Mailblehnung wg. MX Auflösung - wie debuggen?

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Mailblehnung wg. MX Auflösung - wie debuggen?

Lars Täuber
Hallo zusammen!

Auf unseren MX hosts werden Mails abgelehnt. Allerdings kann ich die Meldung der Ablehnung nicht nachvollziehen:

Jan 25 19:44:20 mx2 postfix/smtpd[13298]: connect from mail-wm0-f46.google.com[74.125.82.46]
Jan 25 19:44:20 mx2 postfix/smtpd[13298]: NOQUEUE: reject: RCPT from mail-wm0-f46.google.com[74.125.82.46]: 554 5.7.1 <...@ku.edu.tr>: Sender address rejected: Bogus NS/MX in RFC 1918 private network; from=<...@ku.edu.tr> to=<...> proto=ESMTP helo=<mail-wm0-f46.google.com>
Jan 25 19:44:20 mx2 postfix/smtpd[13298]: disconnect from mail-wm0-f46.google.com[74.125.82.46]


Die Fehlermeldung deutet auf folgende Tests hin:
/etc/postfix/main.cf:
smtpd_sender_restrictions       =
    [...]
    check_sender_mx_access      cidr:/etc/postfix/bogon_networks.cidr
    check_sender_ns_access      cidr:/etc/postfix/bogon_networks.cidr


/etc/postfix/bogon_networks.cidr:
# Quellen: http://www.iana.org/assignments/ipv4-address-space/
# Quellen: http://www.iana.org/assignments/ipv6-address-space/
#
# IPv4
#
0.0.0.0/8       REJECT Bogus NS/MX in broadcast network
10.0.0.0/8      REJECT Bogus NS/MX in RFC 1918 private network
100.64.0.0/10 REJECT BOGUS NS/MX in RFC 6598 private network
127.0.0.0/8     REJECT Bogus NS/MX in loopback network
169.254.0.0/16  REJECT Bogus NS/MX in link lokal network
172.16.0.0/12   REJECT Bogus NS/MX in RFC 1918 private network
192.0.2.0/24    REJECT Bogus NS/MX in TEST-NET network
192.168.0.0/16  REJECT Bogus NS/MX in RFC 1918 private network
198.18.0.0/15   REJECT Bogus NS/MX in RFC 2544 benchmark network
224.0.0.0/4     REJECT Bogus NS/MX in class D multicast network
240.0.0.0/5     REJECT Bogus NS/MX in class E reserved network
248.0.0.0/5     REJECT Bogus NS/MX in reserved network



Die MX hosts für die Absenderadresse lauten:
# host ku.edu.tr
ku.edu.tr has address 88.255.96.208
ku.edu.tr mail is handled by 30 ASPMX4.GOOGLEMAIL.COM.
ku.edu.tr mail is handled by 30 ASPMX2.GOOGLEMAIL.COM.
ku.edu.tr mail is handled by 30 ASPMX3.GOOGLEMAIL.COM.
ku.edu.tr mail is handled by 20 ALT1.ASPMX.L.GOOGLE.COM.
ku.edu.tr mail is handled by 30 ASPMX5.GOOGLEMAIL.COM.
ku.edu.tr mail is handled by 10 ASPMX.L.GOOGLE.COM.
ku.edu.tr mail is handled by 20 ALT2.ASPMX.L.GOOGLE.COM.


Alle samt haben keine Adressen aus dem reservierten privaten IPv4 Adressraum. Allerdings liefern auch alle eine IPv6 Adresse zurück.
ASPMX2.GOOGLEMAIL.COM has address 74.125.68.27
ASPMX2.GOOGLEMAIL.COM has IPv6 address 2404:6800:4003:c02::1a
ASPMX3.GOOGLEMAIL.COM has address 64.233.189.27
ASPMX3.GOOGLEMAIL.COM has IPv6 address 2404:6800:4008:c07::1a
ASPMX4.GOOGLEMAIL.COM has address 173.194.72.27
ASPMX4.GOOGLEMAIL.COM has IPv6 address 2404:6800:4008:c01::1b
ASPMX5.GOOGLEMAIL.COM has address 74.125.25.27
ASPMX5.GOOGLEMAIL.COM has IPv6 address 2607:f8b0:400e:c03::1a

     ASPMX.L.GOOGLE.COM has address 173.194.65.27
     ASPMX.L.GOOGLE.COM has IPv6 address 2a00:1450:4013:c00::1a
ALT1.ASPMX.L.GOOGLE.COM has address 74.125.68.27
ALT1.ASPMX.L.GOOGLE.COM has IPv6 address 2404:6800:4003:c02::1a
ALT2.ASPMX.L.GOOGLE.COM has address 64.233.189.27
ALT2.ASPMX.L.GOOGLE.COM has IPv6 address 2404:6800:4008:c07::1a


Wie kann ich das weiter debuggen? Hat jemand eine Ahnung, was ich hier falsch konfiguriert haben könnte?

# postconf mail_version
mail_version = 2.11.0



Vielen Dank und Grüße
Lars

--
                            Informationstechnologie
Berlin-Brandenburgische Akademie der Wissenschaften
Jägerstraße 22-23                      10117 Berlin
Tel.: +49 30 20370-352           http://www.bbaw.de
Reply | Threaded
Open this post in threaded view
|

Re: Mailblehnung wg. MX Auflösung - wie debuggen?

Ralf Hildebrandt-2
* Lars Täuber <[hidden email]>:

> Hallo zusammen!
>
> Auf unseren MX hosts werden Mails abgelehnt. Allerdings kann ich die Meldung der Ablehnung nicht nachvollziehen:
>
> Jan 25 19:44:20 mx2 postfix/smtpd[13298]: connect from mail-wm0-f46.google.com[74.125.82.46]
> Jan 25 19:44:20 mx2 postfix/smtpd[13298]: NOQUEUE: reject: RCPT from mail-wm0-f46.google.com[74.125.82.46]: 554 5.7.1 <...@ku.edu.tr>: Sender address rejected: Bogus NS/MX in RFC 1918 private network; from=<...@ku.edu.tr> to=<...> proto=ESMTP helo=<mail-wm0-f46.google.com>
> Jan 25 19:44:20 mx2 postfix/smtpd[13298]: disconnect from mail-wm0-f46.google.com[74.125.82.46]
>
>
> Die Fehlermeldung deutet auf folgende Tests hin:
> /etc/postfix/main.cf:
> smtpd_sender_restrictions       =
>     [...]
>     check_sender_mx_access      cidr:/etc/postfix/bogon_networks.cidr
>     check_sender_ns_access      cidr:/etc/postfix/bogon_networks.cidr
>
>
> /etc/postfix/bogon_networks.cidr:
> # Quellen: http://www.iana.org/assignments/ipv4-address-space/
> # Quellen: http://www.iana.org/assignments/ipv6-address-space/
> #
> # IPv4
> #
> 0.0.0.0/8       REJECT Bogus NS/MX in broadcast network
> 10.0.0.0/8      REJECT Bogus NS/MX in RFC 1918 private network
> 100.64.0.0/10 REJECT BOGUS NS/MX in RFC 6598 private network
> 127.0.0.0/8     REJECT Bogus NS/MX in loopback network
> 169.254.0.0/16  REJECT Bogus NS/MX in link lokal network
> 172.16.0.0/12   REJECT Bogus NS/MX in RFC 1918 private network
> 192.0.2.0/24    REJECT Bogus NS/MX in TEST-NET network
> 192.168.0.0/16  REJECT Bogus NS/MX in RFC 1918 private network
> 198.18.0.0/15   REJECT Bogus NS/MX in RFC 2544 benchmark network
> 224.0.0.0/4     REJECT Bogus NS/MX in class D multicast network
> 240.0.0.0/5     REJECT Bogus NS/MX in class E reserved network
> 248.0.0.0/5     REJECT Bogus NS/MX in reserved network
>
>
>
> Die MX hosts für die Absenderadresse lauten:
> # host ku.edu.tr
> ku.edu.tr has address 88.255.96.208
> ku.edu.tr mail is handled by 30 ASPMX4.GOOGLEMAIL.COM.
> ku.edu.tr mail is handled by 30 ASPMX2.GOOGLEMAIL.COM.
> ku.edu.tr mail is handled by 30 ASPMX3.GOOGLEMAIL.COM.
> ku.edu.tr mail is handled by 20 ALT1.ASPMX.L.GOOGLE.COM.
> ku.edu.tr mail is handled by 30 ASPMX5.GOOGLEMAIL.COM.
> ku.edu.tr mail is handled by 10 ASPMX.L.GOOGLE.COM.
> ku.edu.tr mail is handled by 20 ALT2.ASPMX.L.GOOGLE.COM.

Und die NS?

ku.edu.tr name server ns02.ku.edu.tr.
ku.edu.tr name server ns01.ku.edu.tr.
ku.edu.tr name server ns03.ku.edu.tr.

...

ns03.ku.edu.tr has address 172.20.18.196

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: Mailblehnung wg. MX Auflösung - wie debuggen?

Lars Täuber
Wed, 27 Jan 2016 15:48:14 +0100
Ralf Hildebrandt <[hidden email]> ==> [hidden email] :
> Und die NS?
>
> ku.edu.tr name server ns02.ku.edu.tr.
> ku.edu.tr name server ns01.ku.edu.tr.
> ku.edu.tr name server ns03.ku.edu.tr.
>
> ...
>
> ns03.ku.edu.tr has address 172.20.18.196

Oha!

Sollte ich den NS-Test komplett abschalten, nur dieses private Netzwerk rausnehmen, oder erstmal den dortigen Postmaster kontaktieren?
Mit letzterem habe ich gemischte Erfahrungen.
Was empfiehlst Du in einem solchen Fall?

Momentan ist die Absenderdomäne mit einer Ausnahme von den Tests ausgenommen.

Vielen Dank für das schnelle "Augenöffen".

Grüße
Lars

--
                            Informationstechnologie
Berlin-Brandenburgische Akademie der Wissenschaften
Jägerstraße 22-23                      10117 Berlin
Tel.: +49 30 20370-352           http://www.bbaw.de
Reply | Threaded
Open this post in threaded view
|

Re: Mailblehnung wg. MX Auflösung - wie debuggen?

Ralf Hildebrandt-2
* Lars Täuber <[hidden email]>:

> Sollte ich den NS-Test komplett abschalten, nur dieses private Netzwerk rausnehmen, oder erstmal den dortigen Postmaster kontaktieren?
> Mit letzterem habe ich gemischte Erfahrungen.

Wirst Du wenig Erfolg mit haben.

> Was empfiehlst Du in einem solchen Fall?
>
> Momentan ist die Absenderdomäne mit einer Ausnahme von den Tests ausgenommen.

Würde auch nur eine Ausnahme schalten, und dann gucken ob sich das
häuft.

[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: Mailblehnung wg. MX Auflösung - wie debuggen?

lst_hoe02
In reply to this post by Lars Täuber

Zitat von Lars Täuber <[hidden email]>:

> Wed, 27 Jan 2016 15:48:14 +0100
> Ralf Hildebrandt <[hidden email]> ==> [hidden email] :
>> Und die NS?
>>
>> ku.edu.tr name server ns02.ku.edu.tr.
>> ku.edu.tr name server ns01.ku.edu.tr.
>> ku.edu.tr name server ns03.ku.edu.tr.
>>
>> ...
>>
>> ns03.ku.edu.tr has address 172.20.18.196
>
> Oha!
>
> Sollte ich den NS-Test komplett abschalten, nur dieses private  
> Netzwerk rausnehmen, oder erstmal den dortigen Postmaster  
> kontaktieren?
> Mit letzterem habe ich gemischte Erfahrungen.
> Was empfiehlst Du in einem solchen Fall?
>
> Momentan ist die Absenderdomäne mit einer Ausnahme von den Tests ausgenommen.
>
> Vielen Dank für das schnelle "Augenöffen".
>
> Grüße
> Lars
Ist oft der Fall wenn die Gegenstelle kein Split DNS machen will oder  
kann, dann werden einfach die internen Adressen mit veröffentlicht. Da  
die meisten Spammer heutzutage eh ein "sauberes" DNS haben würde ich  
solche Tests nicht verwenden, oder nur noch auf 127.0.0.0 prüfen.

Gruß

Andreas


smime.p7s (7K) Download Attachment