Привет всем!Столкнулся сегодня с такой проблемой, письма с домена @prompb.ru не доходят до наших адресатов.
Начинаю проверять в spfquery, получаю ошибку:
/usr/bin/spfquery -ip 94.100.181.93 -sender ****prompb.ru
StartError
Context: Failed to query MAIL-FROM
ErrorCode: (32) Multiple SPF or TXT records for domain.
Error: Multiple SPF records for 'prompb.ru'
EndError
permerrorПроверяю через онлайн сервис:
The TXT records found for your domain are:
v=spf1 ip4:80.78.250.15 a mx include:_spf.mail.ru ~all
v=spf1 redirect=_spf.mail.ruResults - Permanent Error Two or more type TXT spf records found.
No valid SPF record found of either type TXT or type SPF.И тут у меня возникат вопрос, по рекомендациям SPF записей может быть две?
> Привет всем!
> Столкнулся сегодня с такой проблемой, письма с домена @prompb.ru не доходят до
> наших адресатов.
> И тут у меня возникат вопрос, по рекомендациям SPF записей может быть
> две?TXT запись должна быть только одна.
RFC4408 http://tools.ietf.org/html/rfc4408#section-3.1.2
Позвоните им и объясните админу.P.S. первая же ссылка в гугле.
>> Привет всем!
>> Столкнулся сегодня с такой проблемой, письма с домена @prompb.ru не доходят до
>> наших адресатов.
>> И тут у меня возникат вопрос, по рекомендациям SPF записей может быть
>> две?
> TXT запись должна быть только одна.
> RFC4408 http://tools.ietf.org/html/rfc4408#section-3.1.2
> Позвоните им и объясните админу.
> P.S. первая же ссылка в гугле.Спасибо, видимо плохо искал.
Принимать решение на основании SPF записи - очень плохая идея и практика
> Принимать решение на основании SPF записи - очень плохая идея и практикаПочему? Как-то оно именно для этого и было создано.
> Почему? Как-то оно именно для этого и было создано.потому же, почему и отвергать письмо только из-за отсутствия ptr записи или как некоторые умники делают из-за несоответствия A-> PTR + PTR -> A.
>> Почему? Как-то оно именно для этого и было создано.
> потому же, почему и отвергать письмо только из-за отсутствия ptr записи или
> как некоторые умники делают из-за несоответствия A-> PTR + PTR ->
> A.Здрассте, rfc2822 это по вашему фигня какя-то.
>>> Почему? Как-то оно именно для этого и было создано.
>> потому же, почему и отвергать письмо только из-за отсутствия ptr записи или
>> как некоторые умники делают из-за несоответствия A-> PTR + PTR ->
>> A.
> Здрассте, rfc2822 это по вашему фигня какя-то.еще один. Ну давай, объясняй своему начальнику, что у тебя сервер настроен по RFC, когда вы будете терять клиентов из-за того, что сервер просто будет футболить их письма. То то я смотрю, что гугл спокойно принимает письма с хостов без ptr. Видать там не слышали об rfc
для тех кто в танке, RFC это не ГОСТ, это лишь рекомендации. Разницу ищи в гугле
P.S.
rfc 2822 уже не актуален, надо читать RFC 5321 - https://tools.ietf.org/html/rfc5321
>>>> Почему? Как-то оно именно для этого и было создано.
>>> потому же, почему и отвергать письмо только из-за отсутствия ptr записи или
>>> как некоторые умники делают из-за несоответствия A-> PTR + PTR ->
>>> A.
>> Здрассте, rfc2822 это по вашему фигня какя-то.
> еще один. Ну давай, объясняй своему начальнику, что у тебя сервер настроен
> по RFC, когда вы будете терять клиентов из-за того, что сервер
> просто будет футболить их письма. То то я смотрю, что гугл
> спокойно принимает письма с хостов без ptr. Видать там не слышали
> об rfcГугл очень легко и быстро добавляет эти сервера в бан, как только писем становится больше 10 в час. C динамическими IPv6 у Гугла один сплошной геморрой.
>[оверквотинг удален]
>> Здрассте, rfc2822 это по вашему фигня какя-то.
> еще один. Ну давай, объясняй своему начальнику, что у тебя сервер настроен
> по RFC, когда вы будете терять клиентов из-за того, что сервер
> просто будет футболить их письма. То то я смотрю, что гугл
> спокойно принимает письма с хостов без ptr. Видать там не слышали
> об rfc
> для тех кто в танке, RFC это не ГОСТ, это лишь рекомендации.
> Разницу ищи в гугле
> P.S.
> rfc 2822 уже не актуален, надо читать RFC 5321 - https://tools.ietf.org/html/rfc5321У меня при отказе message "Check helo failed please contact postmaster@mydomain from another mailsystem" и сама проверка отменяется для whitelist в котором те кто категорически не хочет нормально здороваться.
>> Здрассте, rfc2822 это по вашему фигня какя-то.
> еще один. Ну давай, объясняй своему начальнику, что у тебя сервер настроен
> по RFC, когда вы будете терять клиентов из-за того, что сервер просто будет футболить их письма.еще один. Ну давай, объясняй своему начальнику, что у тебя сервер настроен
_не_ по RFC, когда вы будете терять клиентов из-за того, что чтобы найти одно письмо от клиента начальнику надо внимательно прочитать 100500+ предложений удлинить письку.
> То то я смотрю, что гугл спокойно принимает письма с хостов без ptr.Идиотам обясняю один раз - гугл спит и видит как бы __вообще_весь__ траффик интернетов прогнать ч\з свои аналайзеры ... догадаешься почему, кисо?
> Видать там не слышали > об rfc
> для тех кто в танке, RFC это не ГОСТ, это лишь рекомендации._точно_ идиот! Ну бывает, чо :-)
> _не_ по RFC, когда вы будете терять клиентов из-за того, что чтобы
> найти одно письмо от клиента начальнику надо внимательно прочитать 100500+ предложений
> удлинить письку.сразу видно Ыксперта, кричащего - "А у меня все по RFC настроенно, это у банка кривые админы" :D
> Идиотам обясняю один раз - гугл спит и видит как бы __вообще_весь__
> траффик интернетов прогнать ч\з свои аналайзеры ... догадаешься почему, кисо?нет, просто для тебя идиота объяснять нет смысла.
> _точно_ идиот! Ну бывает, чо :-)
я заметил по тебе. Острая стадия. Клиника
>> _не_ по RFC, когда вы будете терять клиентов из-за того, что чтобы
>> найти одно письмо от клиента начальнику надо внимательно прочитать 100500+ предложений
>> удлинить письку.
> сразу видно Ыксперта, кричащего - "А у меня все по RFC настроенно,
> это у банка кривые админы" :Dну уж в банке то как раз все гораздо более хорошо :) там быстро бьют деньгой по раззвездяйству :)
по поводу гост-не-гост - ты, посмотри для начала что букФа Г значит в слове ГОСТ, потом выдохни...
по поводу A->PTR->A - это как отче наш, нет соответсвия - в бан и правильно. Хотя увлекаться одиночными критериями еще тот анонизм, средневзвешенный подход решает, ИМХО.
а еще попробуй, например, отступить от RFC когда пишешь сетевой стек :)>> Идиотам обясняю один раз - гугл спит и видит как бы __вообще_весь__
>> траффик интернетов прогнать ч\з свои аналайзеры ... догадаешься почему, кисо?
> нет, просто для тебя идиота объяснять нет смысла.ты еще сходи свечку поставь за здравие корпорации бобра, заодно еще и яндексу местному.
если уж гугляди почту читать не гнушаются (ну конечно, это же робот, че ж там).>> _точно_ идиот! Ну бывает, чо :-)
> я заметил по тебе. Острая стадия. Клиникаспорно.
вообще почаще анализируй, а не фетишируй на знакомые слова в новостях. опять же, средневзвешенный подход рутил, опять же ИМХО.
> ну уж в банке то как раз все гораздо более хорошо :)
> там быстро бьют деньгой по раззвездяйству :)Поржал. по моему опыту, это далеко не так. ))
>> Почему? Как-то оно именно для этого и было создано.
> потому же, почему и отвергать письмо только из-за отсутствия ptr записи или
> как некоторые умники делают из-за несоответствия A-> PTR + PTR ->
> A.Жаловаться на "отвергать письмо ... из-за отсутствия ptr записи ... как некоторые умники" могут только те, кто сам поленился прописать корректные записи в DNS и HELO и кого "умники" послали. Те, у кого записи прописаны _правильно_ - не испытывают с этим абсолютно никаких проблем.
Рекомендую поправить консерваторию.
>>> Почему? Как-то оно именно для этого и было создано.
>> потому же, почему и отвергать письмо только из-за отсутствия ptr записи или
>> как некоторые умники делают из-за несоответствия A-> PTR + PTR ->
>> A.
> Жаловаться на "отвергать письмо ... из-за отсутствия ptr записи ... как некоторые
> умники" могут только те, кто сам поленился прописать корректные записи в
> DNS и HELO и кого "умники" послали. Те, у кого записи
> прописаны _правильно_ - не испытывают с этим абсолютно никаких проблем.
> Рекомендую поправить консерваторию.Т.е. если у меня на сервере 100 доменов, то для таких умников мне 100 ip покупать?!
> Т.е. если у меня на сервере 100 доменов, то для таких умников
> мне 100 ip покупать?!Умник, HELO сервера должно совпадать с PTR записью.
Сколько там доменов на этом сервере или этом IP - не имеет значения.
>> Т.е. если у меня на сервере 100 доменов, то для таких умников
>> мне 100 ip покупать?!
> Умник, HELO сервера должно совпадать с PTR записью.
> Сколько там доменов на этом сервере или этом IP - не имеет
> значения.Еще раз, для умников - http://www.postfix.org/postconf.5.html#reject_unknown_client...
Первый домен
HELO - mx1.example.net
mx1.example.net -> 192.168.1.1
192.168.1.1 -> mx1.example.netтут вопросов нет и все классно работает. А теперь берем второй домен на этом же сервере
HELO - mxs.example.com
mxs.example.com -> 192.168.1.1
192.168.1.1 -> mx1.example.net
И вот тут мы и обламываемся. Так как с reject_unknown_client_hostname соединение будет отклонено.
>[оверквотинг удален]
>
Почему должны совпадать имя сервера и почтовый домен. Сервер имеет одно имя, важно чтоб он им здоровался, а сколько доменов он обслуживает дело десятое.
> Почему должны совпадать имя сервера и почтовый домен. Сервер имеет одно имя,
> важно чтоб он им здоровался, а сколько доменов он обслуживает дело
> десятое.этот вопрос ты задай разработчику postfix, а именно создателю ограничения reject_unknown_client_hostname ;)
> этот вопрос ты задай разработчику postfix, а именно создателю ограничения reject_unknown_client_hostname
> ;)Вот, приплыли. Смените MTA, например, у sendmail все нормально с этим.
>> этот вопрос ты задай разработчику postfix, а именно создателю ограничения reject_unknown_client_hostname
>> ;)
> Вот, приплыли. Смените MTA, например, у sendmail все нормально с этим.а я тут причем, это ты ТС советуй. sendmail та еще некрофилия
Я просто не принимаю решение на основании одного признака и никаких проблем с этим нет, а в exim просто накидываю балы, но "калекам" postfix этого не понять :(
>>> этот вопрос ты задай разработчику postfix, а именно создателю ограничения reject_unknown_client_hostname
>>> ;)
>> Вот, приплыли. Смените MTA, например, у sendmail все нормально с этим.
> а я тут причем, это ты ТС советуй. sendmail та еще некрофилия
> Я просто не принимаю решение на основании одного признака и никаких проблем
> с этим нет, а в exim просто накидываю балы, но "калекам"
> postfix этого не понять :(Тогда зачем сайт "postfix.ru" поддерживаешь?
Postfix выполняет свои основные функции, этого хватает.
>> Почему должны совпадать имя сервера и почтовый домен. Сервер имеет одно имя,
>> важно чтоб он им здоровался, а сколько доменов он обслуживает дело
>> десятое.
> этот вопрос ты задай разработчику postfix, а именно создателю ограничения reject_unknown_client_hostname
> ;)а можно не для таких смышлёных как остальные объяснить по человечачи, чем конкретно не нравится это правило?
как вижу это я.
есть smtp1.ru (MX записи доменов smtp1.ru и smtp2.ru), откуда писмо должно попасть на smtp3.ru (на который MX smtp3.ru и smtp4.ru)
smtp1 -> smtp3
EHLO smtp1.ru
(smtp3 проверяет соответствие записи smtp3.ru -> A -> ip соединения -> PTR -> smtp3.ru), т.е. reject_unknown_client_hostname прошел удачно.вопрос: где я ошибаюсь?
> вопрос: где я ошибаюсь?в нормальной постановке задачи
>> вопрос: где я ошибаюсь?
> в нормальной постановке задачикак в ваша задача поставлена? чем мешает в вашей задаче правило reject_unknown_client_hostname ?
> (smtp3 проверяет соответствие записи smtp3.ru -> A -> ip соединения -> PTR
> -> smtp3.ru), т.е. reject_unknown_client_hostname прошел удачно.
> вопрос: где я ошибаюсь?Процесс идет несколько не так - не в той последовательности и не с тем хостнеймом.
Сервером smtp3 проверяется хостнейм подключившегося smtp1, а не smtp3, как указано у вас.
Т.е. правильная цепочка такая:ip соединения (сервер smtp1.ru) -> PTR -> smtp1.ru -> A -> ip соединения.
smtp3 берет IP соединения, т.е. IP smtp1, ищет PTR-запись, по найденному хостнейму ищет A-запись. IP должен быть в списке результатов.
При этом:
>EHLO smtp1.ru
просто должен быть валидным хостнеймом. В проверке reject_unknown_client_hostname значение не участвует.
>[оверквотинг удален]
> вас.
> Т.е. правильная цепочка такая:
> ip соединения (сервер smtp1.ru) -> PTR -> smtp1.ru -> A ->
> ip соединения.
> smtp3 берет IP соединения, т.е. IP smtp1, ищет PTR-запись, по найденному хостнейму
> ищет A-запись. IP должен быть в списке результатов.
> При этом:
>>EHLO smtp1.ru
> просто должен быть валидным хостнеймом. В проверке reject_unknown_client_hostname значение
> не участвует.да -- естевственно проверяется имя клиента -- а именно smtp1, я ошибся пока пейсал.
Суть моего вопроса - в чём проблема у людей, я никак не могу понять. Чем использование данного правила мешает использованию нескольких доменов?
> Суть моего вопроса - в чём проблема у людей, я никак не
> могу понять.Некоторое недопонимание.
>Чем использование данного правила мешает использованию нескольких доменов?
Ничем.
>> Суть моего вопроса - в чём проблема у людей, я никак не
>> могу понять.
> Некоторое недопонимание.
>>Чем использование данного правила мешает использованию нескольких доменов?
> Ничем.а по какой причине ALex_hhа брызжет слюной, случаем не в курсе?
>>> Суть моего вопроса - в чём проблема у людей, я никак не
>>> могу понять.
>> Некоторое недопонимание.
>>>Чем использование данного правила мешает использованию нескольких доменов?
>> Ничем.
> а по какой причине ALex_hhа брызжет слюной, случаем не в курсе?мнение его вижу, брызг - не вижу.
Имеет право на личное мнение, основанное на опыте? Имеет.
>>>> Суть моего вопроса - в чём проблема у людей, я никак не
>>>> могу понять.
>>> Некоторое недопонимание.
>>>>Чем использование данного правила мешает использованию нескольких доменов?
>>> Ничем.
>> а по какой причине ALex_hhа брызжет слюной, случаем не в курсе?
> мнение его вижу, брызг - не вижу.
> Имеет право на личное мнение, основанное на опыте? Имеет.lavr, конечно имеет, только он высказывает не мнение, а вполне очевидную ложную информацию, причём высказывает её попутно поливая окружающих эпититами типа "я заметил по тебе. Острая стадия. Клиника" -- т.е. определённо брызжет.
>[оверквотинг удален]
>>>>> могу понять.
>>>> Некоторое недопонимание.
>>>>>Чем использование данного правила мешает использованию нескольких доменов?
>>>> Ничем.
>>> а по какой причине ALex_hhа брызжет слюной, случаем не в курсе?
>> мнение его вижу, брызг - не вижу.
>> Имеет право на личное мнение, основанное на опыте? Имеет.
> lavr, конечно имеет, только он высказывает не мнение, а вполне очевидную ложную
> информацию, причём высказывает её попутно поливая окружающих эпититами типа "я заметил
> по тебе. Острая стадия. Клиника" -- т.е. определённо брызжет.ну... оппоненты у него, за словом в карман не полезут :)
Просто считаю его вполне адекватным специалистом, ну набросились, ну огрызнулся,
со всяким бывает.Просто наблюдение, никому ничего не навязывая.
Последний раз подбивал анализ по почтовым технологиям, где-то в 2010, всякие
grey/white и прочие листы, подписи такие-сякие, просматривал материалы RFC
и разных конференций монстров google/yahoo/yandex...
Ни к какой договоренности народ не пришел, единогласно - RFC устарели, но ни кто
не хочет или не решается взяться за новые стандарты, надежда была на IPv6...
Google,Yandex,Mail.ru - стали предоставлять корпоративную почту, а затем... пошли
ИХ условия.
Возможно ошибаюсь, кажется, с того времени ничего не изменилось.
В таких условиях, каждый делает как удобно, хорошо если опираясь на разумные
вещи.
> Ни к какой договоренности народ не пришел, единогласно - RFC устарели,
> но никто не хочет или не решается взяться за новые стандартыДа не устарели они. Просто наплодилось столько "технологий", что они начали порождать синергические артефакты.
На сегодняшний день достаточно устоявшейся де-факто практики:
1. хост, получающий динамический IP от провайдера (и бекрезолвящийся в нечто вида dynamic-pool-xdsl-333.444.555-client.ISP.net) ОБЯЗАН использовать релей провайдера.
2. хост, не бекрезолвящийся вообще, ОБЯЗАН использовать релей провайдера.
3. абуз провайдера ОБЯЗАН следить за бардаком в расположении.
4. все остальные ни провайдеру, ни его клиентам из пп.1-2 не обязаны ничем.Поскольку 80-90% хостов, инфицированных ботнетами, это обычные потребительские машинки в динсетях потребительских провайдеров, проверка бекрезолва IP отправителя позволяет отсечь 80-90% спама сходу, еще на стадии CONNECT. Некоторую часть можно отсечь через SPF, но статистика показывает, что письма, режущиеся по SPF - это подмножество писем, режущихся по бекрезолву. Аналогично, подмножествами кривого бекрезолва являются хосты, не умеющие TEMPFAIL. Спам, отправленный с хостов, у которых бекрезолв в порядке, успешно ловится байесом, который непрерывно дообучается на потоке писем, пойманных на кривом бекрезолве.
Все прочие технологии - SPF, DKIM, DMARC, DNSBL, сендрейты, грейлистинг - могут немного улучшать фильтрацию, но как самостоятельные инструменты они совершенно несостоятельны, а днсбл и грейлистинг - и вовсе вредны.
> Да не устарели они.Я тот аноним который алекса_хха "строгал". Вот полностью подпишусь под твоим письмом.
Наверное тоже надо было так - высказать в воздух всё что думаю об фыытаре, а на бумагу - спокойно, по пунктам и по полочкам ... но ... "не шмогла я, не шмогла!" (С) :)
Если кого обидел (ну в общем понятно кого) - прошу прощения. Что я хотел сказать - сказано в письме выше.
Я ведь чего такой злой был? (Потому что у меня велосипеда ...)
Просто мужики к настройкам публичных сервисов надо подходить ответственно. Из за того что нашенские админы не всегда так делают ... Хотите прикол? Грустный?
Вот кусок конфига (web-console) одного из самых популярных anti-spam appliance в америках:
Common Reverse DNS rules
TLD Country Block Quarantine Tag Off
ar Argentina
br Brazil
cl Chile
cn China
co Colombia
de Germany
it Italy
ru Russia
tr Turkey
То есть эти 9 TLD по просьбам америцких телезрителей внесены. Чтоб одним щелчком выключать к **беням. Потому что достали. Из всех TLD - 9 и мы в списке. Повод гордится? :-\PS: Это прошивка 2012 года. Тогда про войну и санкции даже в генштабе не знали. Так что поцреоты - в сад.
PPS: Конкурс: Кто угадает вендора?
> Вот кусок конфига (web-console) одного из самых популярных anti-spam appliance в америках:Удивительно, на какие только ухищрения - включая чудовищно вычурные и трудоемкие - люди не идут, лишь бы не думать и не читать документацию.
А тем временем, одна единственная проверка имени хоста-отправителя на наличие в нем трех групп цифр, разделенных точками или минусами, ловит половину всего спама.
> Все прочие технологии - SPF, DKIM, DMARC, DNSBL, сендрейты, грейлистинг - могут
> немного улучшать фильтрацию, но как самостоятельные инструменты они совершенно несостоятельны,
> а днсбл и грейлистинг - и вовсе вредны.днсбл вполне себе нормальная штука, была бы, если бы ее не испоганили вымогатели, коих думаю over 95% ... хотя есть адекватные листы ...
грейлистинг, это вообще нечто ... костыль который использует ... возврат _ошибки_ как штатное средство _нормальной_ работы! надо же было до такого вообще додуматься :) учитывая что некоторые серваки вообще почту даже не пытаются продублировать - поймал ошибку или таймаут и забил.
ИМХО, smtp настолько обросло костылями что уже никто и не пытается в них разобраться :)
> А теперь берем второй домен на этом же сервере
>
> HELO - mxs.example.com
> mxs.example.com -> 192.168.1.1
> 192.168.1.1 -> mx1.example.net
>
> И вот тут мы и обламываемся. Так как с reject_unknown_client_hostname соединение будет
> отклонено.А почему вы при отправке со второго домена передаёте другой HELO? Передавайте тот же самый - mx1.example.net - и всё будет в порядке.
И кстати, reject_unknown_client_hostname никакого отношения к HELO/EHLO не имеет.