+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Прокси-почта использует SPF, Proxmox Mail Gateway

osgit

Guest

26.05.2022 21:47:00

У меня проблема с Mail Gateway: при включённой опции Use SPF он как будто неправильно обрабатывает домен с более сложной SPF-записью, где используется, например, такой механизм: exists:%{i}.spf.hc4187-23.iphmx.com. Есть ли какое-то решение, кроме как заносить их домен в белый список через Mail Proxy или отключать Use SPF, или, может, есть какой-то флаг, который нужно поставить, чтобы правильно обрабатывать такого рода SPF-записи?

Домен:
Код: chrobinson.com
MX-запись:
Код: chrobinson.com. 300 IN TXT "v=spf1 mx ip4:168.208.200.0/24 ip4:168.208.16.0/24 exists:%{i}.spf.hc4187-23.iphmx.com -all"

Ошибка при включённом Use SPF:
Код: NOQUEUE: reject: RCPT from esa.hc4187-23.iphmx.com[68.232.131.43]: 554 5.7.1 <user@domain.com>: Recipient address rejected: Rejected by SPF: 68.232.131.43 is not a designated mailserver for prvs%3D13886b7e3%3Dsome.user%40chrobinson.com (context mfrom, on smtp.domain.com); from=<prvs=13886b7e3=some.user@chrobinson.com> to=<user@domain.com> proto=ESMTP helo=<esa.hc4187-23.iphmx.com>

Stoiko Ivanov Guest	#2 0 17.08.2022 10:25:00 В данном случае и https://www.spf-record.com/spf-lookup/medline.com?ip=150.105.217.150&opt_out=on, и https://mxtoolbox.com/SuperTool.aspx?action=spf:medline.com:150.105.217.150&run=toolpage подтверждают, что этот IP-адрес не включён в SPF-запись...

osgit Guest	#3 0 18.08.2022 00:31:00 Да, я присмотрелся повнимательнее после публикации и тоже это заметил. Забыл отредактировать свой пост.

osgit

Guest

13.06.2022 19:14:00

Я уже давно применил эти исправления, есть что-то конкретное по этому поводу? Код: server:
private-address: 127.0.0.0/8
private-domain: "zen.spamhaus.org"
private-domain: "bl.spamcop.net"
private-domain: "psbl.surriel.com"
private-domain: "spamrbl.imp.ch"
private-domain: "noptr.spamrats.com"
private-domain: "escalations.dnsbl.sorbs.net"
private-domain: "bl.score.senderscore.com"
private-domain: "bl.spameatingmonkey.net"
private-domain: "rbl.realtimeblacklist.com"
private-domain: "dnsbl.dronebl.org"
private-domain: "ix.dnsbl.manitu.net"
private-domain: "b.barracudacentral.org"
private-domain: "truncate.gbudb.net"
private-domain: "bl.blocklist.de"

dcsapak

Guest

14.06.2022 09:23:00

Проблема здесь в том, что хотя SPF-запись говорит, что всё в порядке, когда существует '%{i}.spf.hc4187-23.iphmx.com', она разрешается в 127.0.0.2: Код: 68.232.131.43.spf.hc4187-23.iphmx.com. 3600 IN A 127.0.0.2, что блокируется pfsense, поскольку DNS *не должен* разрешаться в локальный IP...

osgit Guest	#6 0 14.06.2022 22:35:00 Я отключил проверку DNS Rebind для тестирования. Сообщу, что будет в следующий раз, когда получу от них письмо, и расскажу о результатах. Спасибо.

osgit

Guest

22.07.2022 20:59:00

Итак, я получил два письма с этого домена, и оба были отклонены. Вот код:

Jul 22 07:50:00 smtp postfix/smtpd[162078]: подключение с esa.hc4187-23.iphmx.com[68.232.131.43]
Jul 22 07:50:01 smtp postfix/smtpd[162078]: Анонимное TLS-соединение установлено с esa.hc4187-23.iphmx.com[68.232.131.43]: TLSv1.2 с шифром ECDHE-RSA-AES256-GCM-SHA384 (256/256 бит)
Jul 22 07:50:01 smtp postfix/smtpd[162078]: NOQUEUE: отклонено: RCPT от esa.hc4187-23.iphmx.com[68.232.131.43]: 554 5.7.1 <user@domain.com>: Адрес получателя отклонён: отклонено по SPF: 68.232.131.43 не является разрешённым почтовым сервером для prvs%3D195daca47%3Duser%40chrobinson.com (контекст mfrom, на smtp.domain.com); от=<prvs=195daca47=user@chrobinson.com> к=<user@domain.com> протокол=ESMTP helo=<esa.hc4187-23.iphmx.com>
Jul 22 07:50:06 smtp postfix/smtpd[162078]: отключение от esa.hc4187-23.iphmx.com[68.232.131.43] ehlo=2 starttls=1 mail=1 rcpt=0/1 rset=1 quit=1 команды=6/7

dcsapak Guest	#8 0 26.07.2022 10:27:00 Что показывает команда Code: dig 68.232.131.43.spf.hc4187-23.iphmx.com на вашей установке pmg? (возможно, потребуется установить пакет 'bind9-dnsutils')

osgit

Guest

28.07.2022 21:01:00

Конечно, вот ответ: Код: dig 68.232.131.43.spf.hc4187-23.iphmx.com

; <<>> DiG 9.16.27-Debian <<>> 68.232.131.43.spf.hc4187-23.iphmx.com
;; глобальные опции: +cmd
;; Получен ответ:
;; ->>ЗАГОЛОВОК<<- операция: QUERY, статус: NOERROR, id: 12400
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНО: 1

;; OPT ПСЕВДОРАЗДЕЛ:
; EDNS: версия: 0, флаги:; udp: 1432
;; РАЗДЕЛ ЗАПРОСА:
;68.232.131.43.spf.hc4187-23.iphmx.com. IN A

;; Время запроса: 96 мс
;; СЕРВЕР: 192.168.56.1#53(192.168.56.1)
;; КОГДА: чт, 28 июл 12:00:50 MST 2022
;; РАЗМЕР СООБЩЕНИЯ получено: 66

osgit

Guest

#10

17.08.2022 01:46:00

Теперь возникает проблема с другим доменом:
Домен:
Код: medline.com
SPF-запись:
Код: medline.com. 1800 IN TXT "v=spf1 mx a ip4:205.233.244.245 ip4:205.233.245.135 ip4:205.233.245.77 include:_spf-a.medline.com include:_spf-b.medline.com include:_spf-c.medline.com -all"

Код:
16 августа 08:23:21 smtp postfix/smtpd[255412]: подключение от smtp-esa2.cloud.opentext.com[150.105.217.150]
16 августа 08:23:21 smtp postfix/smtpd[255412]: установлено анонимное TLS-соединение с smtp-esa2.cloud.opentext.com[150.105.217.150]: TLSv1.2 с шифром ECDHE-RSA-AES256-GCM-SHA384 (256/256 бит)
16 августа 08:23:22 smtp postfix/smtpd[255412]: NOQUEUE: отказ: RCPT от smtp-esa2.cloud.opentext.com[150.105.217.150]: 554 5.7.1 <orders@domain.com>: адрес получателя отклонен: отклонено SPF: 150.105.217.150 не является назначенным почтовым сервером для vendorrelations%40medline.com (контекст mfrom, на smtp.domain.com); от=<VendorRelations@medline.com> к=<orders@domain.com> протокол=ESMTP helo=<smtp-esa2.cloud.opentext.com>
16 августа 08:23:27 smtp postfix/smtpd[255412]: отключение от smtp-esa2.cloud.opentext.com[150.105.217.150] ehlo=2 starttls=1 mail=1 rcpt=0/1 rset=1 quit=1 команд=6/7

osgit Guest	#11 0 29.08.2022 17:03:00 У меня ещё один такой же случай, как с chrobinson.com — IP тоже покрывается записью SPF. https://mxtoolbox.com/SuperTool.aspx?action=spf:hiscoinc.com:216.71.140.81&run=toolpage У меня в pFsense тоже отключён DNS rebind.

Stoiko Ivanov Guest	#12 0 29.08.2022 17:06:00 Ссылка, которую ты прислал, прямо говорит: так что если письмо отклонили из-за SPF, это то, чего я и ожидал?

osgit Guest	#13 0 29.08.2022 17:08:00 Это была неправильная ссылка, я отредактировал сообщение с правильной ссылкой. Домен — hiscoinc.com.

Stoiko Ivanov Guest	#14 0 29.08.2022 17:25:00 Не мог бы ты, пожалуйста, также выложить соответствующие логи из pmg? ИЗМЕНЕНИЕ: пожалуйста, также приложи вывод команды dig — как @dcsapak просил для chrobinson выше.

osgit

Guest

#15

29.08.2022 19:30:00

Вот лог:
Код:
29 авг 07:55:51 smtp postfix/smtpd[40934]: подключение от esa2.hc2841-9.iphmx.com[216.71.140.81]
29 авг 07:55:51 smtp postfix/smtpd[40934]: Установлено анонимное TLS-соединение с esa2.hc2841-9.iphmx.com[216.71.140.81]: TLSv1.2 с шифром ECDHE-RSA-AES256-GCM-SHA384 (256/256 бит)
29 авг 07:55:52 smtp postfix/smtpd[40934]: NOQUEUE: отклонено: RCPT от esa2.hc2841-9.iphmx.com[216.71.140.81]: 554 5.7.1 <support@domain.com>: Адрес получателя отклонён: отклонено по SPF: 216.71.140.81 не является назначенным почтовым сервером для prvs%3D233365bfc%3Deprater%40hiscoinc.com (контекст mfrom на smtp.domain.com); from=<prvs=233365bfc=eprater@hiscoinc.com> to=<support@domain.com> протокол=ESMTP helo=<esa2.hc2841-9.iphmx.com>
29 авг 07:55:57 smtp postfix/smtpd[40934]: отключение от esa2.hc2841-9.iphmx.com[216.71.140.81] ehlo=2 starttls=1 mail=1 rcpt=0/1 rset=1 quit=1 команды=6/7

и dig:
Код:
dig 216.71.140.81.spf.hc2841-9.iphmx.com

; <<>> DiG 9.16.27-Debian <<>> 216.71.140.81.spf.hc2841-9.iphmx.com
;; глобальные опции: +cmd
;; Получен ответ:
;; ->>ЗАГОЛОВОК<<- opcode: QUERY, статус: NOERROR, id: 44173
;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИТЕТ: 0, ДОПОЛНИТЕЛЬНЫЕ: 1

;; ПСЕВДОРАЗДЕЛ OPT:
; EDNS: версия: 0, флаги:; udp: 1432
;; РАЗДЕЛ ВОПРОСА:
;216.71.140.81.spf.hc2841-9.iphmx.com. IN A

;; Время запроса: 172 мс
;; СЕРВЕР: 192.168.56.1#53(192.168.56.1)
;; ВРЕМЯ: Пн 29 авг 10:30:04 MST 2022
;; РАЗМЕР СООБЩЕНИЯ получено: 65

Stoiko Ivanov

Guest

#16

30.08.2022 12:47:00

Извини, надо было яснее объяснить — нужно не просто выполнить команду, которую написал @dcsapak, а сделать DNS-запросы для конкретной SPF-записи и примера. В этом случае совпадающая часть такая:
Code: dig 216.71.140.81._i.hiscoinc.com._d.espf.dmp.cisco.com

osgit Guest	#17 0 30.08.2022 17:19:00 Логично, вот этот вывод. Код: dig 216.71.140.81._i.hiscoinc.com._d.espf.dmp.cisco.com ; <<>> DiG 9.16.27-Debian <<>> 216.71.140.81._i.hiscoinc.com._d.espf.dmp.cisco.com ;; глобальные опции: +cmd ;; Получен ответ: ;; ->>ЗАГОЛОВОК<<- opcode: QUERY, status: NOERROR, id: 12190 ;; флаги: qr rd ra; ЗАПРОС: 1, ОТВЕТ: 0, АВТОРИТЕТ: 0, ДОПОЛНЕНИЯ: 1 ;; OPT ПСЕВДОРАЗДЕЛ: ; EDNS: версия: 0, флаги:; udp: 1432 ;; РАЗДЕЛ ЗАПРОСА: ;216.71.140.81._i.hiscoinc.com._d.espf.dmp.cisco.com. IN A ;; Время запроса: 884 мсек ;; СЕРВЕР: 192.168.56.1#53(192.168.56.1) ;; ВРЕМЯ: Вт 30 авг 08:18:55 MST 2022 ;; РАЗМЕР СООБЩЕНИЯ получено: 80

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры