[postfix-users] Loops bei Bouncenden Mails verhindern?
Hallo,
ich hatte heute das Problem, dass eine Weiterleitung auf eine web.de-Adresse eines unserer Kunden einen Loop generiert hatte. Augenscheinlich hatte sich der Kunden selbst eine E-Mail an seine Adresse auf unserem Server geschrieben. Die Weiterleitung an web.de schlug fehl, weil das dortige Postfach "voll" war (Quota Limit exceedet). Postfix hat daraufhin einen Bounce an die E-Mail-Adresse unseres Kunden verfasst. Der Bounce wurde dann wiederum an web.de weitergeleitet und so ist ein unschöner Loop entstanden, der schliesslich darin gipfelte, dass web.de unseren Mailserver global gesperrt hat.
Apr 1 23:32:08 mail postfix/pickup[18486]: 7055E806017: uid=1689 from=<XXXXXX> Apr 1 23:32:08 mail postfix/cleanup[18369]: 7055E806017: message-id= 20120401213208.68283806019@mail.bw-networx.net Apr 1 23:32:08 mail postfix/qmgr[28265]: 7055E806017: from=XXXXXXX@mail2.bw-networx.net, size=5648, nrcpt=1 (queue active) Apr 1 23:32:08 mail postfix/smtp[17877]: 7055E806017: to=XXXXX@web.de, relay=mx-ha02.web.de[213.165.67.120]:25, delay=0.27, delays=0.02/0/0.12/0.12, dsn=5.0.0, status=bounced (host mx-ha02.web.de[213.165.67.120] said: 550-Requested action not taken: mailbox unavailable 550-Quota exceeded. 550 For explanation visit http://postmaster.web.de/error-messages?ip=78.46.208.43 (in reply to RCPT TO command)) Apr 1 23:32:08 mail postfix/bounce[18543]: 7055E806017: sender non-delivery notification: B3929806019 Apr 1 23:32:08 mail postfix/qmgr[28265]: 7055E806017: removed
Apr 1 23:32:11 mail postfix/smtp[18372]: BB4E4806017: to=XXXXX@web.de, relay=mx-ha02.web.de[213.165.67.120]:25, delay=2.4, delays=0.02/0/2.3/0.11, dsn=4.0.0, status=deferred (host mx-ha02.web.de[213.165.67.120] said: 450-Requested mail action not taken: mailbox unavailable 450-Reject due to policy violations. 450 For explanation visit http://postmaster.web.de/error-messages?ip=78.46.208.43 (in reply to RCPT TO command))
Wenn ich das richtig sehe, dann wurde der Loop nur dadurch beendet, dass web.de schliesslich mit einem 450er-Fehler geantwortet hat, der keinen Bounce generiert, sondern nur dafür sorgt dass die Mail in der Queue bleibt.
Das Hauptproblem dabei: die web.de-MXe nehmen jetzt gar keine E-Mails mehr von unserem Server an.
Frage: Wie hätte dieses Problem verhindert werden können? Kann ich Postfix beibringen, solche Loops zu erkennen und entsprechend keine weiteren Bounces zu generieren?
Viele Grüße,
Jörn Bredereck
Am 01.04.2012 23:59, schrieb Joern Bredereck:
Hallo,
ich hatte heute das Problem, dass eine Weiterleitung auf eine web.de-Adresse eines unserer Kunden einen Loop generiert hatte. Augenscheinlich hatte sich der Kunden selbst eine E-Mail an seine Adresse auf unserem Server geschrieben. Die Weiterleitung an web.de schlug fehl, weil das dortige Postfach "voll" war (Quota Limit exceedet). Postfix hat daraufhin einen Bounce an die E-Mail-Adresse unseres Kunden verfasst. Der Bounce wurde dann wiederum an web.de weitergeleitet und so ist ein unschöner Loop entstanden, der schliesslich darin gipfelte, dass web.de unseren Mailserver global gesperrt hat.
Apr 1 23:32:08 mail postfix/pickup[18486]: 7055E806017: uid=1689 from=<XXXXXX> Apr 1 23:32:08 mail postfix/cleanup[18369]: 7055E806017: message-id= 20120401213208.68283806019@mail.bw-networx.net Apr 1 23:32:08 mail postfix/qmgr[28265]: 7055E806017: from=XXXXXXX@mail2.bw-networx.net, size=5648, nrcpt=1 (queue active) Apr 1 23:32:08 mail postfix/smtp[17877]: 7055E806017: to=XXXXX@web.de, relay=mx-ha02.web.de[213.165.67.120]:25, delay=0.27, delays=0.02/0/0.12/0.12, dsn=5.0.0, status=bounced (host mx-ha02.web.de[213.165.67.120] said: 550-Requested action not taken: mailbox unavailable 550-Quota exceeded. 550 For explanation visit http://postmaster.web.de/error-messages?ip=78.46.208.43 (in reply to RCPT TO command)) Apr 1 23:32:08 mail postfix/bounce[18543]: 7055E806017: sender non-delivery notification: B3929806019 Apr 1 23:32:08 mail postfix/qmgr[28265]: 7055E806017: removed
Apr 1 23:32:11 mail postfix/smtp[18372]: BB4E4806017: to=XXXXX@web.de, relay=mx-ha02.web.de[213.165.67.120]:25, delay=2.4, delays=0.02/0/2.3/0.11, dsn=4.0.0, status=deferred (host mx-ha02.web.de[213.165.67.120] said: 450-Requested mail action not taken: mailbox unavailable 450-Reject due to policy violations. 450 For explanation visit http://postmaster.web.de/error-messages?ip=78.46.208.43 (in reply to RCPT TO command))
Wenn ich das richtig sehe, dann wurde der Loop nur dadurch beendet, dass web.de schliesslich mit einem 450er-Fehler geantwortet hat, der keinen Bounce generiert, sondern nur dafür sorgt dass die Mail in der Queue bleibt.
Das Hauptproblem dabei: die web.de-MXe nehmen jetzt gar keine E-Mails mehr von unserem Server an.
das duerfte nur temp sein
Frage: Wie hätte dieses Problem verhindert werden können? Kann ich Postfix beibringen, solche Loops zu erkennen und entsprechend keine weiteren Bounces zu generieren?
grundsaetzlich geht das nur , wenn postfix server noch erkennen kann das die mail urspruenglich von ihm selbst stammte, das klappt evtl zb bei aufeinander abgestimmten internen postfix servern
hier ein wenig info http://www.postfix.org/local.8.html
MAIL FORWARDING For the sake of reliability, forwarded mail is re-submit- ted as a new message, so that each recipient has a sepa- rate on-file delivery status record.
In order to stop mail forwarding loops early, the software adds an optional Delivered-To: header with the final enve- lope recipient address. If mail arrives for a recipient that is already listed in a Delivered-To: header, the mes- sage is bounced.
da eine mail aber sehr verschiedene wege laufen kann, zb div forwards, header veraendert usw pop3 downloader etc dazwischen sein koennen, gibt es wohl kein endgueltiges Mittel dies auszuschliessen
man kann das ganze etwas bremsen , in dem man sich von einer ip in einem bestimmten zeitraum nur begrenzt emails einliefern laesst
taegliche log analyse und reaktion , gehoeren zu einem mailserver wenns irgendwie geht, forwards nach aussen erst gar nicht ermoeglichen diese koennen ausserdem auch zb wegen spf usw ohnehin fehlschlagen
Viele Grüße,
Jörn Bredereck
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
On Apr 2, 2012, at 8:27 AM, Robert Schetterer wrote:
Frage: Wie hätte dieses Problem verhindert werden können? Kann ich Postfix beibringen, solche Loops zu erkennen und entsprechend keine weiteren Bounces zu generieren?
grundsaetzlich geht das nur , wenn postfix server noch erkennen kann das die mail urspruenglich von ihm selbst stammte, das klappt evtl zb bei aufeinander abgestimmten internen postfix servern
also gibt es hier keine interoperable Lösung auf SMTP-Basis?
man kann das ganze etwas bremsen , in dem man sich von einer ip in einem bestimmten zeitraum nur begrenzt emails einliefern laesst
eingeliefert wird von "localhost", da wird's mit dem "bremsen" etwas schwierig.
taegliche log analyse und reaktion , gehoeren zu einem mailserver
Die Loops entstehen innerhalb von wenigen Sekunden. Man hat da nicht wirklich Zeit drauf zu reagieren.
Ich suche daher eine proaktive Lösung, die verhindert dass ich überhaupt erst in diese Sitation komme, von web.de ausgesperrt zu werden.
Was ist denn diesbezüglich "common practise"? Wie handhaben das andere Postfix-Postmaster in dieser Liste?
Viele Grüße,
Jörn
Am 02.04.2012 09:43, schrieb Joern Bredereck:
On Apr 2, 2012, at 8:27 AM, Robert Schetterer wrote:
Frage: Wie hätte dieses Problem verhindert werden können? Kann ich Postfix beibringen, solche Loops zu erkennen und entsprechend keine weiteren Bounces zu generieren?
grundsaetzlich geht das nur , wenn postfix server noch erkennen kann das die mail urspruenglich von ihm selbst stammte, das klappt evtl zb bei aufeinander abgestimmten internen postfix servern
also gibt es hier keine interoperable Lösung auf SMTP-Basis?
man kann das ganze etwas bremsen , in dem man sich von einer ip in einem bestimmten zeitraum nur begrenzt emails einliefern laesst
eingeliefert wird von "localhost", da wird's mit dem "bremsen" etwas schwierig.
stimmt da geht wenig, aber du solltest grundsaetzlich alles andere etwas limitieren das wuerde die retouren von web.de treffen
taegliche log analyse und reaktion , gehoeren zu einem mailserver
Die Loops entstehen innerhalb von wenigen Sekunden. Man hat da nicht wirklich Zeit drauf zu reagieren.
stimmt und man ist nicht immer in realzeit im log
Ich suche daher eine proaktive Lösung, die verhindert dass ich überhaupt erst in diese Sitation komme, von web.de ausgesperrt zu werden.
du koenntest zb mit einem policy server ein limitierung pro absender machen etc
und/oder eine markierung im header einfuegen, auf die dein Server dann wiederum filtert, bzw ueberhaupt ein filter/policy server
Was ist denn diesbezüglich "common practise"? Wie handhaben das andere Postfix-Postmaster in dieser Liste?
eine practise ist , forwards nicht zu ermoeglichen eine "all in wonder" Loesung gibts fuer das Problem meines Wissens nach nicht, da es zumindest teilweise eben menschlich bedingt ist aber vieleicht faellt ja noch jemanden was ein
Viele Grüße,
Jörn
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
participants (2)
-
Joern Bredereck -
Robert Schetterer