Forums -> Глюкодром -> помогите разобраться с почтовым сервером
| Full Version

Lab
@ 02-03-2004, 09:44
у меня на новой работе страно работает почтовик. помогите разобраться.

симптомы такие:
1. почта уходит от нас
2. почта к нам приходит не вся :(

почтовый сервер, как мне обьяснили при передаче дел и есть мой сервер, там стоит Eserv 2.99 и он принимает всю корреспонденцию. мыла наши - ***(собака спамер)bnk.baltnet.ru

я прошу прислать мне письмо на адрес admin(собакаспамер)bnk.baltnet.ru и если вам вернется отбой то запостите его сюда.

также буду рад совету, кто подскажет откуда копать.
veneamin
@ 02-03-2004, 10:33
MX записи в DNS'е настроены нормально? Антиспамные фильтры и прочие блеклисты отключены? Проверка сервером существования юзера при приеме письма отключена? Я конкретно с этим сервером не знаком, но это то, что я бы проверил на своем в такой ситуации.
Billy Bonce
@ 02-03-2004, 11:04
From MAILER-DAEMON Tue Mar 02 10:13:26 2004
Return-path: <>
Received: from mail by mx13.mail.ru with local
id 1Ay45l-000Azf-00
for xx@mail.ru; Tue, 02 Mar 2004 10:13:25 +0300
X-Failed-Recipients: admin@bnk.baltnet.ru
From: Mail Delivery System <Mailer-Daemon@mx13.mail.ru>
To: xx@mail.ru
Subject: Mail delivery failed: returning message to sender
Message-Id: <E1Ay45l-000Azf-00@mx13.mail.ru>
Date: Tue, 02 Mar 2004 10:13:25 +0300
X-SpamPal: PASS


This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

admin@bnk.baltnet.ru
SMTP error from remote mailer after RCPT TO:<admin@bnk.baltnet.ru>:
host radius.baltnet.ru [217.168.64.6]: 550 5.7.1 <admin@bnk.baltnet.ru>... Relaying denied. Proper authentication required.

------ This is a copy of the message, including all the headers. ------

Return-path: <xx@mail.ru>
Received: from [80.179.60.26] (port=3129 helo=COMPAQ)
by mx13.mail.ru with esmtp
id 1Ay45f-000AnU-00
for admin@bnk.baltnet.ru; Tue, 02 Mar 2004 10:13:19 +0300
Date: Tue, 2 Mar 2004 09:09:50 +0200
From: XX <xx@mail.ru>
X-Mailer: The Bat! (v1.62r)
Reply-To: XX <xx@mail.ru>
X-Priority: 3 (Normal)
Message-ID: <11810578074.20040302090950@mail.ru>
To: admin@bnk.baltnet.ru
Subject: test
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-Spam: Not detected
Lab
@ 02-03-2004, 11:24
Венеамин, мишка, вот смотри, что получается: ДНС мне не подвластен чтобы проверить МХ записи. у меня никаких антиспамных фильтров нету...

что интересно, то что балтнетовский сервак (radius.baltnet.ru [217.168.64.6]) требует от отправителя какую-то аутентификацию
Sidorini
@ 02-03-2004, 12:45
Ну, в общем, то же, что и у Billy Bonce:

Return-Path: <>
To: я@012.net.il
From: Mail Administrator <Postmaster@012.net.il>
Reply-To: Mail Administrator <Postmaster@012.net.il>
Subject: Mail System Error - Returned Mail
Date: Tue, 2 Mar 2004 11:33:51 +0200
Message-ID: <20040302093351.ANR779.fep2@fep2.012.net.il>
MIME-Version: 1.0
Content-Type: multipart/report;
report-type=delivery-status;
Boundary="===========================_ _= 9960937(779)1078220031"
Content-Transfer-Encoding: 7BIT


This Message was undeliverable due to the following reason:

Each of the following recipients was rejected by a remote mail server.
The reasons given by the server are included to help you determine why
each recipient was rejected.

Recipient: <ты@bnk.baltnet.ru>
Reason: 5.7.1 <ты@bnk.baltnet.ru>... Relaying denied. Proper authentication required.


Please reply to Postmaster@012.net.il
if you feel this message to be in error.

Само сообщение:

Received: from localhost ([80.179.58.207]) by fep2.012.net.il with ESMTP
id <20040302093339.AIY779.fep2@localhost>
for <ты@bnk.baltnet.ru>; Tue, 2 Mar 2004 11:33:39 +0200
Date: Tue, 2 Mar 2004 11:33:44 +0200
From: Я <я@012.net.il>
X-Mailer: The Bat! (v1.61)
Reply-To: Я <я@012.net.il>
X-Priority: 3 (Normal)
Message-ID: <186484218.20040302113344@012.net.il>
To: ты@bnk.baltnet.ru
Subject: Test
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit


Hello admin,

Test

--
Best regards,
Я mailto:я@012.net.il
irage
@ 02-03-2004, 13:21
Ты разреши relay на своих пользователей без всяких аутентификаций. Фишка в чем - открытый relay это подарок спамеру. Соответственно сейчас в SMTP встраивают защиту. Посмотри в этом направлении, я просто e-serv не знаю. Там должно быть что-то типа правил, где прописывается: relay на пользователей домейна bnk.baltnet.ru производится без аутентификации. Если не получится, дай ссылку на свой софт, я скачаю и посмотрю. Сам пользуюсь qmail но он под *nix
Lab
@ 02-03-2004, 14:27
irage: смотри как интересно: radius.baltnet.ru - это не мой сервак... это хост провайдера, но разве он должен принимать мою почту? есди в ДНС МХ запись должна указывать на мой почтовик?

непонятно это
irage
@ 02-03-2004, 14:54
QUOTE (laborant @ 02-03-2004, 16:27)
irage: смотри как интересно: radius.baltnet.ru - это не мой сервак... это хост провайдера, но разве он должен принимать мою почту? есди в ДНС МХ запись должна указывать на мой почтовик?

непонятно это

Обычно ставят 2 или больше MX записи, при этом выставляют приоритеты. Если удаленный сервак не может достучаться до основного MX (самое маленькое значение), он шлет на тот, у кого MX побольше и так дальше по списку. Но эти MX должны быть настроены на relay твоей почты.
irage
@ 02-03-2004, 14:59
QUOTE

> set q=any
> bnk.baltnet.ru
Server:  ns.tojikiston.com
Address:  193.111.11.2  bnk.baltnet.ru  preference = 10, mail exchanger = server.bnk.baltnet.ru
bnk.baltnet.ru  preference = 20, mail exchanger = radius.baltnet.ru
baltnet.ru      nameserver = ns.rosprint.net
baltnet.ru      nameserver = ns2.rosprint.net
baltnet.ru      nameserver = ns.baltnet.ru
server.bnk.baltnet.ru   internet address = 217.168.75.10
radius.baltnet.ru       internet address = 217.168.64.6
ns.baltnet.ru   internet address = 217.168.64.2
ns.rosprint.net internet address = 193.232.88.17
ns2.rosprint.net        internet address = 194.84.23.125


смотри что у тебя прописано. MX с приоритетом 20 - именно radius.baltnet.ru
значит он не настроен на relay твоей почты
veneamin
@ 02-03-2004, 15:06
ну вот смотри что nslookup выдает:

CODE
bnk.baltnet.ru  MX preference = 20, mail exchanger = radius.baltnet.ru
bnk.baltnet.ru  MX preference = 10, mail exchanger = server.bnk.baltnet.ru

radius.baltnet.ru       internet address = 217.168.64.6
server.bnk.baltnet.ru   internet address = 217.168.75.10


Если я неичего не путаю, то чем меньше MX preference, тем у него выше приоритет. Т.е. по идее почтовые серваки должны первым делом ломиться на server.bnk.baltnet.ru . Если там почтовый сервер не найден - то идут дальше по МХ записям, а это radius.baltnet.ru. Естественно, что такого юзера у него не прописано, он это воспринимает как попытку релеить и требует авторизации, это логично и правильно.
Остается разобраться, почему не откликается твой сервер. Он на этом адресе живет? server.bnk.baltnet.ru у него в рабочих хостах (или алиасах) прописан?
Щас попробую вручную отправить письмо...
veneamin
@ 02-03-2004, 15:24
Ну вот, попробовал я телнетом подконектится к server.bnk.baltnet.ru:25 - Host has closed connection.
Вобщем, или у тебя сервер на этом адресе не слушает или вообще сервис выключен...
heineken man
@ 02-03-2004, 16:24
220 Eserv/2.99 ESMTP server ready.
helo as.com
250 Hello 62.90.71.66
mail from:as@as.com
250 OK
rcpt to: as@cnn.com
250 OK
data
354 send the mail data, end with .
wefedfed
.
250 OK message accepted for delivery

Релеинг закрой, уважаемый. :fu:
irage
@ 02-03-2004, 16:24
QUOTE (laborant @ 02-03-2004, 18:19)
всем огромное спасибо!
в eserve была поставлена маска, которая запрещает соединения с сервером со всех адресов кроме локальных. вот.

Хорошо, причину ты нашел, но relay на втором сервере все же лучше настроить. Иначе возможны потери почты.
Lab
@ 02-03-2004, 16:41
heineken man:
достаточно ли будет ввести SMTP авторизацию или нужно ставить запрет на соединение с сервером с адресов не локальных (а не получится ли опять такая же картина, что до меня письма доходить не будут)?

irage:
а если я все-таки закрою себя от внешнего мира, но настрою релей на втором сервере и разрешу принимать внешнюю почту только с него - будет жить такой вариант?
veneamin
@ 02-03-2004, 16:46
QUOTE (laborant @ 02-03-2004, 16:41)
достаточно ли будет ввести SMTP авторизацию или нужно ставить запрет на соединение с сервером с адресов не локальных (а не получится ли опять такая же картина, что до меня письма доходить не будут)?  

Получится. Так что - авторизация для всех, релей для локальных или конкретных адресов, если ты в них уверен. Но учти, что юзеры при наличии авторизации должны это у себя в клиенте настроить, так что будут звонки - "у меня почта не отправляется", готовься. ;)
А без авторизации сервер должен принимать письма только для локальных почтовых адресов, т.е. юзер(a)bnk.baltnet.ru.
heineken man - не факт, что это письмо пошло дальше - бывают случаи, когда сервер письмо принимает, а потом молча киляет, если релейное. ты свое письмо получил? если да - тогда действительно релей открыт.
irage
@ 02-03-2004, 16:47
QUOTE (laborant @ 02-03-2004, 18:41)
heineken man:
достаточно ли будет ввести SMTP авторизацию или нужно ставить запрет на соединение с сервером с адресов не локальных (а не получится ли опять такая же картина, что до меня письма доходить не будут)?

irage:
а если я все-таки закрою себя от внешнего мира, но настрою релей на втором сервере и разрешу принимать внешнюю почту только с него - будет жить такой вариант?

надо прописать такие правила:

на твоем основном сервере:

1) Принимать почту без авторизации со всех серверов только в случае если почтовый адрес заканичвается на @bnk.baltnet.ru

2) Принимать почту на любые адреса только если у клиента ip адрес твоей корпоративной сети

3) Всю остальную почту отвергать с милой улыбкой и надписью sorry bro we do not relay

на сервере relay надо прописать relay для твоего домейна. что-то вроде: все что приходит на домейн bnk.balnet.ru мы примем, но эта не наша почта, мы ее должны отрелейить.

SMTP авторизация - это не RFC совместимая штука, поэтому головной боли ты поимеешь еще как.
veneamin
@ 02-03-2004, 16:50
А я первый, я первый :p !
FiL
@ 02-03-2004, 16:51
QUOTE (veneamin @ 02-03-2004, 07:06)
Если я неичего не путаю, то чем меньше MX preference, тем у него выше приоритет. Т.е. по идее почтовые серваки должны первым делом ломиться на server.bnk.baltnet.ru . Если там почтовый сервер не найден - то идут дальше по МХ записям, а это radius.baltnet.ru. Естественно, что такого юзера у него не прописано, он это воспринимает как попытку релеить и требует авторизации, это логично и правильно.

Нет, это не правильно. Если ты прописан релеем для какого-то домена, то ды должен принимать почту для этого домена "как родной", только не складывать ее в ящики, а держать в очереди и пытаться протолкнуть на основной сервер.

Lab, пиши балтнетовцам, чтобы у себя на МХ-ах настроили твою почту. Причем на обоих, и на radius.baltnet.ru и на mx.baltnet.ru.

Кстати, server.bnk.baltnet.ru опять не хочет принимать почту. Говорит not authorized. Ты там поправь где надо.
Lab
@ 02-03-2004, 16:54
Фил, а сейчас?
veneamin
@ 02-03-2004, 17:00
У меня приняло - для твоего почтового адреса и для моего, т.е. левого. Но на свой я письма так и не получил =).
Lab
@ 02-03-2004, 17:14
и так...

eserv умеет:
- проверять локальность отправителя, но алгоритм проверки использует маску адресов которым разрешено соединяться с сервером, а там мне пришлось прописать 0.0.0.0 потому как иначе почта до нас не доходила.
- умеет спрашивать авторизацию на SMTP сервере, но после того как я ее включил у Фила не приняло письмо, после этого я ее включил и у медведя прошло письмо.
- умеет принимать чужую почту и перенаправлать чужую почту, опцию "принимать" я включил, а "перенаправлять" выключил, вот почему я получил письмо Венеамина, а он нет. то есть я так понимаю - релей закрыт?


кто хочет посмотреть на ESERV - http://eserv.ru
veneamin
@ 02-03-2004, 17:29
Видимо да, ты же "принимать" включил, а "перенаправлять" выключил - все логично.
Насчет локальных юзеров - при чем тут ip-адреса? Почтовый адрес должен быть локальный, для них принимать от всех. Если Фил пытался послать письмо не тебе, а себе, к примеру, то его совершенно правильно отфутболило.
Дополнение: Посмотрел я его доки.. хм.. как-то там все странно названо, да еще и по-русски =)
По идее там все должно быть тривиально, во всяком случае на словах, просто пропиши верно маску для локальных ip-адресов и включи проверку локальности отправителя. И локльный домен пропиши нужный. Тогда свои смогут отправлять любую почту. А для от чужих, но для своих он должен принимать почту с любых адресов в любом случае. Тяжело без скриншотов, невнятно там как-то все написано.
irage
@ 02-03-2004, 18:05
laborant,

почитай ка вот это:

http://forum.eserv.ru/viewtopic.php?t=1017...5ba03c847761f86
heineken man
@ 02-03-2004, 18:26
QUOTE
heineken man - не факт, что это письмо пошло дальше - бывают случаи, когда сервер письмо принимает, а потом молча киляет, если релейное. ты свое письмо получил? если да - тогда действительно релей открыт.


Почтовый сервер не должен принимать сообщения для релеинга на чужие домейны, даже если он их потом не посылает. Достаточно что в SMTP диалоге проскочит "ОК" и произойдут две неприятные вещи:
1. Сервер быстренько попадет в какой-нибудь RBL, а выписаться оттуда иногда тот еще гемморой.
2. Почтовые роботы спаммеров начнут бомбить сервер попытками послать спам через него, ведь с их точки зрения релей открыт полностью. :w00t: :fear2:
veneamin
@ 02-03-2004, 21:48
"Сервер быстренько попадет в какой-нибудь RBL, а выписаться оттуда иногда тот еще гемморой" - да-да, именно так и происходило. Поверь мне, я не один сервер сменил на своем веку, и из блеклистов именно по этой причине в свое время выписывался мучительнейшим образом. =)
Lab
@ 03-03-2004, 09:57
а кстати, в блэк лист к яндексу наш ИП уже успел попасть.. правда это случилось до меня :)

кстати, проверьте кто может как сейчас у меня с релеями или расскажите как я могу это сделать сам ;)
heineken man
@ 03-03-2004, 11:06
http://www.abuse.net/relay.html
Lab
@ 03-03-2004, 12:24
10nx