[postfix-users] Geblockte Mails + Relaying
Hallo zusammen,
ich bin heute auf ein Problem bei meiner Postfix-Konstellation gelaufen, vielleicht hat mir jemand einen Tipp dazu:
Ich relaye verschiedene Domains weiter an einen Kunden, der einen Exchange-Server betreibt. Dieser Mailserver wird seit neuestem durch eine Firewall Appliance geschützt, die zusätzlich die Mails auf Viren überprüft. Findet die Appliance einen Virus, wird die Übertragung abgebrochen.
Soweit, so gut - gestern sind mir nun relativ viele Mails auf einmal für diese Domain eingetroffen, bei einer der Mails war ein Virus dabei. Die Appliance hat die Übertragung gestoppt und seitdem hingen mir ein ganzer Berg an Mails an den Kunden-Mailserver in der Queue.
Fehlermeldung (bei allen!): ... while sending end of data -- message may be sent more than once
Beim Flushen der Queue wurde gleich wieder die Virenmail als erstes losgeschickt und natürlich erneut geblockt. Leider sind alle anderen Mails an die Domain seitdem mit dem gleichen Fehler geparkt und werden nicht verschickt.
Erst nachdem ich die Virenmail von Hand aus der Queue gelöscht hatte, wurden die guten Mails durchgeschickt.
Gibt es da eine Möglichkeit, Postfix ein anderen Verhalten für diese Destination beizubringen??
Danke schonmal
Michael Geiger
Michael Geiger schrieb:
Hallo zusammen,
ich bin heute auf ein Problem bei meiner Postfix-Konstellation gelaufen, vielleicht hat mir jemand einen Tipp dazu:
Ich relaye verschiedene Domains weiter an einen Kunden, der einen Exchange-Server betreibt. Dieser Mailserver wird seit neuestem durch eine Firewall Appliance geschützt,
wer kam den auf die gute Idee?
die zusätzlich die Mails auf Viren überprüft. Findet die Appliance einen Virus, wird die Übertragung abgebrochen.
Soweit, so gut - gestern sind mir nun relativ viele Mails auf einmal für diese Domain eingetroffen, bei einer der Mails war ein Virus dabei. Die Appliance hat die Übertragung gestoppt und seitdem hingen mir ein ganzer Berg an Mails an den Kunden-Mailserver in der Queue.
Fehlermeldung (bei allen!): ... while sending end of data -- message may be sent more than once
Beim Flushen der Queue wurde gleich wieder die Virenmail als erstes losgeschickt und natürlich erneut geblockt. Leider sind alle anderen Mails an die Domain seitdem mit dem gleichen Fehler geparkt und werden nicht verschickt.
Erst nachdem ich die Virenmail von Hand aus der Queue gelöscht hatte, wurden die guten Mails durchgeschickt.
Gibt es da eine Möglichkeit, Postfix ein anderen Verhalten für diese Destination beizubringen??
Grundsätzlich ist die Konstellation sowiso schlecht, zwei Spam/Virenfilter hintereinander. Du nimmst Mails an und gibts ein OK und später werden Sie dann irgondwo verschluckt? Viel Spass beim Debugging...
Danke schonmal
Michael Geiger _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Behalf Of Michael Geiger
Ich relaye verschiedene Domains weiter an einen Kunden, der einen Exchange-Server betreibt. Dieser Mailserver wird seit neuestem durch eine Firewall Appliance geschützt, die zusätzlich die Mails auf Viren überprüft. Findet die Appliance einen Virus, wird die Übertragung abgebrochen.
Prüfst du nicht auf Viren? Das wäre das erste was ich machen würde und nach Möglichkeit nur saubere Mails an den dahinter liegenden Mailserver liefern.
Wofür braucht der Kunde denn eine Appliance für Mails? Sortieren und nach Ham und Spam unterscheiden kannst du auf dem ersten annehmenden Server wesentlich besser. Du solltest mit dem Kunden reden und mit ihm zusammen überlegen wie sein Schutz verbessert werden kann.
Mit freundlichen Grüßen
Drießen
Uwe Driessen schrieb:
On Behalf Of Michael Geiger
Ich relaye verschiedene Domains weiter an einen Kunden, der einen Exchange-Server betreibt. Dieser Mailserver wird seit neuestem durch eine Firewall Appliance geschützt, die zusätzlich die Mails auf Viren überprüft. Findet die Appliance einen Virus, wird die Übertragung abgebrochen.
Prüfst du nicht auf Viren? Das wäre das erste was ich machen würde und nach Möglichkeit nur saubere Mails an den dahinter liegenden Mailserver liefern.
Wofür braucht der Kunde denn eine Appliance für Mails? Sortieren und nach Ham und Spam unterscheiden kannst du auf dem ersten annehmenden Server wesentlich besser. Du solltest mit dem Kunden reden und mit ihm zusammen überlegen wie sein Schutz verbessert werden kann.
Mit freundlichen Grüßen
Drießen
Hallo Uwe,
Spamfilterung / Tagging geschieht bei mir - mit (freien) Antivirus-Lösungen unter Linux hab ich allerdings keine guten Erfahrungen gemacht. Da der Kunde sowieso seinen eigenen Webtraffic am Gateway filtert, war dies der Auslöser für diese Entscheidung.
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Michael
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Schau mal den Parameter "relay_destination_concurrency_limit" genauer an...
André Keller schrieb:
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Schau mal den Parameter "relay_destination_concurrency_limit" genauer an...
Ich hab für diesen Kunden über transport_maps einen eigenen Transport namens "slow" definiert und mit slow_destination_concurrency_limit=1 die parallele Zustellung auf 1 Verbindung begrenzt (DSL-Strecke zum Kunden *sic*).
So wie ich die Doku verstehe hat das jedoch mit meinem Problem nichts zu tun - ich möchte, dass Postfix trotz Fehler bei einer Mail mit den anderen weiter macht. Irgendwie wird die Domain als nicht-zustellbar getagt und es werden keine weiteren Versuche für diese Domain unternommen (bis es dann wieder von vorne mit der gleichen Reihenfolge losgeht).
Michael
Michael Geiger schrieb:
André Keller schrieb:
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Schau mal den Parameter "relay_destination_concurrency_limit" genauer an...
Ich hab für diesen Kunden über transport_maps einen eigenen Transport namens "slow" definiert und mit slow_destination_concurrency_limit=1 die parallele Zustellung auf 1 Verbindung begrenzt (DSL-Strecke zum Kunden *sic*).
So wie ich die Doku verstehe hat das jedoch mit meinem Problem nichts zu tun - ich möchte, dass Postfix trotz Fehler bei einer Mail mit den anderen weiter macht. Irgendwie wird die Domain als nicht-zustellbar getagt und es werden keine weiteren Versuche für diese Domain unternommen (bis es dann wieder von vorne mit der gleichen Reihenfolge losgeht).
Laut manpage könnte dieser Befehl eventuell helfen: "transport"_destination_concurrency_failed_cohort_limit
Bin mir aber nicht sicher...
Michael
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
André Keller schrieb:
Michael Geiger schrieb:
André Keller schrieb:
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Schau mal den Parameter "relay_destination_concurrency_limit" genauer an...
Ich hab für diesen Kunden über transport_maps einen eigenen Transport namens "slow" definiert und mit slow_destination_concurrency_limit=1 die parallele Zustellung auf 1 Verbindung begrenzt (DSL-Strecke zum Kunden *sic*).
So wie ich die Doku verstehe hat das jedoch mit meinem Problem nichts zu tun - ich möchte, dass Postfix trotz Fehler bei einer Mail mit den anderen weiter macht. Irgendwie wird die Domain als nicht-zustellbar getagt und es werden keine weiteren Versuche für diese Domain unternommen (bis es dann wieder von vorne mit der gleichen Reihenfolge losgeht).
Laut manpage könnte dieser Befehl eventuell helfen: "transport"_destination_concurrency_failed_cohort_limit
Bin mir aber nicht sicher...
Ah, der Schalter ist neu - liest sich gut, könnte passen. Ich probier's mal aus!
Danke & Merry Christmas
Michael
On Behalf Of Michael Geiger
Hallo Uwe,
Spamfilterung / Tagging geschieht bei mir - mit (freien) Antivirus-Lösungen unter Linux hab ich allerdings keine guten Erfahrungen gemacht. Da der Kunde sowieso seinen eigenen Webtraffic am Gateway filtert, war dies der Auslöser für diese Entscheidung.
1. hier wird 99,9% der unerwünschten Mails durch freie Software gefiltert. 2. Viren habe ich schon länger nicht mehr auf meinem System gesehen die da bis zum Clamav durchgedrungen wären.
3. doktere nicht an den Symptomen rum beseitige die Ursache und alle sind wesentlich glücklicher.
Dein Job wird dadurch einfacher, weniger Zeitaufwändig und wirft mehr Gewinn ab.
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Das eine ist ohne das andere nicht zu machen deine Probleme liegen wo anders Late Bounces, nicht erkannte Viren die dein System wenn vom dahinterliegenden System nicht angenommen, zu fast 100% an nicht beteiligte dritte gehen. Du gehörst hoffentlich nicht zu den Systemen die wie ein scharzes Loch Mails verschlucken.
Wenn du angenommen hast dann musst du zustellen! Entweder den wirklich Absender(was nicht unbedingt der ist der im Header steht) oder dem Empfänger!!!!! Du kommst nicht umhin dir grundsätzliche Vorgehensweisen für alle Fälle zu überlegen und auch durchzuführen.
Während der Einlieferung hast du die Möglichkeit zu entscheiden ob eine Mail als zugestellt oder Briefkasten vernagelt gilt.
Mit freundlichen Grüßen
Drießen
Uwe Driessen schrieb:
On Behalf Of Michael Geiger
Hallo Uwe,
Spamfilterung / Tagging geschieht bei mir - mit (freien) Antivirus-Lösungen unter Linux hab ich allerdings keine guten Erfahrungen gemacht. Da der Kunde sowieso seinen eigenen Webtraffic am Gateway filtert, war dies der Auslöser für diese Entscheidung.
- hier wird 99,9% der unerwünschten Mails durch freie Software gefiltert.
Meine Quote ist hier auch sehr hoch - SpamAssassin mit den passenden Modulen ist wirklich sehr gut.
- Viren habe ich schon länger nicht mehr auf meinem System gesehen die da bis zum Clamav
durchgedrungen wären.
Nun, das hat bei mir leider nicht so geklappt ...
- doktere nicht an den Symptomen rum beseitige die Ursache und alle sind wesentlich
glücklicher.
Dein Job wird dadurch einfacher, weniger Zeitaufwändig und wirft mehr Gewinn ab.
Korrekt, dem stimme ich zu - manchmal ist man allerdings gewissen Rahmenbedingungen unterlegen und muss sich für ein kleineres Übel entscheiden ...
Jetzt mal abseits von der Diskussion, ob eine zweistufige Filterung sinnvoll ist: kann man Postfix das nicht beibringen, dass er jede Mail an diese Destination einzeln betrachtet und zuzustellen versucht?
Das eine ist ohne das andere nicht zu machen deine Probleme liegen wo anders Late Bounces, nicht erkannte Viren die dein System wenn vom dahinterliegenden System nicht angenommen, zu fast 100% an nicht beteiligte dritte gehen. Du gehörst hoffentlich nicht zu den Systemen die wie ein scharzes Loch Mails verschlucken.
Nein, so bin ich nicht drauf! ;-) Das mit den Late Bounces ist ganz klar ein Problem - wenn ich das allerdings auf Viren-Bounces und nicht Spam-Bounces beschränken kann, halte ich das bei mir für noch vertretbar (aktuell 1-2/Woche).
Wenn du angenommen hast dann musst du zustellen! Entweder den wirklich Absender(was nicht unbedingt der ist der im Header steht) oder dem Empfänger!!!!! Du kommst nicht umhin dir grundsätzliche Vorgehensweisen für alle Fälle zu überlegen und auch durchzuführen.
Ich habe einige Realtime-Prüfungen (RBLs, RFC-Konformität...), die gleich zu einer Verweigerung der Annahme führen. Bei zeitaufwändigeren Tests (SA, evtl. Virenfilterung) tagge ich nur noch und lass den Kunden entscheiden. Aber auch der Einwand ist korrekt - man kann hier nicht oft genug auf die Rechtslage verweisen ...
So, ich teste jetzt mal den neuen Switch und schaue, ob ich damit mein Problem gelöst bekomme.
Grüße
Michael
On Behalf Of Michael Geiger
Meine Quote ist hier auch sehr hoch - SpamAssassin mit den passenden Modulen ist wirklich sehr gut.
Sorry Michael das ich da noch mal nachhake, ich sprach nicht von SPamassassin und den angehängten Modulen. Diese Tools sind eigentlich nur noch mal eine Ergänzung zu einem Dreipunktgurtsystem und hängen nur deshalb drin damit sollte da doch wirklich noch einer durchschlüpfen evtl. erkannt wird und geblockt wird.
- Viren habe ich schon länger nicht mehr auf meinem System gesehen die da bis zum
Clamav
durchgedrungen wären.
Nun, das hat bei mir leider nicht so geklappt ...
Hast du analysiert woher die Mails mit den Viren kamen? Um unerwünschtes zu erkennen muß man die Verbreitungswege erkennen.
- doktere nicht an den Symptomen rum beseitige die Ursache und alle sind wesentlich
glücklicher.
Dein Job wird dadurch einfacher, weniger Zeitaufwändig und wirft mehr Gewinn ab.
Korrekt, dem stimme ich zu - manchmal ist man allerdings gewissen Rahmenbedingungen unterlegen und muss sich für ein kleineres Übel entscheiden ...
Nichts was man nicht mit selektiven Restriktionen abbilden könnte. Postconf -n und das Problem anhand der Maillogs, lässt sich immer eine gangbare Lösung finden ohne das aufwändige Fremd Appliance dahinter gehängt werden müsste.
Nein, so bin ich nicht drauf! ;-) Das mit den Late Bounces ist ganz klar ein Problem - wenn ich das allerdings auf Viren-Bounces und nicht Spam-Bounces beschränken kann, halte ich das bei mir für noch vertretbar (aktuell 1-2/Woche).
Oha wie erkennst du das es sich nicht um Spam handelt? Wie stellst du Sicher das genau der Server der die Mail einliefert hat diese auch zurück bekommt? Ich kenne zur Zeit noch kein Tool das so was könnte (Postfix reject und Amavis Prequeue filter ausgenommen)
Ich habe einige Realtime-Prüfungen (RBLs, RFC-Konformität...), die gleich zu einer Verweigerung der Annahme führen. Bei zeitaufwändigeren Tests (SA, evtl. Virenfilterung) tagge ich nur noch und lass den Kunden entscheiden. Aber auch der Einwand ist korrekt - man kann hier nicht oft genug auf die Rechtslage verweisen ...
Zeig mal postconf -n Postfix Checks Postfix Header und Bodyckecks (Peer Heinlein hat da einen ganzen Sack voll auf seiner Seite zum Download) Policyd wight (damit sparst du unter Umständen einiges an externen Abfragen und verminderst falsepostive Setze das Dreigestirn AMavis, Spamassasin und Clamav als Prequeuefilter ein. Greylisting, evtl. auch nur selektiv
RBL'S kannst du dir bei Einsatz von Policyd weight (RBL's werden da gewichtet abgefragt) dann fast sparen.
Bei Viren darfst du aus gutem Grund die Annahme verweigern. Es gehen mehr Mails durchs taggen verloren wie durch sauberes reject return to sender bei der Annahme.
So, ich teste jetzt mal den neuen Switch und schaue, ob ich damit mein Problem gelöst bekomme.
Du dokterst immer noch an den Symptomen *gg
Mit freundlichen Grüßen
Drießen
participants (3)
-
André Keller -
Michael Geiger -
Uwe Driessen