plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
7 messages Options
Reply | Threaded
Open this post in threaded view
|

plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

iNETsolutions.de [T. Hein]
Sehr geehrte Damen und Herren,

wir haben den
reject_unverified_recipient im smtpd_recipient_restrictions = aktiviert:

smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_unknown_recipient_domain,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unlisted_recipient,
                                reject_non_fqdn_recipient,
                                reject_non_fqdn_sender,
                                permit_sasl_authenticated,
                                check_recipient_access hash:/etc/postfix/recipient_access_cpanel,
                                check_recipient_access hash:/etc/postfix/recipient_access,
                                check_policy_service unix:postgrey/socket,
                                #deaktiviert 19.06.20 da: Recipient address rejected: unverified address: Address verification in progress;
                                #reject_unverified_recipient,
                                reject_unauth_destination

Seit Jahren ohne Probleme.
Seit heute ca. 3 Uhr erhalten wir bei fast allen neuen Mails (es sind 9478 Einträge im log):
cat /var/log/maillog |grep "Address verification in progress" |wc -l

z.B.
 NOQUEUE: reject: RCPT from mail-lj1-f169.google.com[209.85.208.169]:
450 4.1.1 <verschiedenste lokale mailadressen>: Recipient address rejected: unverified address: Address verification in progress; 


Was kann der Grund dafür sein?
Die verify_cache.db haben wir gelöscht und Postfix neugestartet. Keine Änderung.
Wir mussten erstmal "reject_unverified_recipient" deaktivieren.


Vielen Dank schonmal.


Freundliche Grüße
T. Hein

Reply | Threaded
Open this post in threaded view
|

Re: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Klaus Tachtler
Hallo T. Hein,

Unter
http://www.postfix.org/postconf.5.html#reject_unverified_recipient
steht nachfolgender Eintrag:

"Reject the request when mail to the RCPT TO address is known to
bounce, or when the recipient address destination is not reachable."

Siehe auch einen Eintrag in meinem DokuWiki, welchen ich mal für mich
erstellt habe:
https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#dynamische_adressen-verifizierung

GRUNDSÄTZLICH, unter dem Begriff Dynamic address verification
(Dynamische Adressen-Verifizierung) ist die Möglichkeit von Postfix
gemeint, das dieser sich im Hauptspeicher merkt, ob die e-Mail-Adresse
existiert oder nicht. Nach einem Postfix reload, restart oder stop
würden diese Informationen jedoch nicht mehr Verfügbar sein.
--> Deswegen die verify_cache.db

Möglicherweise liegt das Problem etwas anders. Meiner Meinung nach ist
es doch eher die Frage, warum klappt die Überprüfung der RCPT TO:
Empfänger im System nicht mehr?


Grüße
Klaus.


> Sehr geehrte Damen und Herren,
>
> wir haben den
> reject_unverified_recipient im smtpd_recipient_restrictions = aktiviert:
>
> smtpd_recipient_restrictions =  permit_mynetworks,
>                                 reject_unknown_recipient_domain,
>                                 reject_unknown_sender_domain,
>                                 reject_unlisted_sender,
>                                 reject_unlisted_recipient,
>                                 reject_non_fqdn_recipient,
>                                 reject_non_fqdn_sender,
>                                 permit_sasl_authenticated,
>                                 check_recipient_access
> hash:/etc/postfix/recipient_access_cpanel,
>                                 check_recipient_access
> hash:/etc/postfix/recipient_access,
>                                 check_policy_service unix:postgrey/socket,
>                                 #deaktiviert 19.06.20 da: Recipient
> address rejected: unverified address: Address verification in
> progress;
>                                 #reject_unverified_recipient,
>                                 reject_unauth_destination
>
> Seit Jahren ohne Probleme.
> Seit heute ca. 3 Uhr erhalten wir bei fast allen neuen Mails (es
> sind 9478 Einträge im log):
> cat /var/log/maillog |grep "Address verification in progress" |wc -l
>
> z.B.
>  NOQUEUE: reject: RCPT from mail-lj1-f169.google.com[209.85.208.169]:
> 450 4.1.1 <verschiedenste lokale mailadressen>: Recipient address
> rejected: unverified address: Address verification in progress;
>
>
> Was kann der Grund dafür sein?
> Die verify_cache.db haben wir gelöscht und Postfix neugestartet.
> Keine Änderung.
> Wir mussten erstmal "reject_unverified_recipient" deaktivieren.
>
>
> Vielen Dank schonmal.
>
>
> Freundliche Grüße
> T. Hein

----- Ende der Nachricht von "iNETsolutions.de [T. Hein]"
<[hidden email]> -----



--

---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------

attachment0 (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re[2]: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

iNETsolutions.de [T. Hein]
Hallo T. Hein,
 
Unter
http://www.postfix.org/postconf.5.html#reject_unverified_recipient
steht nachfolgender Eintrag:
 
"Reject the request when mail to the RCPT TO address is known to
bounce, or when the recipient address destination is not reachable."
 
Siehe auch einen Eintrag in meinem DokuWiki, welchen ich mal für mich
erstellt habe:
https://dokuwiki.tachtler.net/doku.php?id=tachtler:postfix_centos_7#dynamische_adressen-verifizierung
 
GRUNDSÄTZLICH, unter dem Begriff Dynamic address verification
(Dynamische Adressen-Verifizierung) ist die Möglichkeit von Postfix
gemeint, das dieser sich im Hauptspeicher merkt, ob die e-Mail-Adresse
existiert oder nicht. Nach einem Postfix reload, restart oder stop
würden diese Informationen jedoch nicht mehr Verfügbar sein.
--> Deswegen die verify_cache.db
 
Möglicherweise liegt das Problem etwas anders. Meiner Meinung nach ist
es doch eher die Frage, warum klappt die Überprüfung der RCPT TO:
Empfänger im System nicht mehr?
 
Danke für die Antwort.
Ja der Empfänger ist im System.
Wir erhalten zudem auch tausende (20123) folgende Seite heute Nacht:

Jun 18 23:46:49 postfix/smtpd[51299]: too many errors after RCPT from mout.kundenserver.de[217.72.192.74]
too many errors after RCPT...

Wir könnten wir anfangen mit suchen?
Nicht das postfix/smtpd Probleme hat.



 
Grüße
Klaus.
 
 
Sehr geehrte Damen und Herren,
 
wir haben den
reject_unverified_recipient im smtpd_recipient_restrictions = aktiviert:
 
smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_unknown_recipient_domain,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unlisted_recipient,
                                reject_non_fqdn_recipient,
                                reject_non_fqdn_sender,
                                permit_sasl_authenticated,
                                check_recipient_access
hash:/etc/postfix/recipient_access_cpanel,
                                check_recipient_access
hash:/etc/postfix/recipient_access,
                                check_policy_service unix:postgrey/socket,
                                #deaktiviert 19.06.20 da: Recipient
address rejected: unverified address: Address verification in
progress;
                                #reject_unverified_recipient,
                                reject_unauth_destination
 
Seit Jahren ohne Probleme.
Seit heute ca. 3 Uhr erhalten wir bei fast allen neuen Mails (es
sind 9478 Einträge im log):
cat /var/log/maillog |grep "Address verification in progress" |wc -l
 
z.B.
 NOQUEUE: reject: RCPT from mail-lj1-f169.google.com[209.85.208.169]:
450 4.1.1 <verschiedenste lokale mailadressen>: Recipient address
rejected: unverified address: Address verification in progress;
 
 
Was kann der Grund dafür sein?
Die verify_cache.db haben wir gelöscht und Postfix neugestartet.
Keine Änderung.
Wir mussten erstmal "reject_unverified_recipient" deaktivieren.
 
 
Vielen Dank schonmal.
 
 
Freundliche Grüße
T. Hein
 
 
----- Ende der Nachricht von "iNETsolutions.de [T. Hein]"
<[hidden email]> -----
 
 
 
--
 
---------------------------------------
e-Mail  : [hidden email]
Homepage: https://www.tachtler.net
DokuWiki: https://dokuwiki.tachtler.net
---------------------------------------
Reply | Threaded
Open this post in threaded view
|

Re: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Gerald Galster-2
In reply to this post by iNETsolutions.de [T. Hein]
Hallo,

wir haben den
reject_unverified_recipient im smtpd_recipient_restrictions = aktiviert:

smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_unknown_recipient_domain,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unlisted_recipient,
                                reject_non_fqdn_recipient,
                                reject_non_fqdn_sender,
                                permit_sasl_authenticated,
                                check_recipient_access hash:/etc/postfix/recipient_access_cpanel,
                                check_recipient_access hash:/etc/postfix/recipient_access,
                                check_policy_service unix:postgrey/socket,
                                #deaktiviert 19.06.20 da: Recipient address rejected: unverified address: Address verification in progress;
                                #reject_unverified_recipient,
                                reject_unauth_destination

Seit Jahren ohne Probleme.
Seit heute ca. 3 Uhr erhalten wir bei fast allen neuen Mails (es sind 9478 Einträge im log):
cat /var/log/maillog |grep "Address verification in progress" |wc -l

z.B.
 NOQUEUE: reject: RCPT from mail-lj1-f169.google.com[209.85.208.169]:
450 4.1.1 <verschiedenste lokale mailadressen>: Recipient address rejected: unverified address: Address verification in progress; 


Was kann der Grund dafür sein?


address_verify_poll_count (default: normal: 3, overload: 1)
Specify 1 to implement a crude form of greylisting, that is, always defer the first delivery request for a new address.

# postconf | egrep address_verify_poll
address_verify_poll_count = ${stress?{1}:{3}}
address_verify_poll_delay = 3s

Was sagen diese Werte und war das System unter Stress?

Wie werden die Empfänger überprüft und klappt das manuell ohne Verzögerung?
Vielleicht gibt es Probleme mit einer Datenbank, einem weiteren Mailserver, Validierung über IMAP Server, RAID degraded, etc.

Außerdem werden die Daten auch zwischengespeichert, siehe CACHE CONTROLS in http://www.postfix.org/verify.8.html
Da die verify_db schon gelöscht und postfix neu gestartet wurde, liegt das Problem vermutlich anderswo.

Viele Grüße
Gerald Galster

Reply | Threaded
Open this post in threaded view
|

Re[2]: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

iNETsolutions.de [T. Hein]
Hallo Gerald,

danke für den Input.
War kein Stress im System.
address_verify_poll_count = ${stress?1}${stress:3}
address_verify_poll_delay = 2s

"Wie werden die Empfänger überprüft und klappt das manuell ohne Verzögerung?"
Scheinbar durch den verify des Postfix. Was der genau macht wissen wir nicht

Wir glauben wir haben die Ursache, auch wenn etwas "komisch".

Wir haben die resolv.conf nun geändert. Es scheint behoben.
Wir hatten dort 4 Nameserver, wovon ggf. die letzten 2. plötzlich nicht mehr erreichbar sind (scheinbar über Nacht abgestellt vom RZ, auch wenn die meinen sie haben nichts abgestellt).

Wir haben auch wieder die reject_unverified_recipient aktiviert.
Seit 1h keine Fehler in den Logs.

Komisch ist, dass das Problem damit wirklich scheinbar zu tun hatte.
Wir gingen davon aus, dass wenn einer der DNS in der Liste nicht geht, wird einfach ein anderer genommen.
2/4 gingen auf jeden Fall (die 1. beiden).
Auch deuten die Logs ja nicht auf Probleme mit dem DNS.
Auch gingen von der Konsole (SSH) ja die DNS lookups problemlos.

Wir hoffen es lag wirklich daran.


------ Originalnachricht ------
Von: "Gerald Galster" <[hidden email]>
An: "Diskussionen und Support rund um Postfix" <[hidden email]>
Gesendet: 19.06.2020 15:04:45
Betreff: Re: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Hallo,

wir haben den
reject_unverified_recipient im smtpd_recipient_restrictions = aktiviert:

smtpd_recipient_restrictions =  permit_mynetworks,
                                reject_unknown_recipient_domain,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_unlisted_recipient,
                                reject_non_fqdn_recipient,
                                reject_non_fqdn_sender,
                                permit_sasl_authenticated,
                                check_recipient_access hash:/etc/postfix/recipient_access_cpanel,
                                check_recipient_access hash:/etc/postfix/recipient_access,
                                check_policy_service unix:postgrey/socket,
                                #deaktiviert 19.06.20 da: Recipient address rejected: unverified address: Address verification in progress;
                                #reject_unverified_recipient,
                                reject_unauth_destination

Seit Jahren ohne Probleme.
Seit heute ca. 3 Uhr erhalten wir bei fast allen neuen Mails (es sind 9478 Einträge im log):
cat /var/log/maillog |grep "Address verification in progress" |wc -l

z.B.
 NOQUEUE: reject: RCPT from mail-lj1-f169.google.com[209.85.208.169]:
450 4.1.1 <verschiedenste lokale mailadressen>: Recipient address rejected: unverified address: Address verification in progress; 


Was kann der Grund dafür sein?


address_verify_poll_count (default: normal: 3, overload: 1)
Specify 1 to implement a crude form of greylisting, that is, always defer the first delivery request for a new address.

# postconf | egrep address_verify_poll
address_verify_poll_count = ${stress?{1}:{3}}
address_verify_poll_delay = 3s

Was sagen diese Werte und war das System unter Stress?

Wie werden die Empfänger überprüft und klappt das manuell ohne Verzögerung?
Vielleicht gibt es Probleme mit einer Datenbank, einem weiteren Mailserver, Validierung über IMAP Server, RAID degraded, etc.

Außerdem werden die Daten auch zwischengespeichert, siehe CACHE CONTROLS in http://www.postfix.org/verify.8.html
Da die verify_db schon gelöscht und postfix neu gestartet wurde, liegt das Problem vermutlich anderswo.

Viele Grüße
Gerald Galster

Reply | Threaded
Open this post in threaded view
|

Re: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Gerald Galster-2
danke für den Input.
War kein Stress im System.
address_verify_poll_count = ${stress?1}${stress:3}
address_verify_poll_delay = 2s

"Wie werden die Empfänger überprüft und klappt das manuell ohne Verzögerung?"
Scheinbar durch den verify des Postfix. Was der genau macht wissen wir nicht

Kommt etwas auf die Konfiguration an. Hier ein Beispiel:

Postfix nimmt eine E-Mail aus dem Internet an, die via SMTP an einen internen Mailserver zugestelt werden soll.
Während die E-Mail eingeliefert wird und die Verbindung nach extern noch besteht, baut postfix eine zweite Verbindung zum internen Mailserver auf und fragt dort nach ob der Empfänger existiert (RCPT TO).
Falls ja wird die E-Mail angenommen, falls nein wird sie abgelehnt und die externe Verbindung beendet. Das Ergebnis merkt sich postfix dann für einige Zeit.
Dadurch muss der Admin des externen postfix nur konfigurieren, dass die betreffende Domain angenommen und vom internen Server XY verwaltet wird. Er braucht selbst keine Datenbank mit aktiven E-Mail Adressen führen, da er einfach nachfragt.

Wir glauben wir haben die Ursache, auch wenn etwas "komisch".

Wir haben die resolv.conf nun geändert. Es scheint behoben.
Wir hatten dort 4 Nameserver, wovon ggf. die letzten 2. plötzlich nicht mehr erreichbar sind (scheinbar über Nacht abgestellt vom RZ, auch wenn die meinen sie haben nichts abgestellt).

Wir haben auch wieder die reject_unverified_recipient aktiviert.
Seit 1h keine Fehler in den Logs.

Das klingt plausibel. Ein DNS der nicht oder schlecht antwortet, kann solche Probleme auslösen.

Komisch ist, dass das Problem damit wirklich scheinbar zu tun hatte.
Wir gingen davon aus, dass wenn einer der DNS in der Liste nicht geht, wird einfach ein anderer genommen.

Bei TCP bekommt man eine Rückmeldung ob ein Paket angekommen ist. Für DNS wird meist UDP verwendet, das ist einfacher, schneller und hat keinen solchen Mechanismus.
Bekommt man innerhalb von x Sekunden keine Antwort geht man davon aus, dass der Dienst nicht reagiert oder das Paket verloren ging.
Das dauert aber länger als address_verify_poll_delay/count, weshalb die Address verification wohl noch "in progress" war.

2/4 gingen auf jeden Fall (die 1. beiden).
Auch deuten die Logs ja nicht auf Probleme mit dem DNS.
Auch gingen von der Konsole (SSH) ja die DNS lookups problemlos.

Es kann sein dass die Nameserver in der resolv.conf nacheinander abgefragt werden, es gibt aber auch Optionen für round robin.

Auf Mailservern installiere ich gerne einen eigenen DNS Resolver (z.B. pdns recursor oder unbound), dann kann man 127.0.0.1 in die resolv.conf eintragen und ist unabhängig vom Provider.

Viele Grüße
Gerald Galster
Reply | Threaded
Open this post in threaded view
|

Re: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Alexander Dalloz
In reply to this post by iNETsolutions.de [T. Hein]
Am 19.06.2020 um 16:07 schrieb iNETsolutions.de [T. Hein]:

> Wir haben die resolv.conf nun geändert. Es scheint behoben.
> Wir hatten dort 4 Nameserver, wovon ggf. die letzten 2. plötzlich nicht
> mehr erreichbar sind (scheinbar über Nacht abgestellt vom RZ, auch wenn
> die meinen sie haben nichts abgestellt).

Typischerweise berücksichtigt der resolver der glibc maximal die ersten
3 nameserver Einträge in der resolv.conf. Mehr einzutragen bringt nichts.

>>> Seit heute ca. 3 Uhr erhalten wir bei fast allen neuen Mails (es sind
>>> 9478 Einträge im log):
>>> cat /var/log/maillog |grep "Address verification in progress" |wc -l

Ganz ehrlich, da stellen sich einem die Nackenhaare auf.

grep -c "Address verification in progress" /var/log/maillog.

Alexander