LINUX.ORG.RU
ФорумAdmin

zimbra. Долго идут письма от некоторых адресатов

 , ,


0

1

Добрый день! Зимбра работает уже месяц, но некоторые письма начали приходить с большим запозданием в час примерно. Первый раз с таким сталкиваюсь. Куда копать не подскажите?


Письма которые идут к тебе, или письма которые идут от тебя? Вообще есть такая штука, грейлистинг (гугли), похоже на её работу.

MrClon ★★★★★
()

Копать в сторону zimbra.log.

DALDON ★★★★★
()
Ответ на: комментарий от handbrake

грейслистинг выключи и даже не думай его больше включать

Грейлистинг для левых сайтов - это нормально. К примеру, какая-нибудь Люфтганза. Это надо себя не уважать, чтобы для mxout4.lufthansa.com [129.35.195.69] писать в helo deehqws021lhaxm.infra.ehningen.mebs.ihost.com. Видать у немцев на нормального постмастера денег нет... Впрочем, нормального постмастера много у кого нет, судя по тому, что логи своих серверов никто не читает и проблемы очевидные не исправляет.

AS ★★★★★
()
Ответ на: комментарий от AS

Согласен, по части helo и постмастеров. В helo и ptr еще и .local бывает, от mos.ru, например, так приходило, беда, да.
Но грейслистинг и тарпит эффективны чуть более чем никак. Они проблем больше создают, вирусам на все это пох, им не влом и подождать и распарсить рекомендуемое в 451 время ретрая, в отличии от МТА. Грейс, помимо очевидного замусоривания очереди отправителя и бессмысленной нагрузки на канал делает еще и невозможной встречную проверку. А если еще и заиграться с грейстаймом, то можно получить практически полную непроходимость. В итоге спам все равно проходит, а нормальные письма проходят не все и с тормозами, в то время, как почта может работать со скоростью im.

handbrake ★★★
()
Ответ на: комментарий от handbrake

Но грейслистинг и тарпит эффективны чуть более чем никак. Они проблем
больше создают, вирусам на все это пох, им не влом и подождать

Как раз нет. У меня ClamAV ловит хорошо, если пару сообщений в сутки на потоке в сотни тысяч. Остальное срезается как раз такими вот проверками.

Грейс, помимо очевидного замусоривания очереди отправителя

Так его тоже надо не бездумно. Если отправитель выглядит нормальным сервером, можно и не включать. А ненормальный сам виноват. Пусть думает и чинит.

делает еще и невозможной встречную проверку.

Его делать надо просто в ответ на DATA, тогда каллбэку это не помешает. Но и как обычно делают, тоже только вызовет задержку.

AS ★★★★★
()
Ответ на: комментарий от AS

Как раз нет. У меня ClamAV ловит хорошо, если пару сообщений в сутки на потоке в сотни тысяч.

Давно, кстати, не смотрел статистику... С сотнями тысяч я погорячился по старой памяти: несколько лет, как используется блокировка посредством iptables на длительное время, если слишком большой поток ошибок за временной интервал набегает - эдакий fail2ban самодельный. Это вот за вчера:

Sent: 15467
Reject 5xx: 45978
Reject 4xx: 75820

ClamAV сработал один раз:
Fri Sep 12 08:05:28 2014 -> stream(127.0.0.1@1478): Heuristics.Phishing.Email.SpoofedDomain FOUND

11-ого - ноль, 10-ого 4 раза, 9-ого какой-то обвал, аж 7 раз. Если аналог fail2ban убрать, думаю, что 5xx, как и раньше, будет 200-300K в сутки.

AS ★★★★★
()
Ответ на: комментарий от AS

Ты меня не так понял. Я под вирусами спам-ботов имел ввиду. От них спам качественнее, чем от многих реальных mx приходит. У многих PTR есть, hello оформлен нормально - все дела. В моем прошлом сообщении подразумевалось, что отправитель - это бот. Попробуй теперь еще раз перечитать, с этой точки зрения.
Грейс по условию, хм, не думал о таком варианте (правда, я не уверен что это что-то даст, если отправитель выглядит сомнительно, то он либо бот, либо косорукий, а в последнем случае он может и через грейс не пройти - т.е. опять по письму решение не гарантированное, а зачем тогда городить).
А как ты грейс по условию реализуешь ?

handbrake ★★★
()
Ответ на: комментарий от handbrake

От них спам качественнее, чем от многих реальных mx приходит.

А им, кстати, не очень выгодно заниматься обработкой очереди, эффективнее просто слать бездумно. По крайней мере, пока есть большое количество mx-ов, которые это всё принимают.

У многих PTR есть, hello оформлен нормально - все дела.

Тут, кстати, тоже есть момент. Если оператор явно задаёт PTR, указывающий на динамическое распределение IP, это тоже повод не принять. Пусть пользуются сервером оператора. А если он не предоставляет такой сервис, пусть не пользуются этим оператором.

А как ты грейс по условию реализуешь ?

Есть такая штука: http://puszcza.gnu.org.ua/software/mailfromd/
Соответственно, нужны Sendmail, Postfix или MeTA1. У меня Sendmail.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)

А ты уверен что задержка на твоем сервере? Технические заголовки письма посмотрел? .

alpha ★★★★★
()
Ответ на: комментарий от AS

А им, кстати, не очень выгодно заниматься обработкой очереди, эффективнее просто слать бездумно.

Вообще-то у спамера бизнес - письма доставлять, наивно думать что они не оптимизируют обход защиты. Они это делают. Постоянно. Каждое письмо - это потенциальные деньги, уж они то это четко понимают.

по памяти выдержка из логов

12:00:00 <ehlo iambot
12:00:00 >451 greyslisting enabled. Resend your message in 5 minutes
...
12:05:01 <ehlo iambot
А пока он ждал грейстайм, распарсив время, он слал почту другим, делов-то. Они это умели еще лет 5 назад. От грейса отказался несколько лет назад - разница в спаме после отказа от грейса ~1%.

Тут, кстати, тоже есть момент. Если оператор явно задаёт PTR, указывающий на динамическое распределение IP, это тоже повод не принять. Пусть пользуются сервером оператора. А если он не предоставляет такой сервис, пусть не пользуются этим оператором.

Согласен, но вот стоит у меня домашний сервер с несколькими собственными ресурсами, постфиксом и тарифом на физлицо...

Есть такая штука

Спасибо, не попадалась раньше.

handbrake ★★★
()
Последнее исправление: handbrake (всего исправлений: 1)
Ответ на: комментарий от handbrake

12:00:00 <ehlo iambot
12:00:00 >451 greyslisting enabled. Resend your message in 5 minutes

Это какой-то странный грейлистринг. Уж как минимум должно быть после mail from.

А пока он ждал грейстайм, распарсив время, он слал почту другим, делов-то.

А если их несколько сотен, у кого включено ? В общем, не выгодно это. Другой вопрос, что у них может не остаться выхода. В этом случае, конечно, работать перестанет.

Что касается «распарсив время», я больше, чем уверен, что это никто не делает и делать не будет: стандарта на это сообщение нет, оно только для человека, если кто-то чтением логов озаботится. А время повторной посылки просто определено в RFC 1123 (5.3.1 SMTP Queueing Strategies).

но вот стоит у меня домашний сервер с несколькими собственными ресурсами

Ну так закажи нормальный PTR себе, делов-то... Если ещё не заказал.

AS ★★★★★
()
Ответ на: комментарий от AS

Это какой-то странный грейлистринг. Уж как минимум должно быть после mail from.

Я по памяти привел, там время главное. Меняешь время на любое - картина сохраняется. Пересыл сразу после грейстайма идет.

А если их несколько сотен, у кого включено ? В общем, не выгодно это.

:) Разработчик спамбота, заботящийся о ресурсах зомби и не заботящийся о доставке спама ? Ага, щаз. Говорю же, парсят и реагируют уже несколько лет как, проверить просто - поиграйся грейстаймом и посмотри, боты с техже ip под тебя подстроятся, не все это умеют, да, но мне, почему-то на таких умных везет. Ты уверен - а я пишу с разборов конкретных ситуаций. Спамботы уже давно умнее многих mx.

handbrake ★★★
()
Ответ на: комментарий от handbrake

заботящийся о ресурсах зомби и не заботящийся о доставке спама ?

О ресурсах зомби заботиться надо: иначе заметят и зачистят.

AS ★★★★★
()
Ответ на: комментарий от AS

ROFL, как бы намекают нам 10 процессов хрома отъевшие по 200 метров каждый, скайп отъевший 70, магент еще 80 и антивирус со своими 300, в упор не видящий заразу, и несколько левых торрент клиентов, как-бы невзначай шарящих папку «мои документы», помимо любимой порнухи.
Сэкономлю я десяток килобайт пользователю, говорит нам разработчик спамбота (на самом деле это, конечно, крутая программа взламывания vk, присланная неизвестным доброжелателем вместе с важным предложением удлиннения члена форексом по почте и висит она в трее, просто для удобства в автозапуске прописалась, молодцы ведь - знают, что крутому повелителю лайков одноглазика надо), нет, говорит, не буду забивать ему память динамическим массивом вида hostname:string, waittime:integer. А то вдруг лишние 100 писем доставлю и меня за спам забанят или, не дай бг, машину пользователя нагружу, он ведь у меня один.

handbrake ★★★
()
Ответ на: комментарий от alpha

Да, было отправлено в 14 часов, получено в 15

abdus
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.