Van egy VM, aminek ugyanannál a szolgáltatónál készült egy utódja.
A VM-en van ~8-10 .hu domain, mindegyik legalább 5+ éves.
Web meg mail van a szerveren.
Az összes változás a hostnév meg az IP.
A jelenség:
- 3-4 domain nem kap levelet gmail-ről (és olyan domain-ekről, amik Google-nél vannak hostolva)
- viszont bármilyen más sendertől megjönnek a levelek ezekre a domain-ekre is
- a többi domain megkap minden levelet mindenhonnan (még a gmail-es / google hostolt domain-ekről is)
- a mail logban nyoma sincs annak, hogy a gmail próbálkozna erre a 3-4 domain-re levelet küldeni
Eddig
- átnéztem a mail konfigot
- minden domain DNS rekordját (teljesen egyformára vannak beállítva)
- futtattam 1000 féle online checkert (dns, cert, stb.) minden zöld, kivéve a https://ssl-tools.net/ ami azt mondja, "No connection to the mailservers of ????????.hu could be established." -- lehet, ez is Google-nél van?
- a működő domain-ekre viszont nem dob hibát
A régi VM állítólag még megvan, kértem oda is accesst, hogy ránézzek, meg DNS-ben visszaütöm a nem működő domain-eket oda, hogy megnézzem, tényleg fogadnak-e levelet.
Amíg megkapom az accesst a régi gépre, mire nézzek még rá? Ilyet még nem láttam, hogy ugyanazon hoston lévő 2 domain közül az egyik kapjon mailt a másik meg ilyen hülyén nem.
Hozzászólások
Bocs, ha túl triviális a kérdés: ellenőrizted, hogy a @8.8.8.8 vagy @8.8.4.4--nél már az új bejegyzések szerepelnek?
Köszi a tippet, de igen és jól oldanak fel.
Egyébként a levélküldés működik gmail irányába a szerverről? Ha igen, belenéztél valamelyik teszt email fejlécébe a gmailen belül? Hátha van benne valami releváns infó.
> Egyébként a levélküldés működik gmail irányába a szerverről?
Igen, kimennek a "rossz" domain-ekről is @gmail-re a levelek, a megérkezett levelekben a header-ben "spf pass, dkim pass"
Viszont a válasz levél nem jön meg.
Egyelőre ötletem sincs mi lehet, sima hálózatnál azt mondanám, routing gond van, de ugyanzon a VM-en lévő másik domain-re meg megjön a levél.
Most várom az accesst a régi VM-hez és utána visszaállítom az egyik DNS-t.
Kellene valami tool, hogy a google szerint mi az MX rekordja egy domain-nek (a "dig @8.8.8.8 mx rosszdomain.hu" -n kívül). Bár a sima checkerek (pl. mxtoolbox meg a többi) gond nélkül megoldják.
https://toolbox.googleapps.com/apps/checkmx/ Apps-hoz van, de hátha segít. Az SPF-nél nálam kiírja a szerver IP-jét is.
Minden zöld, kivéve ezt a négyet:
piros: SPF must allow Google servers to send mail on behalf of your domain.
piros: DKIM is not set up.
piros: No Google mail exchangers found. Relayhost configuration?
info: Effective SPF Address Ranges.
De ez így szerintem OK, mert nem a G intézi a domain-ek levelezését, hanem egy privát VM.
Az "info: Effective SPF Address Ranges."-nél is már az új IP szerepel?
Igen.
ugyanez van azoknal is, amik szinten google-nel hostolt domainek, de mukodnek?
A TTL-el számoltál?
Még nov 30-n ütötték át és ilyen 1800-as TTL-ek vannak beálíltva.
Külföldről eléred a kérdéses hostok smtp szerverét?
Tegyél fel másik hálózatra egy forward mx szervert.
HU-ból, DE-ből és EU-s GCP-ből is elérhető a VM tcp/25-ön.
A forward MX nem rossz ötlet, de előbb megpróbálom visszakapcsolni az eredeti VM-et.
Nincs google-nek valami egzotikus kapcsoloja a kezelofeluleten a hostolt domainekhez, hogy ez belso/kulso endpoint? (Csak vaktaban lovoldozok, pl google for business, vagy hasonlonal beallitva, hogy ne is probaljon kifele keresgelni, vagy private/public DNShez hasonloan).
Végre előkerült egy bounced gmail-es üzenet:
> The MX host does not match any MX allowed by the STS policy.
És tényleg, az mta-sts file-ban a régi szerver van.
Viszont a jó domain-ek közül is néhánynál el van rontva az mta-sts, mégis jött email.
Most mindent javítottam, péntekre kiderül (a max_age: 90000).
nem lehet, hogy a jo domaineknel a mode mas?
https://support.google.com/a/answer/9276511?hl=en
Az a szomorú vicc, hogy nem, mindenhol enforce van. :/
Remélem ez megoldja bár nem fog mindent megmagyarázni, pl a https://ssl-tools.net -en kapott üzenetet. Hacsak nem csinálnak ott is ilyen csekket és ha fail-el, akkor az így néz ki csak elfelejtik kiírni, hogy az mta-sts miatt borult fel.
Tényleg az mta-sts okozta. A hibás domain-ek közül már csak egyre nem érkeznek meg a levelek.
bookmarked
echo crash > /dev/kmem