и перешли на интегрированную.Дзен DNSBL.
С одной стороны, я сторонник школы "если не сломано, не чини", поэтому эта строка была в моей конфигурации Postfix почти всегда. Но с другой стороны, теперь она, похоже, сломана, и похоже, что многое изменилось в период 2017–2019 годов, и сейчас она не очень хорошо документирована (все "инструкции" по виртуальной почте Postfix/AmavisD, похоже, были написаны до этого периода, или просто говорят "Amavis запускает SpamAssassin, никакой специальной настройки не требуется", но без ссылки на DNSBLs.
Как мне это сделать в современном мире, если почтовый сервер малообъёмный?
решение1
Останавливатьсяпостоянно (554) отклоняет почту из-за временных ошибок (должно быть 4XX), прямо сейчас. Подумайте о дальнейших изменениях, если и когда вы ожидаете, что они того стоят.
запрос публичных резолверов
Эта фраза относится к более чем нескольким крупным публичным сервисам. Им нравится знать, кто их зондирует, чтобы узнать об их источниках данных, и им нравится, чтобы более крупные пользователи платили им. Их не волнует, является ли это чем-то действительно публичным или просто чем-то, что Amazon настроил для вас и всех остальных в центре обработки данных. Если это делает ваш трафик трудноотличимым от трафика других серверов, они предпочтут видеть трафик DNSпрямо с вашего сервера, с прикрепленным к нему понятным именем rDNS (обычно: через рекурсивный сервер, работающий на самом почтовом сервере).
В документации Spamhaus рекомендуется не блокировать на уровне SMTP.
использовать их функции автоматического обучения
потому что это дает вам лучшие результаты. Если вы не используете такие функции прямо сейчас, я бы рекомендовал вам не слишком фокусироваться на показателях производительности или громкости.
Если громкость низкая, расценивайте это какзатрат и выгодкомпромисс между временем жизни пользователя, потраченным на спам, и временем жизни администратора, потраченным на настройку, обслуживание и устранение неполадок. SpamAssassin воплощает определенные исторически связанные с Perl решения по проектированию программного обеспечения. А Rspamd, ну, это очень сложный парсер, написанный с расчетом на высокую производительность, на языке, крайне небезопасном для памяти. Они бесплатны для использования, но определенно некак в пиве.
«Инструкции», похоже, были написаны до этого периода, или просто говорят: «Amavis запускает SpamAssassin, специальной настройки не требуется».
Однако это правда: в предоставленных Spamhaus интеграциях есть совсем новая документацияSpamAssassinиRSpamd. Обратите внимание, что они не работают с публичными зеркалами. Они запрашиваются путем отправки ключа, уникально идентифицирующего вашу учетную запись, который вам нужно вручную запросить, а затем скопировать ключ. Таким образом, они могут проверить, превышаете ли вы лично то, что они предлагают бесплатно. Что также решит проблему, с которой вы изначально столкнулись.