Am 01.04.2012 23:59, schrieb Joern Bredereck:
Hallo,
ich hatte heute das Problem, dass eine Weiterleitung auf eine web.de-Adresse eines unserer Kunden einen Loop generiert hatte. Augenscheinlich hatte sich der Kunden selbst eine E-Mail an seine Adresse auf unserem Server geschrieben. Die Weiterleitung an web.de schlug fehl, weil das dortige Postfach "voll" war (Quota Limit exceedet). Postfix hat daraufhin einen Bounce an die E-Mail-Adresse unseres Kunden verfasst. Der Bounce wurde dann wiederum an web.de weitergeleitet und so ist ein unschöner Loop entstanden, der schliesslich darin gipfelte, dass web.de unseren Mailserver global gesperrt hat.
Apr 1 23:32:08 mail postfix/pickup[18486]: 7055E806017: uid=1689 from=<XXXXXX> Apr 1 23:32:08 mail postfix/cleanup[18369]: 7055E806017: message-id= 20120401213208.68283806019@mail.bw-networx.net Apr 1 23:32:08 mail postfix/qmgr[28265]: 7055E806017: from=XXXXXXX@mail2.bw-networx.net, size=5648, nrcpt=1 (queue active) Apr 1 23:32:08 mail postfix/smtp[17877]: 7055E806017: to=XXXXX@web.de, relay=mx-ha02.web.de[213.165.67.120]:25, delay=0.27, delays=0.02/0/0.12/0.12, dsn=5.0.0, status=bounced (host mx-ha02.web.de[213.165.67.120] said: 550-Requested action not taken: mailbox unavailable 550-Quota exceeded. 550 For explanation visit http://postmaster.web.de/error-messages?ip=78.46.208.43 (in reply to RCPT TO command)) Apr 1 23:32:08 mail postfix/bounce[18543]: 7055E806017: sender non-delivery notification: B3929806019 Apr 1 23:32:08 mail postfix/qmgr[28265]: 7055E806017: removed
Apr 1 23:32:11 mail postfix/smtp[18372]: BB4E4806017: to=XXXXX@web.de, relay=mx-ha02.web.de[213.165.67.120]:25, delay=2.4, delays=0.02/0/2.3/0.11, dsn=4.0.0, status=deferred (host mx-ha02.web.de[213.165.67.120] said: 450-Requested mail action not taken: mailbox unavailable 450-Reject due to policy violations. 450 For explanation visit http://postmaster.web.de/error-messages?ip=78.46.208.43 (in reply to RCPT TO command))
Wenn ich das richtig sehe, dann wurde der Loop nur dadurch beendet, dass web.de schliesslich mit einem 450er-Fehler geantwortet hat, der keinen Bounce generiert, sondern nur dafür sorgt dass die Mail in der Queue bleibt.
Das Hauptproblem dabei: die web.de-MXe nehmen jetzt gar keine E-Mails mehr von unserem Server an.
das duerfte nur temp sein
Frage: Wie hätte dieses Problem verhindert werden können? Kann ich Postfix beibringen, solche Loops zu erkennen und entsprechend keine weiteren Bounces zu generieren?
grundsaetzlich geht das nur , wenn postfix server noch erkennen kann das die mail urspruenglich von ihm selbst stammte, das klappt evtl zb bei aufeinander abgestimmten internen postfix servern
hier ein wenig info http://www.postfix.org/local.8.html
MAIL FORWARDING For the sake of reliability, forwarded mail is re-submit- ted as a new message, so that each recipient has a sepa- rate on-file delivery status record.
In order to stop mail forwarding loops early, the software adds an optional Delivered-To: header with the final enve- lope recipient address. If mail arrives for a recipient that is already listed in a Delivered-To: header, the mes- sage is bounced.
da eine mail aber sehr verschiedene wege laufen kann, zb div forwards, header veraendert usw pop3 downloader etc dazwischen sein koennen, gibt es wohl kein endgueltiges Mittel dies auszuschliessen
man kann das ganze etwas bremsen , in dem man sich von einer ip in einem bestimmten zeitraum nur begrenzt emails einliefern laesst
taegliche log analyse und reaktion , gehoeren zu einem mailserver wenns irgendwie geht, forwards nach aussen erst gar nicht ermoeglichen diese koennen ausserdem auch zb wegen spf usw ohnehin fehlschlagen
Viele Grüße,
Jörn Bredereck
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users