Mailblehnung wg. MX Auflösung - wie debuggen?
Hallo zusammen!
Auf unseren MX hosts werden Mails abgelehnt. Allerdings kann ich die Meldung der Ablehnung nicht nachvollziehen:
Jan 25 19:44:20 mx2 postfix/smtpd[13298]: connect from mail-wm0-f46.google.com[74.125.82.46] Jan 25 19:44:20 mx2 postfix/smtpd[13298]: NOQUEUE: reject: RCPT from mail-wm0-f46.google.com[74.125.82.46]: 554 5.7.1 ...@ku.edu.tr: Sender address rejected: Bogus NS/MX in RFC 1918 private network; from=...@ku.edu.tr to=<...> proto=ESMTP helo=<mail-wm0-f46.google.com> Jan 25 19:44:20 mx2 postfix/smtpd[13298]: disconnect from mail-wm0-f46.google.com[74.125.82.46]
Die Fehlermeldung deutet auf folgende Tests hin: /etc/postfix/main.cf: smtpd_sender_restrictions = [...] check_sender_mx_access cidr:/etc/postfix/bogon_networks.cidr check_sender_ns_access cidr:/etc/postfix/bogon_networks.cidr
/etc/postfix/bogon_networks.cidr: # Quellen: http://www.iana.org/assignments/ipv4-address-space/ # Quellen: http://www.iana.org/assignments/ipv6-address-space/ # # IPv4 # 0.0.0.0/8 REJECT Bogus NS/MX in broadcast network 10.0.0.0/8 REJECT Bogus NS/MX in RFC 1918 private network 100.64.0.0/10 REJECT BOGUS NS/MX in RFC 6598 private network 127.0.0.0/8 REJECT Bogus NS/MX in loopback network 169.254.0.0/16 REJECT Bogus NS/MX in link lokal network 172.16.0.0/12 REJECT Bogus NS/MX in RFC 1918 private network 192.0.2.0/24 REJECT Bogus NS/MX in TEST-NET network 192.168.0.0/16 REJECT Bogus NS/MX in RFC 1918 private network 198.18.0.0/15 REJECT Bogus NS/MX in RFC 2544 benchmark network 224.0.0.0/4 REJECT Bogus NS/MX in class D multicast network 240.0.0.0/5 REJECT Bogus NS/MX in class E reserved network 248.0.0.0/5 REJECT Bogus NS/MX in reserved network
Die MX hosts für die Absenderadresse lauten: # host ku.edu.tr ku.edu.tr has address 88.255.96.208 ku.edu.tr mail is handled by 30 ASPMX4.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 30 ASPMX2.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 30 ASPMX3.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 20 ALT1.ASPMX.L.GOOGLE.COM. ku.edu.tr mail is handled by 30 ASPMX5.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 10 ASPMX.L.GOOGLE.COM. ku.edu.tr mail is handled by 20 ALT2.ASPMX.L.GOOGLE.COM.
Alle samt haben keine Adressen aus dem reservierten privaten IPv4 Adressraum. Allerdings liefern auch alle eine IPv6 Adresse zurück. ASPMX2.GOOGLEMAIL.COM has address 74.125.68.27 ASPMX2.GOOGLEMAIL.COM has IPv6 address 2404:6800:4003:c02::1a ASPMX3.GOOGLEMAIL.COM has address 64.233.189.27 ASPMX3.GOOGLEMAIL.COM has IPv6 address 2404:6800:4008:c07::1a ASPMX4.GOOGLEMAIL.COM has address 173.194.72.27 ASPMX4.GOOGLEMAIL.COM has IPv6 address 2404:6800:4008:c01::1b ASPMX5.GOOGLEMAIL.COM has address 74.125.25.27 ASPMX5.GOOGLEMAIL.COM has IPv6 address 2607:f8b0:400e:c03::1a
ASPMX.L.GOOGLE.COM has address 173.194.65.27 ASPMX.L.GOOGLE.COM has IPv6 address 2a00:1450:4013:c00::1a ALT1.ASPMX.L.GOOGLE.COM has address 74.125.68.27 ALT1.ASPMX.L.GOOGLE.COM has IPv6 address 2404:6800:4003:c02::1a ALT2.ASPMX.L.GOOGLE.COM has address 64.233.189.27 ALT2.ASPMX.L.GOOGLE.COM has IPv6 address 2404:6800:4008:c07::1a
Wie kann ich das weiter debuggen? Hat jemand eine Ahnung, was ich hier falsch konfiguriert haben könnte?
# postconf mail_version mail_version = 2.11.0
Vielen Dank und Grüße Lars
* Lars Täuber taeuber@bbaw.de:
Hallo zusammen!
Auf unseren MX hosts werden Mails abgelehnt. Allerdings kann ich die Meldung der Ablehnung nicht nachvollziehen:
Jan 25 19:44:20 mx2 postfix/smtpd[13298]: connect from mail-wm0-f46.google.com[74.125.82.46] Jan 25 19:44:20 mx2 postfix/smtpd[13298]: NOQUEUE: reject: RCPT from mail-wm0-f46.google.com[74.125.82.46]: 554 5.7.1 ...@ku.edu.tr: Sender address rejected: Bogus NS/MX in RFC 1918 private network; from=...@ku.edu.tr to=<...> proto=ESMTP helo=<mail-wm0-f46.google.com> Jan 25 19:44:20 mx2 postfix/smtpd[13298]: disconnect from mail-wm0-f46.google.com[74.125.82.46]
Die Fehlermeldung deutet auf folgende Tests hin: /etc/postfix/main.cf: smtpd_sender_restrictions = [...] check_sender_mx_access cidr:/etc/postfix/bogon_networks.cidr check_sender_ns_access cidr:/etc/postfix/bogon_networks.cidr
/etc/postfix/bogon_networks.cidr: # Quellen: http://www.iana.org/assignments/ipv4-address-space/ # Quellen: http://www.iana.org/assignments/ipv6-address-space/ # # IPv4 # 0.0.0.0/8 REJECT Bogus NS/MX in broadcast network 10.0.0.0/8 REJECT Bogus NS/MX in RFC 1918 private network 100.64.0.0/10 REJECT BOGUS NS/MX in RFC 6598 private network 127.0.0.0/8 REJECT Bogus NS/MX in loopback network 169.254.0.0/16 REJECT Bogus NS/MX in link lokal network 172.16.0.0/12 REJECT Bogus NS/MX in RFC 1918 private network 192.0.2.0/24 REJECT Bogus NS/MX in TEST-NET network 192.168.0.0/16 REJECT Bogus NS/MX in RFC 1918 private network 198.18.0.0/15 REJECT Bogus NS/MX in RFC 2544 benchmark network 224.0.0.0/4 REJECT Bogus NS/MX in class D multicast network 240.0.0.0/5 REJECT Bogus NS/MX in class E reserved network 248.0.0.0/5 REJECT Bogus NS/MX in reserved network
Die MX hosts für die Absenderadresse lauten: # host ku.edu.tr ku.edu.tr has address 88.255.96.208 ku.edu.tr mail is handled by 30 ASPMX4.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 30 ASPMX2.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 30 ASPMX3.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 20 ALT1.ASPMX.L.GOOGLE.COM. ku.edu.tr mail is handled by 30 ASPMX5.GOOGLEMAIL.COM. ku.edu.tr mail is handled by 10 ASPMX.L.GOOGLE.COM. ku.edu.tr mail is handled by 20 ALT2.ASPMX.L.GOOGLE.COM.
Und die NS?
ku.edu.tr name server ns02.ku.edu.tr. ku.edu.tr name server ns01.ku.edu.tr. ku.edu.tr name server ns03.ku.edu.tr.
...
ns03.ku.edu.tr has address 172.20.18.196
Wed, 27 Jan 2016 15:48:14 +0100 Ralf Hildebrandt r@sys4.de ==> postfix-users@de.postfix.org :
Und die NS?
ku.edu.tr name server ns02.ku.edu.tr. ku.edu.tr name server ns01.ku.edu.tr. ku.edu.tr name server ns03.ku.edu.tr.
...
ns03.ku.edu.tr has address 172.20.18.196
Oha!
Sollte ich den NS-Test komplett abschalten, nur dieses private Netzwerk rausnehmen, oder erstmal den dortigen Postmaster kontaktieren? Mit letzterem habe ich gemischte Erfahrungen. Was empfiehlst Du in einem solchen Fall?
Momentan ist die Absenderdomäne mit einer Ausnahme von den Tests ausgenommen.
Vielen Dank für das schnelle "Augenöffen".
Grüße Lars
* Lars Täuber taeuber@bbaw.de:
Sollte ich den NS-Test komplett abschalten, nur dieses private Netzwerk rausnehmen, oder erstmal den dortigen Postmaster kontaktieren? Mit letzterem habe ich gemischte Erfahrungen.
Wirst Du wenig Erfolg mit haben.
Was empfiehlst Du in einem solchen Fall?
Momentan ist die Absenderdomäne mit einer Ausnahme von den Tests ausgenommen.
Würde auch nur eine Ausnahme schalten, und dann gucken ob sich das häuft.
[*] sys4 AG
http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer Aufsichtsratsvorsitzender: Florian Kirstein
Zitat von Lars Täuber taeuber@bbaw.de:
Wed, 27 Jan 2016 15:48:14 +0100 Ralf Hildebrandt r@sys4.de ==> postfix-users@de.postfix.org :
Und die NS?
ku.edu.tr name server ns02.ku.edu.tr. ku.edu.tr name server ns01.ku.edu.tr. ku.edu.tr name server ns03.ku.edu.tr.
...
ns03.ku.edu.tr has address 172.20.18.196
Oha!
Sollte ich den NS-Test komplett abschalten, nur dieses private Netzwerk rausnehmen, oder erstmal den dortigen Postmaster kontaktieren? Mit letzterem habe ich gemischte Erfahrungen. Was empfiehlst Du in einem solchen Fall?
Momentan ist die Absenderdomäne mit einer Ausnahme von den Tests ausgenommen.
Vielen Dank für das schnelle "Augenöffen".
Grüße Lars
Ist oft der Fall wenn die Gegenstelle kein Split DNS machen will oder kann, dann werden einfach die internen Adressen mit veröffentlicht. Da die meisten Spammer heutzutage eh ein "sauberes" DNS haben würde ich solche Tests nicht verwenden, oder nur noch auf 127.0.0.0 prüfen.
Gruß
Andreas
participants (3)
-
Lars Täuber -
lst_hoe02@kwsoft.de -
Ralf Hildebrandt