citromail és vipmail - sender rejected

Hálózatok általános

Hi,

Kaptam egy panaszfélét egyik levlistámhoz, hogy az ember citromail.hu címmel nem kap leveleket a listáról, és valóban: 


Jun 25 17:58:39 mail postfix/smtp[68601]: ADF7145AFD: to=<*********@citromail.hu>, relay=server30.citromail.hu[91.83.45.30]:25,
delay=1.9, delays=0.29/0.22/1.3/0.16, dsn=5.1.0, status=bounced (host server30.citromail.hu[91.83.45.30]
said: 550 5.1.0 <epitesz-bounces@lists.javaforum.hu> sender rejected. can't find a valid MX for sender domain / 
Sajnaljuk! Nem beazonosithato valodi MX a kuldo domain-hez! (in reply to MAIL FROM command))

Mindenféle egyéb változatos helyekre elmennek a levelek, kivéve a tárgyban említett két szerver felé, de az okát nem látom hirtelen, a szerverem címe, reverz címe illetve MX bejegyzése szerintem rendben van, mi hiányozhat, illetve találkoztatok-e ezzel a problémával?

  • 6663 megtekintés

( vl v | 2011. 06. 25., szo – 18:17 )

a levélben szereplő feladó domain neve nem jó.
hogy milyen feladóval küldi tovább a levlistád a leveleket, az jó kérdés (nyomj egy tcpdumpot egy ilyen kiküldésre, és az smtp legelején a MAIL FROM után látni fogod). én azt tippelem, hogy valami virtuális levlista tulajdonos szerepel ott, és az nem jól van beállítva.

Lehet benne valami: 


$ telnet server30.citromail.hu 25
Trying 91.83.45.30...
Connected to server30.citromail.hu.
Escape character is '^]'.
220 server30 mfiltro ESMTP server ready
helo mail.ebo.hu
250 server30 hello [193.142.214.109], pleased to meet you
mail from: epitesz-bounces@lists.javaforum.hu
550 5.1.0 <epitesz-bounces@lists.javaforum.hu> sender rejected. can't find a valid MX for sender domain / Sajnaljuk! Nem beazonosithato valodi MX a kuldo domain-hez!
Connection closed by foreign host.

Szerintem van valid MX a lists.javaforum.hu domain névhez: 


$ host -t mx lists.javaforum.hu
lists.javaforum.hu is an alias for javaforum.hu.
javaforum.hu mail is handled by 10 javaforum.hu.

Vagy alias-hoz nem talál MX bejegyzést? Csak a citromail és a vipmail paranoiája okán nem szeretném szanaszét konfigolni a mailman-t, maximum tanácsolni tudom az érintettnek, hogy szokjon rá valami olyan szolgáltatásra, amely másképp oldja meg a spamszűrést. :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Igen, most jutottam el én is ide. Van egy helyi névfeloldás a szerveren a belső *.jails.javaforum.hu címek okán, és az jól oldja fel a lists.javaforum.hu címet, az argonet.hu DNS pedig nem, úgyhogy rá is kérdeztem náluk, hogy változott-e valami. :)

Köszönöm a segítséget... :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

A hivalatos két autoritatív szerver az ns1.argonet.hu. (83.216.63.103) és ns2.argonet.hu. (62.112.194.136).

A 62.112.194.136 nem válaszol.
A 83.216.63.103-at kérdezve az additional section szerint az ns2.argonet.hu a 217.113.62.109.

A lists.javaforum.hu-nak pedig nincs MX-e sem a 83.216.63.103, sem a 217.113.62.109 szerint, a 62.112.194.136 pedig néma. 


# host -v -t any lists.javaforum.hu. 83.216.63.103
Trying "lists.javaforum.hu"
Using domain server:
Name: 83.216.63.103
Address: 83.216.63.103#53
Aliases:

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49998
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;lists.javaforum.hu.            IN      ANY

;; ANSWER SECTION:
lists.javaforum.hu.     86400   IN      A       193.142.214.109

;; AUTHORITY SECTION:
javaforum.hu.           86400   IN      NS      ns2.argonet.hu.
javaforum.hu.           86400   IN      NS      ns1.argonet.hu.

;; ADDITIONAL SECTION:
ns1.argonet.hu.         86400   IN      A       83.216.63.103
ns2.argonet.hu.         86400   IN      A       217.113.62.109

Received 128 bytes from 83.216.63.103#53 in 9 ms
#

mondjuk az eleve ordas baromsag, hogy MX rekord megletehez koti a level elfogadasat. Az valahol ertheto, hogy a felado cime _valid_ email legyen, na de ehhez nem kell feltetlen MX rekord, egy A boven megteszi (ami a jelek szerint letezik). Szoval ez a citromos beallitas finoman szolva boszmeseg...

Bajban van a magyar nyelv

Részemről teljesen megértem, hogy védekeznek a spam ellen, de azt nem értem, hogy ezzel a szerverükre érkező spam-ek közül mit szűrnek ki, amikor a legtöbbször létezik MX rekordja a feladó címében lévő domain névnek?

Másrészt belegondolva szükséges a feladó MX rekordja, hogy lehessen válaszolni az adott üzenetre, ha valaki levelet akar írni az epitesz-bounces@lists.javaforum.hu címre, akkor a küldő MTA megpróbál MX rekordot vadászni az adott címhez, és oda szeretne kapcsolódni, szóval lehet valami a fenti kívánalomban, de egy próba levél a gmail.com felől megérkezett, szóval akkor nem értem kristálytisztán a dolgot... :) 


$ host -t mx lists.javaforum.hu
lists.javaforum.hu has no MX record

de 


Jun 26 09:41:46 mail postfix/smtpd[67522]: connect from mail-bw0-f41.google.com[209.85.214.41]
Jun 26 09:41:47 mail postfix/smtpd[67522]: 0BFE042079: client=mail-bw0-f41.google.com[209.85.214.41]
Jun 26 09:41:47 mail postfix/cleanup[67527]: 0BFE042079: message-id=<BANLkTikfEbQ9tqyCKLom8EpiqLnciWAYsw@mail.gmail.com>
Jun 26 09:41:47 mail postfix/qmgr[66932]: 0BFE042079: from=<auth.gabor@gmail.com>, size=1938, nrcpt=1 (queue active)
Jun 26 09:41:47 mail postfix/smtp[67528]: 0BFE042079: to=<epitesz-bounces@lists.javaforum.hu>, relay=mailman.jails.javaforum.hu[192.168.2.8]:25, delay=0.42, delays=0.26/0/0/0.16, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 398E91F4A8)
Jun 26 09:41:47 mail postfix/qmgr[66932]: 0BFE042079: removed

Akkor ez így hogy? :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Nah, elvileg rendbetetettem a domain névfeloldását, kell még idő, amíg elterjed, de ha megnézné valaki rajtam kívül, annak nagyon tudnék örülni... :) 


$ host -t mx jails.javaforum.hu 83.216.63.103
jails.javaforum.hu is an alias for javaforum.hu.
javaforum.hu mail is handled by 10 mail.javaforum.hu.

Update: 


Jun 26 11:25:12 mail postfix/smtp[894]: 7D81B42145: to=<********@citromail.hu>, relay=server30.citromail.hu[91.83.45.30]:25, delay=3.9, delays=0.18/0.12/1.3/2.3, dsn=2.0.0, status=sent (250 2.0.0 0ZRZ1h00D2NBNjD01ZRb7i mail accepted for delivery)

Szóval megoldódott a probléma azt hiszem, remélem nem lesz más mellékhatása... :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

"Nah, elvileg rendbetetettem a domain névfeloldását [...] ha megnézné valaki"

Az ns.nic.hu szerint: 


  # host -v -t any javaforum.hu. ns.nic.hu
  ...
  ;; AUTHORITY SECTION:
  javaforum.hu.           86400   IN      NS      ns2.argonet.hu.
  javaforum.hu.           86400   IN      NS      ns1.argonet.hu.
  
  ;; ADDITIONAL SECTION:
  ns1.argonet.hu.         86400   IN      A       83.216.63.103
  ns2.argonet.hu.         86400   IN      A       62.112.194.136
  ...

De a 62.112.194.136 (ns2.argonet.hu) még mindig timeoutra fut, nem válaszol: 


  # host -v -t any javaforum.hu. 62.112.194.136
  Trying "javaforum.hu"
  ;; connection timed out; no servers could be reached
  #

A 83.216.63.103 (ns1.argonet.hu) szerint a lists.javaforum.hu: 


  # host -v -t any lists.javaforum.hu. 83.216.63.103
  ...
  ;; ANSWER SECTION:
  lists.javaforum.hu.     86400   IN      CNAME   javaforum.hu.
  
  ;; AUTHORITY SECTION:
  javaforum.hu.           86400   IN      NS      ns2.argonet.hu.
  javaforum.hu.           86400   IN      NS      ns1.argonet.hu.
  
  ;; ADDITIONAL SECTION:
  ns1.argonet.hu.         86400   IN      A       83.216.63.103
  ns2.argonet.hu.         86400   IN      A       217.113.62.109
  ...

A javaforum.hu pedig: 


  # host -v -t any javaforum.hu. 83.216.63.103
  ...
  ;; ANSWER SECTION:
  javaforum.hu.           86400   IN      SOA     ns1.argonet.hu. izll.argonet.hu. 2011062607 28800 7200 1209600 86400
  javaforum.hu.           86400   IN      NS      ns2.argonet.hu.
  javaforum.hu.           86400   IN      NS      ns1.argonet.hu.
  javaforum.hu.           86400   IN      A       193.142.214.109
  javaforum.hu.           86400   IN      MX      10 mail.javaforum.hu.
  
  ;; ADDITIONAL SECTION:
  ns1.argonet.hu.         86400   IN      A       83.216.63.103
  ns2.argonet.hu.         86400   IN      A       217.113.62.109
  mail.javaforum.hu.      86400   IN      A       193.142.214.109

Összefoglalva: az ns2.argonet.hu esetében még mindig anomáliák vannak. A nem működő hivatalos a 62.112.194.136, az Argonet (ÁdámSoft) szerint pedig a 217.113.62.109, amit nem aktualizáltattak a regisztrátorukkal. Erről jó lenne értesíteni őket. A lists.javaforum.hu és a javaforum.hu zónája ettől eltekintve jónak tűnik.

Köszi, jelzem a problémákat, illetve megnézem a többi domain-t is, ami hozzám tartozik.

Ööö... izé... ránéztem a domain.hu oldalán a domain névre:
http://www.domain.hu/domain/domainsearch/?nslookup=javaforum.hu&ns=ns1…

Itt az látszik, hogy
Server: ns2.argonet.hu.
Address: 217.113.62.109#53
Server: ns1.argonet.hu.
Address: 83.216.63.103#53

Honnan jöhet képbe a 62.112.194.136 cím, mint ns2.argonet.hu?
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ez a weboldal megmutatja az autoritatív szerverek által kiszolgált zónák néhány rekorját. Azaz megnézi az ns.nic.hu által delegált egyiken (ami jelen esetben működőképes), és Additional Sectionben közli az általa ismert többi NS adatait is. Ezt az ellenőrzéshez használt szerver cache-ben tartja, és ennek alapján találja meg az ns2-t, és nézi meg itt ugyanezen rekordokat. Ettől függetlenül a delegálás és a zóna nem konzisztens. A 62.112.194.136 az argonet.hu domain regisztrációs adatainak bejegyzésekor vagy módosításakor tárolódik el a nyilvántartónál az akkor aktuális zónaadatok alapján, és ebből képződik az .hu zóna alatt az argonet.hu NS rekordja, illetve az ns1.argonet.hu és ns2.argonet.hu glue rekordok. Ha ezután a zónában a glue rekordokat érintő változás lenne, a regisztrátorral aktualizáltatni kell a zóna delegálását.

( gergelykiss | 2011. 06. 26., v – 13:08 )

Egyértelműen f@szság ez a szűrés, hiszen a mail from-nál megadott címet tetszőlegesen lehet hamisítani, sokkal hasznosabb SPF-et és/vagy DKIM-et használni a spamek kiküszöbölésére.

Nálunk eddig két szervernél jött elő ez a jelenség, szintén citromail.hu címzetteknél, illetve ha jól emlékszem, már a freemail is használja ezt a szűrési technikát.

Szerintem ami problematikus, hogy ez a check az envelope sender-t ellenőrzi, ami sok esetben nem egyezik a levél forrásában lévő "From:" headerrel (pl. a PHP-s mail() függvénnyel kiküldött leveleknél). Mindenesetre az valóban megoldja a problémát, ha a feladócím domainjéhez felveszed az MX-rekordot.

( _Franko_ v | 2011. 07. 09., szo – 10:50 )

Történt némi mellékhatás a téma kapcsán végrehajtott módosítások kapcsán. Az egyik listatag nem tud levelet írni a listára, mert nem oda kerül a levele, ahova szánta: 


Received: from mail-xsmtp2.externet.hu (mail-xsmtp2.externet.hu [212.40.96.153])
         by mail.ebo.hu (Postfix) with ESMTP id 91EEE49C36
         for <epitesz@javaforum.hu>; Sat,  9 Jul 2011 08:48:46 +0200 (CEST)
Received: (qmail 30705 invoked from network); 9 Jul 2011 06:49:11 -0000
Received: from pool-xxxxx.externet.hu (HELO m...s2) (?@88.209.xxx.xxx)
   by 0 with ESMTP; 9 Jul 2011 06:49:11 -0000
Message-ID: <001201cc3e04$52f85720$0301a8c0@m...s2>
From: "..." <m...s2@freemail.hu>
To: <epitesz@lists.javaforum.hu>

Elvileg simán válaszol a listán lévő levelekre, a kliense (OE) bele is teszi a To mezőbe rendesen a lista címét, de az externet felől már azt látom a logban, hogy az epitesz@javaforum.hu címre esik be a levél.

Hol keressem a hibát? :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ha jól értem, az Outlook Express az 

epitesz@lists.javaforum.hu

címre küldi az Externet SMTP szerverén keresztül, viszont az Externettől te már 

epitesz@javaforum.hu

címen látod beérkezni.

Ebben az esetben az Externet szervere a gyanús, méghozzá valószínűleg a CNAME alapján írja át a címzett domaint - amit nem szabadna megtennie. 


lists.javaforum.hu.     86400   IN      CNAME   javaforum.hu.
javaforum.hu.           86400   IN      A       193.142.214.109
javaforum.hu.           86400   IN      MX      10 mail.javaforum.hu.
mail.javaforum.hu.      86400   IN      A       193.142.214.109

Továbbá érdekes a mailszervered által kreált Received sor is: "for ; ". (Nem a fórum általi levágásnak tűnik, mivel a Message-ID: sorában rendesen látszik a < és > páros.)

Ha valóban nem a te szervereden téved el (ami valószínűtlen, mert akkor vélhetően nem csak externetes szerverről érkezővel lenne ugyanez a baj), akkor egyeztetni kellene az Externettel.

Mindamellett még mindig nem elérhető a 62.112.194.136 mint autoritatív DNS szerver.

Továbbá érdekes a mailszervered által kreált Received sor is: "for ; ". (Nem a fórum általi levágásnak tűnik, mivel a Message-ID: sorában rendesen látszik a < és > páros.)

Pedig a fórum vágta le, ismét idetettem szóközökkel: 


Received: from mail-xsmtp2.externet.hu (mail-xsmtp2.externet.hu [212.40.96.153])
         by mail.ebo.hu (Postfix) with ESMTP id 91EEE49C36
         for < epitesz @ javaforum.hu >; Sat,  9 Jul 2011 08:48:46 +0200 (CEST)
Received: (qmail 30705 invoked from network); 9 Jul 2011 06:49:11 -0000
Received: from pool-xxxxx.externet.hu (HELO m...s2) (?@88.209.xxx.xxx)
   by 0 with ESMTP; 9 Jul 2011 06:49:11 -0000
Message-ID: < 001201cc3e04$52f85720$0301a8c0 @ m...s2 >
From: "..." < m...s2 @ freemail.hu >
To: < epitesz @ lists.javaforum.hu >

Ebben az esetben az Externet szervere a gyanús, méghozzá valószínűleg a CNAME alapján írja át a címzett domaint - amit nem szabadna megtennie.

Hm... akkor szerintem írok valami technikai címükre, hogy ezt hogy csinálják.

Mindamellett még mindig nem elérhető a 62.112.194.136 mint autoritatív DNS szerver.

Jah, jeleztem már, de nem csináltak semmit... majd még szólok néha. :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Akkor a Received: sor "rendben". Mármint szintaktikailag.

Ha az Externet valamiért nem lenne hajlandó változtatni ezen, akkor a te részedről az lehet a megoldás, hogy a CNAME helyett a megfelelő MX és A rekordok szerepeljenek a zónában, így kikerülve a CNAME-alapú címzettátírást.

Externet-nél továbbították a technikai HD felé a kérdésem, de azóta fogtam még egy ilyet, ez a citromail-től jött: 


X-Original-To: epitesz @ javaforum.hu
Delivered-To: epitesz @ javaforum.hu
X-Greylist: delayed 400 seconds by postgrey-1.32 at mailscanner.jails.javaforum.hu; Tue, 12 Jul 2011 08:00:33 CEST
Received: from server05.citromail.hu (server05.citromail.hu [91.83.45.5])
        by mail.ebo.hu (Postfix) with ESMTPS id 841624AFC1
        for < epitesz @ javaforum.hu >; Tue, 12 Jul 2011 08:00:33 +0200 (CEST)
Received: (qmail 4983 invoked by uid 89); 12 Jul 2011 05:54:18 -0000
To: < epitesz @ lists.javaforum.hu >
Received: from host-94-248-176-89.cellkabel.hu [94.248.176.89] 
  by with HTTP; Tue, 12 Jul 2011 07:54:18 +0200
Date: Tue, 12 Jul 2011 07:54:18 +0200
X-Mailer: Citromail v.2.0

Lehet, hogy külön A és MX rekord kell a lists.javaforum.hu névhez... :(
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Na, fogtam egy igazi érdekességet: 


Received: from cxxxx.txxxxxx.hu (cxxxx.txxxxxx.hu [94.xxx.xxx.xxx])
         by mail.ebo.hu (Postfix) with ESMTPS id 361F14BA8F
         for < Epitesz @ javaforum.hu >; Tue, 12 Jul 2011 22:20:39 +0200 (CEST)
 Received: from xxxxxxxxxxxxxxx (catv-xxx-xx-xxx-xx.catv.broadband.hu [178.xx.xxx.xx])
         by cxxxx.txxxxxx.hu (8.14.3/8.14.3/Debian-9.4) with SMTP id p6CKL4qG013946
         for < Epitesz @ lists.javaforum.hu >; Tue, 12 Jul 2011 22:21:04 +0200

Hol veszett el az email címből a 'lists'? :(
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Amennyiben ezzel megoldom a felhasználóim problémáját, akkor igen. A felhasználók csak azt fogják érezni, hogy a gmail-es címükről tudnak levelet levelet küldeni a citromailes haveroknak, az xyz.sajatdomain.tld alól meg nem, ergo engem fognak megtalálni haragukkal és nem a citromailes üzemeltetőket.

---
http://youtu.be/wzEahz7pa7k

Az lett volna, de egyreszt a citromailes ember keptelen volt ertelmesen megindokolni, masreszt akkor most ahany ingyenes ize van, mindegyikhez kulon alkalmazkodni kelljen, csak mert lama modon kuzdenek a spam ellen? Ha majd uzleti erdek lesz a dologban, akkor talan ujragondolom a dolgot, de addig huzzon el a citromail a bena antispam beallitasaival...

Nepszava: az elso celpont a mediatorveny celkeresztjeben

> Ha a máv megszabja, hogy csak 38-as cipővel léphetsz vonatra, akkor te 38-as cipőt kezdesz el hordani?

Röviden: igen :-) Hosszabban: a máv (s|n)em visz el _mindenkit_. Még hosszabban: 


A személyszállítási szolgáltatást nem veheti igénybe:
a) az önmagával tehetetlen személy,

b) a 6 éven aluli gyermek

ha nincs kísérője.


A vasúttársaság a személyszállítást megtagadhatja, illetve az utast a személyszállításból
kizárhatja, ha az utas:

a) ittas, botrányosan viselkedik, vagy más módon a többi utast magatartásával zavarja,

b) magatartásával a közlekedés biztonságát, utastársai testi épségét, egészségét, a vasúti kocsinak vagy berendezéseinek az épségét veszélyezteti,

c) érvénytelen jeggyel vagy menetjegy nélkül utazik és menetjegyet az ellenőrzéskor sem vált,

d) menetjegyét, illetve kedvezmény igénybevételére jogosító igazolványát - felhívás ellenére - nem mutatja fel,

e) ruházatával, poggyászával vagy más módon a járművet, utastársai ruházatát vagy az utasok poggyászát beszennyezheti,

f) a vasúti kocsiba kézipoggyászként be nem vihető tárgyat visz be,

g) a menetdíj, a menetdíj-különbözet vagy a pótdíj megfizetését megtagadja.

( uid_15541 | 2011. 07. 19., k – 13:16 )

Friss élmény:

Jul 19 13:XX:XX root@XXXX postfix/smtp[95446]: certificate verification failed for server30.citromail.hu[91.83.45.30]:25: untrusted issuer /C=US/O=RTFM, Inc./OU=Widgets Division
/CN=Test CA20010517

Jó az, amikor valamin (túl)lihegnek az adminok, másra meg rá se bagóznak.

igen, igen, es meg mindig:

Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu: num=19:self signed certificate in certificate chain
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu: num=24:invalid CA certificate
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu: num=26:unsupported certificate purpose
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu: num=10:certificate has expired
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu:certificate has expired
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu:certificate has expired
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu: num=10:certificate has expired
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu:certificate has expired
Jul 20 23:28:55 localhost postfix/smtp[5389]: certificate verification failed for server27.citromail.hu:certificate has expired

t