E-Mail Blockliste blockt falsch auf Keyhelp Server

[OnSerious]

Hallo zusammen,

ich hab momentan ein nerviges Problem auf zwei verschiedenen Servern auf denen Keyhelp läuft.

Ich habe festgestellt, das zeitkritische E-Mails manchmal um Stunden verspätet oder gar nicht eintreffen. im Log habe ich festgestellt, dass die E-Mails durch die Spamhaus Zen DNSBL von meinem Keyhelp Server sporadisch abgelehnt werden. Manche Mails kommen dann eine Stunde später aber an.

Es handelt sich da leider um große Anbieter sei es von Outlook, eBay, Amazon und weitere. Es tritt sporadisch auf. Die dnswl Whitelist ist auch gepflegt.

Wenn ich dann ganz schnell nach so einem Ereignis die IP-Adressen und Hostnamen aus dem Log auf der Spamhaus Seite prüfen lasse, kommt immer die Meldung „has no Issues“ also hat keine Probleme.

System: Debian 12 auf KVM mit Keyhelp 24.2 Standardinstallation

Ich kann mir nicht wirklich vorstellen, dass die Blacklist fehlerhaft funktioniert, sondern gehe vielleicht von einem Konfigurations- oder Verbindungsfehler auf meinem Server aus. Was haltet ihr von diesem Log? IPs/Hostnamen und Mailadressen habe ich anonymisiert. Ohne die Blockliste geht alles sofort durch. Seht ihr hier was? Das backwards_compatible und TLS SNI not matched triggert mich etwas.

Code: Select all

2024-08-29 18:48:17	postfix/smtpd	disconnect from mail.outbound.protection.anonymerhost.domain[40.41.42.43] ehlo=2 starttls=1 mail=1 rcpt=0/1 quit=1 commands=5/6

2024-08-29 18:48:17	postfix/smtpd	using backwards-compatible default setting smtpd_relay_before_recipient_restrictions=no to reject recipient "meinpostfach@meinedomain.de" from client "mail.outbound.protection.anonymerhost.domain[40.41.42.43]"

2024-08-29 18:48:17	postfix/smtpd	NOQUEUE: reject: RCPT from mail.outbound.protection.anonymerhost.domain[40.41.42.43]: 554 5.7.1 Service unavailable; Client host [40.41.42.43] blocked using zen.spamhaus.org; Error: open resolver; https://check.spamhaus.org/returnc/pub/74.63.24.238/; from=<fremdernutzer@anonymerhost.domain> to=<meinpostfach@meinedomain.de> proto=ESMTP helo=

2024-08-29 18:48:17	policyd-spf	: prepend Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=40.41.42.43; helo= mail.outbound.protection.anonymerhost.domain; envelope-from=fremdernutzer@anonymerhost.domain; receiver=meinedomain.de

2024-08-29 18:48:17	postfix/smtpd	TLS SNI keyhelp.meinedomain.de from mail.outbound.protection.anonymerhost.domain[40.41.42.43] not matched, using default chain

2024-08-29 18:48:17	postfix/smtpd	connect from mail.outbound.protection.anonymerhost.domain[40.41.42.43]

[Jolinar]

Steht doch relativ eindeutig da:

Code: Select all

NOQUEUE: reject: RCPT from mail.outbound.protection.anonymerhost.domain[40.41.42.43]: 554 5.7.1 Service unavailable; Client host [40.41.42.43] blocked using zen.spamhaus.org; Error: open resolver; https://check.spamhaus.org/returnc/pub/74.63.24.238/; from=<fremdernutzer@anonymerhost.domain> to=<meinpostfach@meinedomain.de>

Es wird sogar ein Link zu einer Webseite mitgeliefert, wo das Problem näher erläutert wird:

Why has my email not been delivered?
The problem is with the recipient’s email server configuration.
This is not due to an issue with your email set-up.
It is not because you are listed on one of our blocklists.

BTW:
Wenn man nicht immer alle relevanten Infos wegzensieren würde, könnten wir von unserer Infrastruktur aus mal diverse Checks machen und mögliche Probleme näher eingrenzen...

[OnSerious]

Danke für die Info Jolinar.

Die Seite hab ich wohl nicht richtig gelesen, ich hab da nur das open resolver gelesen und mit was anderem verwechselt. Das natürlich auf den Gegenserver bezogen. Ich denke aber nach genauem lesen das Problem gefunden zu haben.

Ich hatte vor längerer Zeit in der resolv.conf die Nameserver Adressen von Quad9 (öffentlicher DNS Anbieter) gesetzt gehabt, als die Nameserver vom Serveranbieter nach einem Umzug die geänderte IP Adresse bei den Domains nach mehreren Stunden immer noch nicht kannte.

Der DNS von Quad9 löst da wohl nicht richtig auf, und Spamhaus meldet das dann wohl so. Soweit hab ich da jetzt auch nicht gedacht, das der im System eingestellte DNS ein Problem an der Stelle verursacht, denn alles andere ging ja.

Sorry fürs zensieren, wusste nicht das es doch so eine große Auswirkung hat. Ich werde es jetzt mal mit dem DNS vom Serveranbieter probieren, und sollte es nicht gehen, melde ich mich nochmal. Dann unzensiert

[Jolinar]

Sorry fürs zensieren, wusste nicht das es doch so eine große Auswirkung hat.

Mir ist es letztlich relativ egal, welche Informationen in der Beschreibung des Problems mitgegeben werden. Je weniger relevante Infos dabei sind, desto allgemeiner wird meine Antwort ausfallen.
Ich verstehe natürlich auch, wenn jemand Kunden hat und zB. die Kundendomains oder vollständige Postfachnamen nicht im Klartext mitliefern will. Wenn solche sensiblen Informationen dann zur Eingrenzung benötigt werden, kann man die auch gern als Foren-PN nachreichen.
Aber viele Infos wie die IP Adressen oder Domainnamen der betroffenen Mailserver sind sowieso öffentlich im DNS einsehbar und sollten IMHO kein Staatsgeheimnis sein.
Wenn diese 'allgemeineren' Infos zur Verfügung stehen, kann man schon diverse Sachen überprüfen (Erreichbarkeit, korrekte Konfiguration im DNS, eventuelle Einträge auf diversen BL's, etc.), bevor man einen Antwortpost verfaßt.

[Florian]

Hallo,

wurde denn die Spamhaus DNSBL auch korrekt angelegt wie hier beschrieben:

https://www.heinlein-support.de/blog/ne ... i-spamhaus

https://docs.spamhaus.com/datasets/docs ... stfix.html

Keyhelp akzeptiert die Angabe der Returncodes im DNSBL Feld