[Postfixbuch-users] Frage zu postgrey

Stefan Förster cite+postfix-buch at incertum.net
Fr Okt 24 05:27:15 CEST 2008 

* Bjoern Meier <bjoern.meier at googlemail.com> wrote:
> Uwe Driessen wrote:
>> Mit wem sollte es zu Problemen kommen? Die Mail ist noch nicht zugestellt worden.
>> Der Server Gegenüber ist evtl. ja auch gerade überlastet *gg
>> 
> Ich hab jetzt 2 Fälle:
> 
> einmal eine Mail vom Server titanium.scon.de die seit dem 22.10. NICHT
> nochmal automatisch zugestellt wurde:
> 
> Oct 22 15:07:43 mail postfix/smtpd[11930]: NOQUEUE: reject: RCPT from
> titanium.scon.de[87.106.16.44]: 450 4.7.1 <xxxxxxxx at xxxxx.xx>: Recipient
> address rejected: Greylisted, see
> http://isg.ee.ethz.ch/tools/postgrey/help/caritas-dicvhildesheim.de.html;
> from=<xxxxx at xxxxxxx.xx> to=<xxxxx at xxxxxx.xx> proto=ESMTP
> helo=<titanium.scon.de>
> 
> und einmal vom web.de Server, welche nach manuellem zustellen dann durchkam:
> 
> Oct 23 10:54:31 mail postgrey[18995]: delayed 67293 seconds:
> client=fmmailgate02.web.de, from=xxxx at xxx.xx, to=xxxx at xxxx.xx
> 
> wie man sieht ist das delay ungefähr 19 std. ich das eindeutig zuviel
> und es war zudem auch noch nur durch manuelles erneutes zustellen. Ich
> glaube auch nicht das der webserver von web.de so schlecht eingestellt ist.

Ich weiß nicht, ob ich hierfür jetzt ursächlich das Greylisting
verantwortlich machen würde.

In ersterem Fall scheint es sich um ein Postfix zu handeln, was mich
zwar leicht stutzig macht, aber auf der anderen Seite gibt es genug
Möglichkeiten, auch Postfix kaputt zu kofigurieren (fallback_relay
welches dann nicht erneut sendet, lächerlich große/kleine
backoff- bzw. queue-Zeiten etc. - und nicht zuletzt manuelle,
"verbessernde" Eingriffe in die Queue). Ohne die Logs der Gegenseite
sehen zu können, ist es also schwer zu beurteilen, was hier genau
passiert ist. Du kannst Dir aber gerne von wahrscheinlich jedem
Listenteilnehmer (frag' von mir aus Peer, Ralf oder Patrick, wenn Du
uns "Normalsterblichen" nicht glaubst) bestätigen lassen, daß ein
temporärer Fehler für Postfix normalerweise kein großes Hindernis ist.

Über die zweite Aussage bzgl. web.de mußte ich etwas schmunzeln: Die
großen Freemail-Provider sind eigentlich selbst ein gutes Beispiel für
- wenn auch unfreiwilliges - Greylisting. Ich hatte früher immer
wieder den Fall, daß web.de über längere Zeiträume hinweg schon im
SMTP-Banner ein 4xx ausgegeben hat. Auch yahoo.de ist da nicht besser
und wirft immer wieder 4xx-Fehler aus, gerade, wenn man z.B. eine
Mailingliste betreibt und es viele Empfänger bei denen hat (auch hier
wieder kann ich Dir nur raten, Dir das von z.B. Peer bestätigen zu
lassen).

Ich kann Deine Bedenken natürlich verstehen, aber in der heutigen Zeit
MUSS jeder Mailserver einfach mit einem temporären Fehler klarkommen -
denn diese sind ja nicht immer das Resultat von Greylisting sondern
können z.B. ganz trivial die Folge eines ausgefallenen DNS-Servers
sein. Oder anders gesagt, versendende Server, die nicht mit
Greylisting klar kommen (i.e., die nicht wenigstens einen erneuten
Zustellversuch unternehmen, MTA-Pools sind nochmal ein anderes Thema)
werden auch so im laufenden Betrieb jede Menge Mails nicht ausliefern
können, einfach weil Technik halt hin und wieder nicht funktioniert.

> Meinungen? Ideen? Lösungsvorschläge?

Selektives Greylisting kann Dir helfen, zum einen die
Greylisting-Datenbank und zum anderen Verzögerungen klein zu halten.
Mögliche Wege:

1. Benutzen der Whitelist von dnswl.org (s.a.
http://www.incertum.net/archives/341-DNSWL-in-Postfix-konsequent-einsetzen.html
- sorry für die Eigenwerbung, aber das habe ich zufällig diese Woche
gebloggt).
2. Benutzen einer länglichen Regexp, wie sie z.B. in SQLgrey zu finden
ist (vgl auch
http://www.arschkrebs.de/postfix/postfix_greylisting.shtml - hoffe
Ralf hat nichts dagegen, wenn man einfach so auf ihn linkt) um z.B.
nur Hosts ohne Reverse-DNS-Eintrag oder mit dem typischen
"dsl-a-b-c-d.provider.example.com" zu greylisten.
3. Verwenden eines Policy-Servers und einer eigenen
smtpd_restriction_class, z.B. postfwd, mit dem man dann Lösung (2)
einsetzen _und_ z.B. auch alle Hosts, die Treffer in einer DNSBL
erzeugen, Greylisten kann (vgl.
http://hege.li/howto/spam/etc/postfwd/postfwd.conf).

Ansonsten kannst Du ja jederzeit _vor_ dem check_policy_service-Aufruf
eine manuell gepflegte Whitelist einbauen und die Problemfälle
abfangen (zusätzlich zur Whitelist, die z.B. bei Postgrey schon dabei
ist).


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
Diese Nachricht ist nicht nach neuer oder alter deutscher
Rechtschreibung verfaßt. Ähnlichkeiten sind rein zufällig.

Mehr Informationen über die Mailingliste Postfixbuch-users