Re: postgrey и sender verification

[Андрей Любимец]

18.03.2016 11:14, Victor Wagner пишет:
> 
> Коллеги,
> 
> Столкнулся вот с такой проблемой - стоит у меня в postfix-е
> greylisting (postgrey). И потребовалось отправить письмо в домен,
> администратор которого настроил себе зачем-то sender address
> verification.
> 
> То есть я туда шлю письмо, а он в ответ делает smtp-коннект ко мне и,
> естественно, получает "
> 
> 
> Mar 17 18:05:58 deneb postfix/smtpd[3149]: NOQUEUE: reject: RCPT from
> .xxx.ru[nnn.nnn.nn.nn]: 450 4.2.0 :
> Recipient address rejected: Greylisted, see
> http://postgrey.schweikert.ch/help/wagner.pp.ru.html;
> from=
> 
> В результате я от него получаю 
> 450 4.1.7 : Sender address rejected: unverified
> address
> 
> И в таком состоянии оно стояло до тех пор, пока я руками не
> завайтлистил в postgrey их smtp-сервер. После этого еще через некоторое
> время (похоже там заметный таймаут на устаревание кэша unverified
> адресов) письмо всё-таки ушло.
> 
> Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
> postgrey так, чтобы он отличал sender address verification от спама и
> не грейлистил её?

Надо сконфигурить postgrey, что бы он грейлистил после data, а не после rcpt to.

Re: postgrey и sender verification

[Victor Wagner]

On Fri, 18 Mar 2016 10:57:38 +0500
Дмитрий Подковыркин  wrote:

> А запрос от него к вам как выглядит?

Запроса полностью в логах я, естественно, не увидел. Что в логах было -
привел (выкинув домен и IP отправителя).

Далее, остается только догадываться по логике описания процедуры Sender
verification, что оно приходит и говорит

MAIL from: double-bou...@domain.ru
RCPT to: vi...@wagner.pp.ru

На этом этапе получает 450, после этого отшибает мое письмо тоже с 450.
А потом при нескольких повторных попытках моего сервера отправить
письмо, не делает повторных попыток верифицировать адрес.

То есть картина выглядела так:
17:51 - первая попытка их доставить мне письмо. Greylisted
17:56 - вторая попытка. Письмо прошло
18:06 - я на письмо ответил. Пришел sender verification и загрейлистился
18:15 - вторая попытка доставить мое письмо. Status: Deferred без
повторной попытки верифицирвать адрес
18:25  - третья
18:45 
19:25
20:35 - продолжаем долбиться с увеличивающимися интервалами и получать
Sender rejected: unverified address
20:41 - я запустил postqueue -f вручную
20:43 - я, видя что письмо не уходит, внес их MX в whitelist
20:45 - еще одна попытка доставить письмо
21:55 - наконец случилась еще одна попытка с их стророны верифицировать
адрес. И прошла, потому что whitelisted. Может быть прошла бы и
так, на основании triplet found. Тем не менее в логе появляется еще один
их отлуп "unverified address'
23:05 - письмо наконец ушло.

Интересно, насколько распространена такая практика, и что с ней делать,
чтобы письмо не уходило по 5 часов?


> > Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
> > postgrey так, чтобы он отличал sender address verification от спама
> > и не грейлистил её?
  
 

Re: postgrey и sender verification

[Victor Wagner]

On Fri, 18 Mar 2016 10:33:44 +0200
"Vasiliy P. Melnik"  wrote:

> К сожалению не знаю как в постфиксе, у меня экзим, но верифай это
> отдельная процедура, и у меня в экзиме она расположена должна быть
> просто раньше грейлистинга

Тут верифай - у них, а грейлистинг - у меня.

Re: postgrey и sender verification

[Дмитрий Подковыркин]

А запрос от него к вам как выглядит?

Вообще, по хорошему, его сервер в ответ на статус 450 должен подождать и 
проверить адрес снова через некоторое время так как 450 совсем не значит 
отсутствие адресата.


Если посмотреть в белый список portgrey, то мы там увидим только "не 
повторяет отправку" или подобные комментарии к доменам. Но нет внесения 
в белый список по причине sender address verification.



18.03.2016 10:14, Victor Wagner пишет:

Коллеги,

Столкнулся вот с такой проблемой - стоит у меня в postfix-е
greylisting (postgrey). И потребовалось отправить письмо в домен,
администратор которого настроил себе зачем-то sender address
verification.

То есть я туда шлю письмо, а он в ответ делает smtp-коннект ко мне и,
естественно, получает "


Mar 17 18:05:58 deneb postfix/smtpd[3149]: NOQUEUE: reject: RCPT from
.xxx.ru[nnn.nnn.nn.nn]: 450 4.2.0 :
Recipient address rejected: Greylisted, see
http://postgrey.schweikert.ch/help/wagner.pp.ru.html;
from=

В результате я от него получаю
450 4.1.7 : Sender address rejected: unverified
address

И в таком состоянии оно стояло до тех пор, пока я руками не
завайтлистил в postgrey их smtp-сервер. После этого еще через некоторое
время (похоже там заметный таймаут на устаревание кэша unverified
адресов) письмо всё-таки ушло.

Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
postgrey так, чтобы он отличал sender address verification от спама и
не грейлистил её?




--
Подковыркин Дмитрий
ООО "Строительная компания ТРОН"
mobile:  +7 922 20 56 756
email: d.podkovyr...@comtron.ru
email: d...@ddipp.net

Re: postgrey и sender verification

[Victor Wagner]

On Fri, 18 Mar 2016 11:55:19 +0300
Artem Chuprina  wrote:

> Vasiliy P. Melnik -> Victor Wagner  @ Fri, 18 Mar 2016 10:33:44 +0200:
> 
>  VPM> К сожалению не знаю как в постфиксе, у меня экзим, но верифай
>  VPM> это отдельная процедура, и у меня в экзиме она расположена
>  VPM> должна быть просто раньше грейлистинга  
> 
> Так верифай на одном конце, а грейлистинг на другом :)
> 
> Но вообще мне казалось, что sender verify должен производиться от
> имени <> (в смысле mail from: <>).  А не от какого попало.

А вот оказывается, нынче это не так: 


By default, Postfix probe messages have a sender address 
"double-bounce@$myorigin" (with Postfix versions before 2.5, the default is 
"postmaster@$myorigin"). This is SAFE because the Postfix SMTP server does not 
reject mail for this address.

You can change the probe sender address into the null address 
("address_verify_sender ="). This is UNSAFE because address probes will fail 
with mis-configured sites that reject MAIL FROM: <>, while probes from 
"double-bounce@$myorigin" would succeed.

The downside of using a non-empty sender address is that the address may end op 
on spammer mailing lists. Although Postfix always discards mail to the 
double-bounce address, this still results in wasted network bandwidth and 
server capacity. To defeat address harvesting, Postfix 2.9 and later support 
time-dependent sender addresses when you specify a non-zero 
address_verify_sender_ttl value.



http://www.postfix.org/ADDRESS_VERIFICATION_README.html

>

Re: postgrey и sender verification

[sergio]

On 18/03/16 08:14, Victor Wagner wrote:

> Столкнулся вот с такой проблемой - стоит у меня в postfix-е
> greylisting (postgrey). И потребовалось отправить письмо в домен,
> администратор которого настроил себе зачем-то sender address
> verification.

Почему "зачем-то"?


> Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
> postgrey так, чтобы он отличал sender address verification от спама и
> не грейлистил её?

По моему нет.

Это, конечно, ни о чём не говорит, но на MX lists.debian.org graylist
c sender address verification.  У меня sender address
verification без грейлиста.  Письма от дебиана приходят исправно.


Я бы разобрался почему оно висит. 450 ведь. И на очередной попытке
отправить адрес получателя должен загрейтлиститься и sender address
verification пройдёт.


-- 
sergio

Re: postgrey и sender verification

[Vasiliy P. Melnik]

18 марта 2016 г., 10:33 пользователь Vasiliy P. Melnik 
написал:

> К сожалению не знаю как в постфиксе, у меня экзим, но верифай это
> отдельная процедура, и у меня в экзиме она расположена должна быть просто
> раньше грейлистинга
>

Рекомендую поставить на верифай задержку в 30 секунд - нормальный мта
дождется, а спамеры от вашего имени спам не будут рассылать

Re: postgrey и sender verification

[Eugene Berdnikov]

On Fri, Mar 18, 2016 at 08:14:40AM +0300, Victor Wagner wrote:
> То есть я туда шлю письмо, а он в ответ делает smtp-коннект ко мне и,
> естественно, получает "
> 
> 
> Mar 17 18:05:58 deneb postfix/smtpd[3149]: NOQUEUE: reject: RCPT from
> .xxx.ru[nnn.nnn.nn.nn]: 450 4.2.0 :
> Recipient address rejected: Greylisted, see
> http://postgrey.schweikert.ch/help/wagner.pp.ru.html;
> from=

 Тот, кто делает коннект с double-bounce@ -- он неправ. Хотя бы потому,
 что отправитель может начать sender verify этого double-bounce@, и даже
 если он проходит, то это излишняя трата ресурсов.

 Нормально sender verify использует mail from: <>, это специально
 придуманный служебный адрес (RFC2821, пункт 4.5.5 "Messages with
 a null reverse-path") и потому грейлистить его нужно не на стадии rcpt,
 а не на стадии data, т.е. такие проблемы не возникают.

 В принципе такими же служебными адресами можно считать ,
 с некоторой натяжкой , от цируса бывает  и т.д.

> В результате я от него получаю 
> 450 4.1.7 : Sender address rejected: unverified
> address
> 
> И в таком состоянии оно стояло до тех пор, пока я руками не
> завайтлистил в postgrey их smtp-сервер.

 Видимо, интервал прогона очереди на стороне отправителя неадекватен
 настройкам тайминга для грейлистера, иначе по времени перевода
 триплета из серого списка в белый письмо бы ушло.

 Да, я знаю, что в postfix'e экспоненциальный рост интервала прогона
 очереди неотрываемый. Но это проблема postfix'а, не более того.
 Разумнее первые 15-20 минут иметь константу, а потом экспоненту.

> После этого еще через некоторое
> время (похоже там заметный таймаут на устаревание кэша unverified
> адресов) письмо всё-таки ушло.
> 
> Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
> postgrey так, чтобы он отличал sender address verification от спама и
> не грейлистил её?

 Можно, наверное, но есть и другой вариант: сконфигурить МТА так, чтобы
 не звал грейлистер когда это не нужно. Как сделать в Postfix не знаю,
 а в Exim примерно так:

 accept
hosts   = : +relay_from_hosts
!senders= : postmaster@* : mailer-daemon@* : sieve@*
condition   = ${}
-- 
 Eugene Berdnikov

Re: postgrey и sender verification

[Vasiliy P. Melnik]

К сожалению не знаю как в постфиксе, у меня экзим, но верифай это отдельная
процедура, и у меня в экзиме она расположена должна быть просто раньше
грейлистинга

18 марта 2016 г., 9:44 пользователь Victor Wagner 
написал:

> On Fri, 18 Mar 2016 10:57:38 +0500
> Дмитрий Подковыркин  wrote:
>
> > А запрос от него к вам как выглядит?
>
> Запроса полностью в логах я, естественно, не увидел. Что в логах было -
> привел (выкинув домен и IP отправителя).
>
> Далее, остается только догадываться по логике описания процедуры Sender
> verification, что оно приходит и говорит
>
> MAIL from: double-bou...@domain.ru
> RCPT to: vi...@wagner.pp.ru
>
> На этом этапе получает 450, после этого отшибает мое письмо тоже с 450.
> А потом при нескольких повторных попытках моего сервера отправить
> письмо, не делает повторных попыток верифицировать адрес.
>
> То есть картина выглядела так:
> 17:51 - первая попытка их доставить мне письмо. Greylisted
> 17:56 - вторая попытка. Письмо прошло
> 18:06 - я на письмо ответил. Пришел sender verification и загрейлистился
> 18:15 - вторая попытка доставить мое письмо. Status: Deferred без
> повторной попытки верифицирвать адрес
> 18:25  - третья
> 18:45
> 19:25
> 20:35 - продолжаем долбиться с увеличивающимися интервалами и получать
> Sender rejected: unverified address
> 20:41 - я запустил postqueue -f вручную
> 20:43 - я, видя что письмо не уходит, внес их MX в whitelist
> 20:45 - еще одна попытка доставить письмо
> 21:55 - наконец случилась еще одна попытка с их стророны верифицировать
> адрес. И прошла, потому что whitelisted. Может быть прошла бы и
> так, на основании triplet found. Тем не менее в логе появляется еще один
> их отлуп "unverified address'
> 23:05 - письмо наконец ушло.
>
> Интересно, насколько распространена такая практика, и что с ней делать,
> чтобы письмо не уходило по 5 часов?
>
>
> > > Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
> > > postgrey так, чтобы он отличал sender address verification от спама
> > > и не грейлистил её?
>
>
>
>

Re: postgrey и sender verification

[Artem Chuprina]

Vasiliy P. Melnik -> Victor Wagner  @ Fri, 18 Mar 2016 10:33:44 +0200:

 VPM> К сожалению не знаю как в постфиксе, у меня экзим, но верифай это 
отдельная
 VPM> процедура, и у меня в экзиме она расположена должна быть просто раньше
 VPM> грейлистинга

Так верифай на одном конце, а грейлистинг на другом :)

Но вообще мне казалось, что sender verify должен производиться от имени
<> (в смысле mail from: <>).  А не от какого попало.

 >> > А запрос от него к вам как выглядит?
 >>
 >> Запроса полностью в логах я, естественно, не увидел. Что в логах было -
 >> привел (выкинув домен и IP отправителя).
 >>
 >> Далее, остается только догадываться по логике описания процедуры Sender
 >> verification, что оно приходит и говорит
 >>
 >> MAIL from: double-bou...@domain.ru
 >> RCPT to: vi...@wagner.pp.ru
 >>
 >> На этом этапе получает 450, после этого отшибает мое письмо тоже с 450.
 >> А потом при нескольких повторных попытках моего сервера отправить
 >> письмо, не делает повторных попыток верифицировать адрес.
 >>
 >> То есть картина выглядела так:
 >> 17:51 - первая попытка их доставить мне письмо. Greylisted
 >> 17:56 - вторая попытка. Письмо прошло
 >> 18:06 - я на письмо ответил. Пришел sender verification и загрейлистился
 >> 18:15 - вторая попытка доставить мое письмо. Status: Deferred без
 >> повторной попытки верифицирвать адрес
 >> 18:25  - третья
 >> 18:45
 >> 19:25
 >> 20:35 - продолжаем долбиться с увеличивающимися интервалами и получать
 >> Sender rejected: unverified address
 >> 20:41 - я запустил postqueue -f вручную
 >> 20:43 - я, видя что письмо не уходит, внес их MX в whitelist
 >> 20:45 - еще одна попытка доставить письмо
 >> 21:55 - наконец случилась еще одна попытка с их стророны верифицировать
 >> адрес. И прошла, потому что whitelisted. Может быть прошла бы и
 >> так, на основании triplet found. Тем не менее в логе появляется еще один
 >> их отлуп "unverified address'
 >> 23:05 - письмо наконец ушло.
 >>
 >> Интересно, насколько распространена такая практика, и что с ней делать,
 >> чтобы письмо не уходило по 5 часов?
 >>
 >>
 >> > > Вопрос в том - а существует ли какой-нибудь способ сконфигурировать
 >> > > postgrey так, чтобы он отличал sender address verification от спама
 >> > > и не грейлистил её?
 >>
 >>
 >>
 >>