Egy VPS szerveren Postfixet futtatok, de a napokban bevezették, hogy egyszerre csak egy SMTP kapcsolat lehet nyitva. Emiatt a levelek zöme kapcsolati hiba miatt nem kerül kiküldésre. A queue pedig csak dagad ...Szerencsére csak küldő szerver, tehát csak a kifele irányú forgalom a kockázatos.
Első lépésben szeretném rávenni a Postfixet, hogy ne használjon egyszerre több kimenő SMTP kapcsolatot.
Eddig a master.cf-ben beállítottam, hogy csak 1 smtp processze lehessen a 25-ös portra,
smtp inet n - - - 1 smtpd
valamint beállítottam a main.cf-ben, hogy
smtp_destination_concurrency_limit = 1
default_destination_concurrency_limit = 1
Ez kevés. Még mindig hibaüzenetektől hemzseg a log.
Valakinek további ötlete lenne, hogyan tudom elérni, hogy hibamentesen menjen a küldés?
Az is jó lenne, ha rá tudnám venni a Postfixet, hogy ne a 25-ös porttal próbálkozzon először, hátha fogadnak más portokon is leveleket egyes szerverek.
Vagy bármi ötletnek is nagyon örülnék!
Előre is köszönöm!
- 4227 megtekintés
Hozzászólások
A portszámmal ne variálj, idegen SMTP szerverre aki nem a 25-ös porton akar csatlakozni, azt simán rosszindulatúnak nézik és letilt a tűzfal (esetleg spamszűrő).
Egyébként pedig reklamálj a VPS szolgáltatódnál, vagy menj át máshoz. Az ilyen az nem szolgáltatás, aki így akarja megakadályozni a kimenő SPAM-et, attól érdemes menekülni.
- A hozzászóláshoz be kell jelentkezni
Igen, a menekülés lesz a következő lépés, de először a queue-t kellene kiüríteni ...
- A hozzászóláshoz be kell jelentkezni
5$ DigitalOcean VPS, reverse DNS, SPF, DKIM, stb beallit, blacklisteket ellenoriz, PPP tunnelt kihuz, es a 25-os portot elroute-olod arra es NAT-olsz rajta egyet. Kimegy az osszes level es mehetsz amerre jonak latod.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Refaktor Magazin
- A hozzászóláshoz be kell jelentkezni
Igen, én is látom, hogy már nincs más, mint a másik szerver.
Fel is állítottam egy újat, ami átvette a régi szerepét. Már csak a régi queue-t kellene rendben kiürítenem.
Én azt terveztem, hogy a régi postfix-nek beállítom az újat relayhost-ként, mondjuk az 587-es porton keresztül.
Az SPF-eket már átállítottam, csak azt nem tudom, a DKIM mit csinálna erre? Hiteles maradna a levél ettől még?
- A hozzászóláshoz be kell jelentkezni
Hacsak DKIM kulcsot nem cseréltél, akkor annak tökmindegy hogy merre megy a levél.
- A hozzászóláshoz be kell jelentkezni
Kik vezették be? Milyen szolgálató nem fogad?
Ha az alap beállításokkal nem menne a postfix, akkor a világ levelezésének 90%-a leállna. A 25-os port az alap, néhol engedik a 26-ot is (néhány rendszergazda a thome-on dolgozó home office-os kollégáknak), de szerverek azon nem beszélgetnek.
És mi a hibaüzenet? postfix adja?
- A hozzászóláshoz be kell jelentkezni
Felhasználóknak az 587-et illik megnyitni (általában STARTTLS-el), és 465-öt SSL-el, de ezeken rendes szerver autentikáció nélkül nem vesz át levelet. Csak a kimenő leveleknek (felhasználó -> mailszerver) kellene ezt használnia.
- A hozzászóláshoz be kell jelentkezni
+1 Mióta ilyen filléres az SSL tanúsítvány ( 1 év kb. 4$ ) azóta felhasználókat csak SSL-el engedem be küldésre. Egyszer a Digi mókolt valamit és pár órán át nem ment, de más esetben nem találkoztam a 465-ös port tiltásával.
- A hozzászóláshoz be kell jelentkezni
Érdemes mellé megnyitni az 587-et is, és azon STARTTLS-t kötelezően elvárni. (Jobb lesz a kompatibilitásod, ez ugye nem teljesen ugyan az mint az SSL)
- A hozzászóláshoz be kell jelentkezni
.
- A hozzászóláshoz be kell jelentkezni
Nekem az is jó lenne, ha valamilyen SSL-lel 587-es vagy 465-ös porton tudnám továbbküldeni a leveleket azoknak a szervereknek, akik elfogadják így.
- A hozzászóláshoz be kell jelentkezni
Rendesen beállított szerver, hacsak nem vagy user azon a szerveren, akkor nem fogadja el így a levelet. Te nem vagy user, te egy idegen MTA vagy jelen esetben.
- A hozzászóláshoz be kell jelentkezni
Kivéve, ha a mynetworks-be felveszed azt a publikus IP-t.
Néha így szoktam gyors relayt csinálni, ha kell.
- A hozzászóláshoz be kell jelentkezni
Persze, a saját szervered azt vesz át amit kérsz tőle :-), de itt idegen kezelésben lévő mailszerverekről volt szó.
(Amúgy a konica nyomtatókat nagyon máshogy nem is lehet relayelni pl.)
- A hozzászóláshoz be kell jelentkezni
A VPS a Contabo-nál futott évek óta. Pár napja vezették be ezt a korlátozást - minden előzetes tájékoztatás nélkül. Azt mondják, megértik, ha emiatt elmegyek, de leszarják. A pontos hibaüzenet pl.:
status=deferred (delivery temporarily suspended: connect to szfw3.mol.hu[171.31.0.95]:25: Connection refused)
De akkor is ezt kapom, ha telnettel megpróbálok egy távoli SMTP-t elérni. A VPS-t magát korlátozzák, hogy a 25-ös portból egyszerre csak 1 kapcsolat épülhet ki.
- A hozzászóláshoz be kell jelentkezni
Értem, szomorú.
http://www.postfix.org/postconf.5.html#initial_destination_concurrency paraméter még fontos lehet, mert ez az egy domainre menő levelek beállítása. Érdemes ezt is 1-re venni: initial_destination_concurrency
- A hozzászóláshoz be kell jelentkezni
Köszönöm, beállítottam.
- A hozzászóláshoz be kell jelentkezni
A Contabonak tele van spammerrel, gondolom megelegeltek, hogy mindenhol blacklisten van a tartomanyuk es igy probalkoznak. De oszinten szolva ez eleg idiota megoldas.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Refaktor Magazin
- A hozzászóláshoz be kell jelentkezni
Nem lenne gáz, ha szóltak volna előtte ... De még a hotline is tagadta, hogy korlátozás lenne. Fél napomba került az is, hogy olyan emberhez kerüljek, aki tud a korlátozásról ...
- A hozzászóláshoz be kell jelentkezni
Sajnos simán nem fognak máshol emailt fogadni. Perpill azt látom megoldásnak, hogy átállsz másik gépre és ahogy csökken a load ott a kimenőkre, úgy fognak kézbesítésre kerülni. 1 TCP kapcsolat az 1 kapcsolat. Esetleg próbálj limit emelést kérni mondjuk 5db-ra vagy 10-re, mivel levelező szervert futtatsz.
- A hozzászóláshoz be kell jelentkezni
Szia
Queue kiürítése:
VPN-nel összekötném egy másik Postfix szerverrel és oda irányítanám a forgalmat. Akár route-ok piszkálásával, akár a postfix replay opciójával. Utóbbi talán fájdalom mentesebb.
- A hozzászóláshoz be kell jelentkezni
Igen, végül én is ezt terveztem, de a DKIM-től tartok, hogyan reagálna erre.
Most, hogy átálltam az új szerverre, úgy tűnik a queue a régin szép lassan magától is ki fog ürülni ...
Egyelőre ebben bízom, hogy talán minden piszkálás nélkül is megoldódik.
- A hozzászóláshoz be kell jelentkezni
A DKIM szerintem sehogy, mert ott a feladó email cím domaint nézik és ha ahhoz stimmel az aláírás akkor nyert. Ha jól tudom csak a forrás van aláírva, a további hop-ok már nem. Ha valaki máshogy tudja javítson ki.
Amúgy SSH tunnel is működhet, az még egyszerűbb mint a VPN. Távoli gépre ahol van postfix nyitsz egy tunnel-t aztán relay_host a localhost:2525-re vagy ilyesmi. Mondjuk lehet nem relay host kell majd hanem transport file, de szerintem ez még így is egyszerűbb mint a vpn.
UPDATE: no kicsit rágugliztam és a DKIM-nél valóban meg vannak adva, hogy milyen mezőket vettek be az aláírásba a headerből. 'How it works' rész itt: https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail
- A hozzászóláshoz be kell jelentkezni
Végül a teljes régi queue kiürült, így megoldódott a probléma.
Mindenkinek nagyon köszönöm a segítőkész tanácsokat!
- A hozzászóláshoz be kell jelentkezni