[megoldva] nem jönnek levelek gmail/google irányból

 

Van egy VM, aminek ugyanannál a szolgáltatónál készült egy utódja.
A VM-en van ~8-10 .hu domain, mindegyik legalább 5+ éves.
Web meg mail van a szerveren.
Az összes változás a hostnév meg az IP.

 

A jelenség:
- 3-4 domain nem kap levelet gmail-ről (és olyan domain-ekről, amik Google-nél vannak hostolva)
- viszont bármilyen más sendertől megjönnek a levelek ezekre a domain-ekre is
- a többi domain megkap minden levelet mindenhonnan (még a gmail-es / google hostolt domain-ekről is)
- a mail logban nyoma sincs annak, hogy a gmail próbálkozna erre a 3-4 domain-re levelet küldeni

Eddig
- átnéztem a mail konfigot
- minden domain DNS rekordját (teljesen egyformára vannak beállítva)
- futtattam 1000 féle online checkert (dns, cert, stb.) minden zöld, kivéve a https://ssl-tools.net/ ami azt mondja, "No connection to the mailservers of ????????.hu could be established." -- lehet, ez is Google-nél van?
- a működő domain-ekre viszont nem dob hibát

A régi VM állítólag még megvan, kértem oda is accesst, hogy ránézzek, meg DNS-ben visszaütöm a nem működő domain-eket oda, hogy megnézzem, tényleg fogadnak-e levelet.

Amíg megkapom az accesst a régi gépre, mire nézzek még rá? Ilyet még nem láttam, hogy ugyanazon hoston lévő 2 domain közül az egyik kapjon mailt a másik meg ilyen hülyén nem.

Hozzászólások

Bocs, ha túl triviális a kérdés: ellenőrizted, hogy a @8.8.8.8 vagy @8.8.4.4--nél már az új bejegyzések szerepelnek?

> Egyébként a levélküldés működik gmail irányába a szerverről?

Igen, kimennek a "rossz" domain-ekről is @gmail-re a levelek, a megérkezett levelekben a header-ben "spf pass, dkim pass"

Viszont a válasz levél nem jön meg.

Egyelőre ötletem sincs mi lehet, sima hálózatnál azt mondanám, routing gond van, de ugyanzon a VM-en lévő másik domain-re meg megjön a levél.

Most várom az accesst a régi VM-hez és utána visszaállítom az egyik DNS-t.

Kellene valami tool, hogy a google szerint mi az MX rekordja egy domain-nek (a "dig @8.8.8.8 mx rosszdomain.hu" -n kívül). Bár a sima checkerek (pl. mxtoolbox meg a többi) gond nélkül megoldják.

Minden zöld, kivéve ezt a négyet:

piros: SPF must allow Google servers to send mail on behalf of your domain.
piros: DKIM is not set up.
piros: No Google mail exchangers found. Relayhost configuration?
info: Effective SPF Address Ranges.

De ez így szerintem OK, mert nem a G intézi a domain-ek levelezését, hanem egy privát VM.

Külföldről eléred a kérdéses hostok smtp szerverét?

Tegyél fel másik hálózatra egy forward mx szervert.

Nincs google-nek valami egzotikus kapcsoloja a kezelofeluleten a hostolt domainekhez, hogy ez belso/kulso endpoint? (Csak vaktaban lovoldozok, pl google for business, vagy hasonlonal beallitva, hogy ne is probaljon kifele keresgelni, vagy private/public DNShez hasonloan).

Szerkesztve: 2021. 12. 08., sze – 19:23

Végre előkerült egy bounced gmail-es üzenet:

> The MX host does not match any MX allowed by the STS policy.

És tényleg, az mta-sts file-ban a régi szerver van.

Viszont a jó domain-ek közül is néhánynál el van rontva az mta-sts, mégis jött email.

Most mindent javítottam, péntekre kiderül (a max_age: 90000).

nem lehet, hogy a jo domaineknel a mode mas?

https://support.google.com/a/answer/9276511?hl=en

mode

Policy mode:

  • testing: External servers send you reports about encryption and other issues detected when connecting to your domain. MTA-STS encryption and authentication requirements are not enforced

  • enforce: If the SMTP connection doesn't have both authentication and encryption, mail servers set up for MTA-STS won't send messages to your domain. You also get reports from external servers about connection issues, as in testing mode.

  • none: Tells external servers that your domain no longer supports MTA-STS. Use this value if you stop using MTA-STS. Learn about Removing MTA-STS (RFC 8461).

Az a szomorú vicc, hogy nem, mindenhol enforce van. :/

Remélem ez megoldja bár nem fog mindent megmagyarázni, pl a https://ssl-tools.net -en kapott üzenetet. Hacsak nem csinálnak ott is ilyen csekket és ha fail-el, akkor az így néz ki csak elfelejtik kiírni, hogy az mta-sts miatt borult fel.

Tényleg az mta-sts okozta. A hibás domain-ek közül már csak egyre nem érkeznek meg a levelek.