[Postfixbuch-users] Body-Checks: Ablehnung der E-Mail

Sandy Drobic postfixbuch-users at drobic.de
Mo Sep 20 22:30:05 CEST 2010


On 20.09.2010 19:46, Christian Moestchen wrote:
> Hallo Liste,
> ich hoffe ihr könnt mir weiter helfen.
> Ich habe meinen Mailserver (Postfix, Dovecot, MySQL, clamav, spamassassin) auf
> einem Debian Lenny - System
> neu aufgesetzt und mich bei den Restrictions an Peer's Musterlösung gehalten.
> Bis jetzt hat auch alles, wie gewünscht, funktioniert.
> 
> Nach einem heutigen Blick in die Mailqueue (mittels pfqueue) sah ich, das sich
> hier (deferred) eine E-Mail
> (ID 044FD6D880B) befindet.
> Nun bin ich nicht der Profi aber meines Verständnis nach hat mein Mailserver:
> - eine E-Mail empfangen
> (From: Mamie Hooker <bellmisyke70 at eurocontrol.int>)
> - diese wurde auf Grund des Body-Check abgelehnt
> (Diagnostic-Code: smtp; 550 5.7.1 Body-Check - Uhren    17)
> - mein Mailserver versucht den Absender darüber zu informieren

Das ist genau der Fehler. Du versuchst, den externen Absender zu informieren.
Bei einer normalen Mail ist dies aber nicht sinnvoll. Wenn dein Server mit
Pre-Queue-Filter die Mail abweist, dann hat der sendende Server die Pflicht,
die Mail an den Absender zu bouncen. Dies ist nicht die Aufgabe deines Servers!
Nur, wenn dein Server die Mail bereits angenommen hat, übernimmst du die
Verantwortung für die Mail.

> (The message WAS NOT relayed to)
> - was fehlschlägt (Connection timed out) und die E-Mail in der Mailqueue
> landet (status=deferred).
> 
> 
> Hab ich in meiner Konfiguration einen Fehler, das er die E-Mail nicht los wird
> oder ist das normal?
> Was kann ich dagegen tun?

Amavis richtig konfigurieren. Du hast die Option aktiviert, dass der Absender
bei abgelehnten Mails benachrichtigt wird. Wenn der Absender gefälscht ist,
wie bei Spam üblich, hast du Probleme.
Schalte diese Option ab.

> cat /var/log/mail.log | grep 26564-13
> Sep 20 17:59:15 mailserver amavis[26564]: (26564-13) Negative SMTP response to
> data-dot (<webmaster at moestchen.de>): 550 5.7.1 Body-Check - Uhren    17
> Sep 20 17:59:15 mailserver amavis[26564]: (26564-13) (!)FWD via SMTP:
> <error at mailfrom.com> -> <webmaster at moestchen.de>,BODY=7BIT 550 5.7.1 Failed,
> id=26564-13, from MTA([127.0.0.1]:10025): 550 5.7.1 Body-Check - Uhren    17
> Sep 20 17:59:15 mailserver amavis[26564]: (26564-13) Blocked MTA-BLOCKED,
> [196.205.202.52] [85.132.43.55] <error at mailfrom.com> ->
> <webmaster at moestchen.de>, Message-ID:
> <7789442424.YK9CWU6M393703 at qdgvhsotl.plylcbjjdxed.va>, mail_id: uXoNCETTk+Hd,
> Hits: 4.333, size: 1814, 1369 ms
> 
> 
> 
> 
> 
> ### postconf -n
> alias_database = btree:/etc/aliases
> alias_maps = btree:/etc/aliases
> append_dot_mydomain = no
> biff = no
> body_checks = pcre:/etc/postfix/config/body_checks
> bounce_queue_lifetime = 3d
> bounce_template_file = /etc/postfix/bounce.de-DE.cf
> broken_sasl_auth_clients = yes
> command_directory = /usr/sbin
> config_directory = /etc/postfix
> daemon_directory = /usr/lib/postfix
> default_database_type = btree
> default_transport = smtp
> disable_vrfy_command = yes
> header_checks = pcre:/etc/postfix/config/header_checks
> inet_interfaces = all
> inet_protocols = ipv4
> local_transport = local
> mailbox_size_limit = 0
> maximal_queue_lifetime = 3d
> mydestination = mailserver, mailserver.moestchen.de, localhost,
> localhost.localdomain
> myhostname = mailserver.moestchen.de
> mynetworks = 127.0.0.0/8
> myorigin = /etc/mailname
> recipient_delimiter = +
> relay_transport = smtp
> relayhost =
> sendmail_path = /usr/sbin/sendmail
> smtp_sasl_auth_enable = no
> smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_delay_reject = yes
> smtpd_enforce_tls = no
> smtpd_helo_required = yes
> smtpd_recipient_restrictions =
> check_recipient_access btree:/etc/postfix/config/roleaccount_allow,
> check_client_access cidr:/etc/postfix/config/client_allow,
> check_client_access cidr:/etc/postfix/config/client_deny,
> check_helo_access btree:/etc/postfix/config/helo_allow,
> check_helo_access btree:/etc/postfix/config/helo_deny,
> check_sender_access btree:/etc/postfix/config/sender_allow,
> check_sender_access btree:/etc/postfix/config/sender_deny,
> check_recipient_access btree:/etc/postfix/config/recipient_allow,
> check_recipient_access btree:/etc/postfix/config/recipient_deny,

Die Reihenfolge der Black- und Whitelist-Checks ist ziemlich abstrus.

Normalerweise ist die Reihenfolge so:

- Checks für ALLE Clients (Checks, welche notwendig sind für eine korrekte
Mail, wie non_fqdn_sender, non_fqdn_recipient etc.)
- permit_mynetworks, permit_sasl_authenticated
- reject_unauth_destination
- reject_unlisted_recipients
- Whitelist-Checks
- Blacklist-Checks

Aber du solltest nicht die Reihenfolge von Black- und Whitelists wild mischen.
Auch solltest du mit Whitelist-Checks vor reject_unauth_destination sehr
vorsichtig sein.

> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> reject_unknown_recipient_domain,
> permit_sasl_authenticated,
> permit_mynetworks,
> check_sender_mx_access cidr:/etc/postfix/config/bogus_mx,
> check_sender_mx_access btree:/etc/postfix/config/bogus_wildcard_mx,
> check_sender_ns_access btree:/etc/postfix/config/bogus_dns,
> reject_rbl_client zen.spamhaus.org,
> reject_rbl_client ix.dnsbl.manitu.net,
> reject_rbl_client bl.spamcop.net,
> reject_rbl_client dnsbl.njabl.org,
> reject_rbl_client list.dsbl.org,

dsbl.org ist tot.

> reject_rhsbl_client blackhole.securitysage.com,

securitysage.com genauso. Deine Listen sind nicht gerade gepflegt.
Ich hoffe, du kennt die Policy der RBLs und bist damit einverstanden.

> check_policy_service inet:127.0.0.1:12525,
> check_policy_service inet:127.0.0.1:60000,
> check_policy_service unix:private/tumgreyspf
> reject_unverified_recipient,
> permit_mx_backup,
> reject_unauth_destination,
> permit
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_local_domain =
> smtpd_sasl_path = private/auth
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_type = dovecot
> smtpd_tls_CAfile = /etc/ssl/certs/mailserver.crt
> smtpd_tls_auth_only = no
> smtpd_tls_cert_file = /etc/ssl/certs/dovecot.pem
> smtpd_tls_key_file = /etc/ssl/private/dovecot.pem
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
> smtpd_tls_session_cache_timeout = 3600s
> smtpd_use_tls = yes
> strict_rfc821_envelopes = yes
> virtual_alias_maps =
> mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-email2email.cf
> 
> virtual_gid_maps = static:5000
> virtual_mailbox_base = /var/vmail/mails/
> virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
> virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
> virtual_transport = dovecot
> virtual_uid_maps = static:5000

Ich würde die Konfig noch einmal durchgehen und vor allem die unnötigen
Einträge entfernen.



Mehr Informationen über die Mailingliste Postfixbuch-users