LINUX.ORG.RU

Сообщения lemix

 

Не всегда доходят письма отправленные через postfix (iRedMail)

Форум — Admin

Добрый день!

Использую почтовый сервер iRedMail на Debian Wheezy и сталкиваюсь со следующей проблемой. На все популярные почтовики письма отправляются корректно, почтовики сообщают о действительной DKIM подписи, о корректной обратной зоне, spf и т.д. Однако большинство писем приходится отправлять на корпоративные адреса и тут, к сожалению, письма доходят далеко не всегда.

Отправляются письма с веб-сайта используя указанный выше почтовый сервер находящийся в той же локальной сети.

Привожу исходный текст письма полученного yandex'ом

Received: from mxfront4o.mail.yandex.net ([127.0.0.1])
	by mxfront4o.mail.yandex.net with LMTP id O31Gidq8
	for <noreply-mitsubishi@yandex.ru>; Thu, 6 Feb 2014 13:24:03 +0400
Received: from usefulcam.ru (usefulcam.ru [188.134.118.198])
	by mxfront4o.mail.yandex.net (nwsmtp/Yandex) with ESMTP id aks3FdeunS-Nv0usJEw;
	Thu,  6 Feb 2014 13:23:57 +0400
X-Yandex-Front: mxfront4o.mail.yandex.net
X-Yandex-TimeMark: 1391678637
X-Yandex-Uniq: 007a57ac-82a1-47b6-a63e-cbd3d9e605c4
Authentication-Results: mxfront4o.mail.yandex.net; spf=pass (mxfront4o.mail.yandex.net: domain of usefulcam.ru designates 188.134.118.198 as permitted sender) smtp.mail=support@usefulcam.ru; dkim=pass header.i=@usefulcam.ru
X-Yandex-Spam: 1
Received: from localhost (localhost [127.0.0.1])
	by mail.usefulcam.ru (Postfix) with ESMTP id E9F7860D7C
	for <noreply-mitsubishi@yandex.ru>; Thu,  6 Feb 2014 13:23:57 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=usefulcam.ru; h=
	content-transfer-encoding:content-type:content-type:subject
	:subject:date:date:to:from:from:mime-version; s=dkim; t=
	1391678636; x=1392542637; bh=aaVjwAI1jdeERDJnfDNpc7gtRlTuH0KJ+JW
	E46WrEiE=; b=uSgGHzti7MJAJU9zb4kRypefMUxWN53AJFsJFoLhzzzTlozUZjK
	Lphchvp9zITurDEv0WbjFymgRWkpedTEWsvE5OxZx/c6FBsulr7bO81ZYK3knD9N
	3mXyyYl7Qj5FzUu9ceH2Nk/0N64yVoTEUlVVlUlMlyr/1I7P1/hkxZXM=
X-Virus-Scanned: Debian amavisd-new at mail.usefulcam.ru
Received: from mail.usefulcam.ru ([127.0.0.1])
	by localhost (mail.usefulcam.ru [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id N59uOoV7k2vc for <noreply-mitsubishi@yandex.ru>;
	Thu,  6 Feb 2014 13:23:56 +0400 (MSK)
Received: from WIN-RT00VB3FGF6 (unknown [192.168.1.10])
	by mail.usefulcam.ru (Postfix) with ESMTPA id 6099A60BCB
	for <noreply-mitsubishi@yandex.ru>; Thu,  6 Feb 2014 13:23:55 +0400 (MSK)
MIME-Version: 1.0
Sender: "UsefulCam" <support@usefulcam.ru>
From: "UsefulCam" <support@usefulcam.ru>
To: noreply-mitsubishi@yandex.ru
Date: 6 Feb 2014 13:23:55 +0400
Subject: =?utf-8?B?0JDQu9C10LrRgdC10Lkg0JzQuNGF0LDQudC70L7QsiDQv9GA?=
 =?utf-8?B?0LjQs9C70LDRiNCw0LXRgiDQktCw0YEg0L3QsCDQstC40LTQtdC+0LLR?=
 =?utf-8?B?gdGC0YDQtdGH0YM=?=
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
Message-Id: <20140206092357.E9F7860D7C@mail.usefulcam.ru>
Return-Path: support@usefulcam.ru
X-Yandex-Forward: da455ae686475ca268b0a23260f2f8ad

0JfQtNGA0LDQstGB0YLQstGD0LnRgtC1IQoK0JDQu9C10LrRgdC10Lkg0JzQuNGF0LDQ
udC70L7QsiDQv9GA0LjQs9C70LDRiNCw0LXRgiDQktCw0YEg0L3QsCDQstC40LTQtdC+
0LLRgdGC0YDQtdGH0YMgItCS0LjQtNC10L7QvdCw0LHQu9GO0LTQtdC90LjQtSAo0JLQ
vtC70L3QsCkiCgrQp9GC0L7QsdGLINC/0YDQuNC90Y/RgtGMINC/0YDQuNCz0LvQsNGI
0LXQvdC40LUg0LTQvtGB0YLQsNGC0L7Rh9C90L4g0L/QtdGA0LXQudGC0Lgg0L/QviDR
gdGB0YvQu9C60LUgaHR0cDovL2xlbWl4bGFiLnVzZWZ1bGNhbS5ydS9pbnZpdGUuYXNw
eD9pZD0yMQoKLS0tCtCh0LXRgNCy0LjRgSDQvNGD0LvRjNGC0LjQvNC10LTQuNC50L3R
i9GFINC60LDQvdCw0LvQvtCyIMKrVXNlZnVsY2FtwrsK

А вот при отправке корпоративным клиентам, часто приходят такие ответы:

This is the mail system at host mail.usefulcam.ru.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<teacher@cplus.natm.ru>: host cplus.natm.ru[213.148.165.38] said: 554 Sorry,
    message looks like SPAM to me (in reply to end of DATA command)
-----------------------------------------------------------
Reporting-MTA: dns; mail.usefulcam.ru
X-Postfix-Queue-ID: 31A4360D7C
X-Postfix-Sender: rfc822; support@usefulcam.ru
Arrival-Date: Thu,  6 Feb 2014 14:55:08 +0400 (MSK)

Final-Recipient: rfc822; teacher@cplus.natm.ru
Original-Recipient: rfc822;teacher@cplus.natm.ru
Action: failed
Status: 5.0.0
Remote-MTA: dns; cplus.natm.ru
Diagnostic-Code: smtp; 554 Sorry, message looks like SPAM to me
Return-Path: <support@usefulcam.ru>
Received: from localhost (localhost [127.0.0.1])
	by mail.usefulcam.ru (Postfix) with ESMTP id 31A4360D7C
	for <teacher@cplus.natm.ru>; Thu,  6 Feb 2014 14:55:08 +0400 (MSK)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=usefulcam.ru; h=
	content-transfer-encoding:content-type:content-type:subject
	:subject:date:date:to:from:from:mime-version; s=dkim; t=
	1391684106; x=1392548107; bh=MwNecWH11/gVWHtUmMK9Wwim1DuM3y8ivDh
	hTnkauHc=; b=iwof13SkGShOqbEjEYRysyEIjzTG0cphwvgTOdDvuIrP8DHznUr
	I7WyGoj0huWKbk/DtSvFzTaJfWKYWJHCD5GQnGQ9lStf8ih9648P1SYYlGvkvJ74
	nRa5FZwDxD7A2IiCVgqnvKLgFN522NHvxnXvEm54TByaOny80+OLo9Pk=
X-Virus-Scanned: Debian amavisd-new at mail.usefulcam.ru
Received: from mail.usefulcam.ru ([127.0.0.1])
	by localhost (mail.usefulcam.ru [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id JY-EobNYZjKa for <teacher@cplus.natm.ru>;
	Thu,  6 Feb 2014 14:55:06 +0400 (MSK)
Received: from WIN-RT00VB3FGF6 (unknown [192.168.1.10])
	by mail.usefulcam.ru (Postfix) with ESMTPA id 4C28360CD8
	for <teacher@cplus.natm.ru>; Thu,  6 Feb 2014 14:55:04 +0400 (MSK)
MIME-Version: 1.0
Sender: "UsefulCam" <support@usefulcam.ru>
From: "UsefulCam" <support@usefulcam.ru>
To: teacher@cplus.natm.ru
Date: 6 Feb 2014 14:55:05 +0400
Subject: =?utf-8?B?0JDQu9C10LrRgdC10Lkg0JzQuNGF0LDQudC70L7QsiDQv9GA?=
 =?utf-8?B?0LjQs9C70LDRiNCw0LXRgiDQktCw0YEg0L3QsCDQstC40LTQtdC+0LLR?=
 =?utf-8?B?gdGC0YDQtdGH0YM=?=
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
Message-Id: <20140206105508.31A4360D7C@mail.usefulcam.ru>

0JfQtNGA0LDQstGB0YLQstGD0LnRgtC1IQoK0JDQu9C10LrRgdC10Lkg0JzQuNGF0LDQ
udC70L7QsiDQv9GA0LjQs9C70LDRiNCw0LXRgiDQktCw0YEg0L3QsCDQstC40LTQtdC+
0LLRgdGC0YDQtdGH0YMgItCS0LjQtNC10L7QvdCw0LHQu9GO0LTQtdC90LjQtSAo0JLQ
vtC70L3QsCkiCgrQp9GC0L7QsdGLINC/0YDQuNC90Y/RgtGMINC/0YDQuNCz0LvQsNGI
0LXQvdC40LUg0LTQvtGB0YLQsNGC0L7Rh9C90L4g0L/QtdGA0LXQudGC0Lgg0L/QviDR
gdGB0YvQu9C60LUgaHR0cDovL2xlbWl4bGFiLnVzZWZ1bGNhbS5ydS9pbnZpdGUuYXNw
eD9pZD0yNwoKLS0tCtCh0LXRgNCy0LjRgSDQvNGD0LvRjNGC0LjQvNC10LTQuNC50L3R
i9GFINC60LDQvdCw0LvQvtCyIMKrVXNlZnVsY2FtwrsK

Никаких спамерских рассылок мы никогда не вели. Да и вообще сайт совсем недавно заработал.

Если письма доходят до адресатов, то с большой задержкой.

В общем из-за всего этого частенько срываются конференции, потому что кто-то не получил вовремя или вовсе не получил приглашение.

Даже и не знаю, что можно ещё настроить чтобы режектов было меньше и время доставки сократилось. Помогите советом.

 ,

lemix
()
13 комментариев

2 ISP, NAT и доступность внутреннего сервера по двум провайдерам - помогите разобраться с багом

Форум — Admin

Вирт. машина (далее linux-роутер) предназначенная для агрегации ISP и проброса подключений к внутреннему серверу подключена к двум «железным» роутерам через коммутатор и получает от них интернет. Оба роутера в одной подсети (192.168.1.1, 192.168.1.2).

linux-router:

eth0: address 192.168.1.111 (получает интернет от первого ISP)
eth1: address 192.168.1.112 (получает интернет от второго ISP)
eth2: address 10.0.0.1 (подключена к целевому серверу в локальной сети)

Что я делаю:

1. Забочусь о том, чтобы пакеты уходили на через тот же интерфейс на который пришли. 

ip rule add from 192.168.1.111 lookup t1
ip rule add from 192.168.1.112 lookup t2

ip route add default via 192.168.1.1 dev eth0 table t1
ip route add 192.168.1.0/24 dev eth0 table t1
ip route add default via 192.168.1.2 dev eth0 table t2
ip route add 192.168.1.0/24 dev eth1 table t2

На этом этапе мне доступны службы работающие на linux-router по двум IP (например, первый «железный» роутер пробрасывает порт 22 на 192.168.1.111, а второй на 192.168.1.112, в итоге получаю доступ из интернета к SSH по двум белым IP).

2. Пробрасываю порт 80 к IIS'у висящему на 10.0.0.2 и подключенному к eth2.

- мечу пакеты: 

iptables -t mangle -N in-marking
iptables -t mangle -A PREROUTING -m conntrack -ctstate NEW -j in-marking
iptables -t mangle -A in-marking -i eth0 -j CONNMARK --set-xmark 0x1/0x3
iptables -t mangle -A in-marking -i eth1 -j CONNMARK --set-xmark 0x2/0x3

На этом этапе, если посмотреть connmark -L -p tcp --dport 22 (для подключений к SSH lunux-роутера), то видно, что пакеты получают нужные метки (для 80-го порта в дальнейшем какая-то ерунда).

Когда порт 80 будет проброшен и веб-сервер даст ответ, надо восстановить метку и направить ответ туда откуда он пришёл: 

iptables -t mangle -N out-marking
iptables -t mangle -A PREROUTING -m connmark ! --mark 0x0/0x3 -j out-marking
iptables -t mangle -A out-marking -i eth2 -j CONNMARK --restore-mark --mask 0x3

ip rule add fwmark 0x1/0x3 lookup t1
ip rule add fwmark 0x2/0x3 lookup t2

И наконец самое загадочное. NAT'им подключения на 80-й порт внутреннего сервера.

NAT'им: 

iptables -t nat - A PREROUTING -m connmark --mark 0x1/0x3 -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2
iptables -t nat - A PREROUTING -m connmark --mark 0x2/0x3 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 10.0.0.2
(Метки в критерии я добавил для того, чтобы убедиться, что они работают).

Проблема. Веб-сервер доступен только по одному интерфейсу, причём выбирается он кажется случайно.

С помощью iptables -vL -t nat я вижу, что оба правила применяются в зависимости от того на какой интерфейс (eth0 или eth1) пришёл запрос, но до моего веб-сервера доходят пакеты лишь с одного интерфейса, в этом я убеждаюсь с помощью tcpdump -i eth2 -t tcp (в одном случае он всегда молчит).

Помогите пожалуйста!

P.S. использовать iproute на веб-сервере и решить проблему не могу, т.к. сервер виндовый, а там с этим не понятно. К тому же хотелось бы иметь универсального агрегатора ISP, чтобы к нему подключать нужные внутренние машины.
P.P.S. Идея взята из http://habrahabr.ru/post/117620/

 ,

lemix
()
27 комментариев

RSS подписка на новые темы