Hello la linuxsphere,
Je rencontre un problème d'envoi de mail avec un de mes serveurs.
Il y a des tâches CRON qui tournent dessus, et donc un mail est envoyé à la fin de l'exécution de chaque tâche vers une adresse de mon domaine principal.
Jusqu'à il y a peu, les mails partaient tranquillement, mais depuis quelques semaines, le serveur de mail du domaine principal rejettent les mails parce que l'IP du serveur de CRON se retrouve dans la CBL de spamhaus.
Alors on dé-blackliste l'IP chez spamhaus, mais à force ca va plus trop fonctionner ça.
Et un peu de technique :
- le serveur de CRON est un container openvz en Debian 7 avec un postfix installé dedans. Mais à un nom de domaine très générique et pas déployé en DNS
- le serveur de mail du domaine principal est un Exchange hosté chez Microsoft (solution Office 365). Pour les aigris non c'est pas le serveur Exchange le problème, pour ceux que ca intéresse non je ne peux pas changer facilement la config des serveurs de MS :-)
Dans les réponses au bounce, on à un lien vers spamhaus dans lequel on trouve l'information suivante :
This IP address is HELO'ing as "localhost.localdomain" which violates the relevant standards (specifically: RFC5321).
The CBL does not list for RFC violations per-se. This particular behaviour, however, correlates strongly to spambot infections. In other words, out of thousands upon thousands of IP addresses HELO'ing this way, all but a handful are infected and spewing junk. Even if it isn't an infection, it's a misconfiguration that should be fixed, because many spam filtering mechanisms operate with the same rules, and it's best to fix it regardless of whether the CBL notices it or not.
Cependant, le serveur n'est pas contactable depuis l'extérieur, il peut seulement envoyer des mails depuis l'intérieur. (port 25 bloqué par iptables).
Nous avons quand même testé d'envoyer un mail à l'adresse mail indiqué chez eux (helocheck@helocheck.abuseat.org), afin qu'il nous retourne le EHLO du serveur. Et il s'avère qu'il a une bonne syntaxe :
Oct 7 14:56:57 m2m-srv02-www postfix/qmgr[1746]: 2DF56279C723: from=root@m2m-srv02-www.ovh.net, size=461, nrcpt=1 (queue active)
Oct 7 14:57:21 m2m-srv02-www postfix/smtp[21160]: 2DF56279C723: to=helocheck@helocheck.abuseat.org, relay=helocheck.abuseat.org[54.245.112.115]:25, delay=24, delays=0.01/0/24/0.38, dsn=5.0.0, status=bounced (host helocheck.abuseat.org[54.245.112.115] said: 550 *** The HELO for IP address 37.187.153.207 was 'm2m-srv02-www.ovh.net' (valid syntax) *** (in reply to RCPT TO command))
Voici la configuration actuelle du serveur postfix (main.cf) :
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
myhostname = m2m-srv02-www.ovh.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = m2m-srv02-www.ovh.net, localhost.ovh.net, , localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
Alors je suis pas vraiment un pro du mail (raison qui a fait que j'ai fais hosté nos mails à l'extérieur), et je ne comprends pas trop d'où viens ce blacklistage de l'IP.
Surtout que j'ai un autre serveur avec des containers dessus qui envoient des mails au même domaine principale (hosté par Exchange) et que je n'ai aucun problème.
Est-ce que ça parle à quelqu'un ce genre de problème ?
Et comment le résoudre ?
Merci d'avance !
# DNS -> SPF
Posté par GG (site web personnel) . Évalué à 4.
Ton serveur doit être autorisé à envoyé des e-mails, cela se fait généralement avec un enregistrement TXT contenant un champs SPF.
C'est au niveau du serveur DNS que ça se joue.
A+
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: DNS -> SPF
Posté par fanto30 . Évalué à 1.
Ah je me doutais que c'était quelque chose comme ça … mais j'ai plusieurs containers qui envoie des mails et comme tu as pu le voir le nom de domaine est tout ce qu'il y a de plus générique et n'est pas déployé sur un DNS.
Mais merci, on va creuser dans cette direction.
# Spamhaus et les RBL
Posté par guy_R . Évalué à 2.
Pour toute solution j'ai modifié :
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks
smtpd_relay_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
[^] # Re: Spamhaus et les RBL
Posté par fanto30 . Évalué à 1.
Merci Guy.
En fait on ne fait qu'envoyer des mails (des CRON qui tournent sur les containers), on en recoit pas (sur ces serveurs là tout du moins).
Mais on a un peu mieux configurer les MX et les reverses, en y ajoutant une dose de SPF.
On verra bien ce que ca donne.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.