Я добавил подсеть IP в разделе «Configuration->Mail Proxy->Whitelist->IP Network (Sender)», но заметил, что одно из писем, отправленных с IP из этой подсети, оказалось в карантине. Как можно этого избежать?
zimny
Guest
0
18.09.2019 02:42:00
Привет, я добавил в белый список в разделе configuration->mailproxy->whitelist и также в mail filter->who objects, но письма всё равно блокируются RBL. Похоже, такие функции, как белые и чёрные списки, вообще не работают. Вот мои RBL-листы: "relays.dnsbl.sorbs.net, web.dnsbl.sorbs.net, recent.spam.dnsbl.sorbs.net, escalations.dnsbl.sorbs.net, zombie.dnsbl.sorbs.net, rhsbl.sorbs.net". Я просто пытаюсь разрешить один адрес электронной почты от Google, и никак не могу. Перенаправляю порт напрямую с моего файрвола на PMG, так что вообще не понимаю, почему это не работает. Есть идеи?
dcsapak
Guest
0
18.09.2019 11:05:00
В проверке postscreen (которая использует rbl списки) есть доступ только к IP отправителя и домену helo, поэтому невозможно добавить в белый список конкретный адрес отправителя... Если же сервер не в черном списке, то ваша настройка должна работать.
zimny
Guest
0
18.09.2019 17:34:00
Привет, спасибо за ответ. В документации PMG в разделе configuration->mailproxy->whitelist указано, что для этих записей отключены все SMTP-проверки (например, Greylisting, SPF, RBL и т.д.), но это, похоже, неправда. Если RBL включён, то PMG вообще игнорирует настройки администратора. Мне кажется, это недопонимание или баг, который надо исправить.
dcsapak
Guest
0
19.09.2019 10:37:00
Частично правильно, так как проверки RBL отключены, но только для IP-адресов (а не для адресов отправителей почты). На этом этапе отклонить письмо по адресу отправителя невозможно, потому что этой информации у нас пока нет. Не могли бы вы открыть баг-репорт, чтобы мы могли обновить документацию ?
zimny
Guest
0
20.09.2019 02:58:00
Привет! Значит ты хочешь сказать, что когда я использую RBL, весь смысл белых и чёрных списков в PMG теряется? RBL — это отраслевой стандарт и эффективное решение, все современные почтовые шлюзы поддерживают его наряду с функционалом белых и чёрных списков, который нужен администраторам для тонкой настройки политик, включая RBL. Я уже отказался от использования PMG для функции отправки, потому что он не совместим с DKIM — ещё один пример современных почтовых систем. По этой угрозе, похоже, придётся отказаться от PMG полностью, потому что при использовании RBL особого смысла принимать или отклонять входящие письма самим уже нет.
dcsapak
Guest
0
20.09.2019 12:17:00
Нет, ты меня неправильно понял, белый список SMTP работает на двух этапах: 1. Сервер отправителя подключается к pmg. 2. pmg проверяет IP адрес сервера отправителя по белому списку (это единственная надёжная информация на этом этапе), затем проверяет IP по RBL (это postscreen; он также выполняет другие проверки на спам, подробнее смотри в man postscreen). 3. Если всё разрешено, отправитель отправляет письмо. 4. Теперь smtpd снова проверяет белый список, но уже с учётом всей доступной информации (отправитель/получатель, домен и т.д.), здесь же происходят проверки SPF и прочее.
Надеюсь, теперь понятнее, какие проверки проходят на каком этапе.
zimny
Guest
0
20.09.2019 13:05:00
Привет, Доминик, спасибо за разъяснение. Теперь я вижу весь процесс и где именно проблема. Она всё ещё остаётся! Как админ PMG может поддерживать список SMTP IP-отправителей :-O Провайдеры, такие как Google и другие, периодически меняют весь диапазон сетей для исходящего трафика. Почему другие решения не затрагиваются так, как PMG? Это простое и надёжное решение, где один IT-отдел управляет всей корпоративной почтой, а не внешними сервисами типа Gmail — простой пример. Как я могу использовать RBL и при этом всё равно получать часть писем с Gmail??? Спасибо за поддержку, Марцин
dcsapak
Guest
0
20.09.2019 13:30:00
Сомневаюсь, что IP-адреса крупных провайдеров долгое время находятся в черных списках... Ты сталкивался с таким письмом? Если да, было бы очень интересно посмотреть какой-нибудь лог. Конечно, можно отключить проверки RBL в postscreen, так как spamassassin всё равно проверяет некоторые RBL позже в цепочке, но тогда всё будет гораздо медленнее, потому что сначала придется принять все письма от спамеров, чтобы их остановить... (Кстати, можно настроить, когда и как именно выполняются эти проверки в postfix, но для этого нужно вручную редактировать master/main.cf в наших шаблонах — это довольно серьёзная тема.)
zimny
Guest
0
20.09.2019 13:43:00
Привет! Именно, когда задействован RBL, функции белого/черного списка не работают. Я уже приводил хороший пример — попробуйте отправить тестовое письмо с Google на ваш PMG и используйте авторитетный RBL, например, SORBS. Мне кажется, это серьёзный пробел между PMG и другими почтовыми шлюзами. Я несколько лет работаю с Proxmox PVE и считаю, что среди open source решений для виртуализации ему равных нет. Поэтому я решил попробовать PMG, чтобы всё было «под рукой». Но почти каждый день я теряю смысл использовать его. К счастью, когда у меня возникли проблемы с фильтрацией в PMG, я смог переключиться на другой сервер/решение. Но интересно, сколько администраторов в таких же ситуациях по телефонам слышат: «Мы пытались, но не можем отправить вам почту — нас считают спамерами», просто потому что админ любит использовать RBL в PMG. Если обходных путей нет, может, вы могли бы обновить PMG, чтобы в будущем эта проблема была решена? Если нет — тогда, наверное, не стоит держать сервер PMG в сети. Спасибо!
Stoiko Ivanov
Guest
0
20.09.2019 14:48:00
Нет. Если вы решили настроить RBL на MailProxy, то в стандартной конфигурации вам нужно также добавить IP-диапазоны в белый и черный списки. Если вы не хотите дополнительно поддерживать IP-диапазоны, как уже отметил Доминик, вы можете изменить конфигурацию postfix и заменить postscreen-тесты проверками в smtpd (см. smtpd_recipient_restrictions (`man 5 postconf`, и — для адаптации конфигурации в PMG)). Я бы, наверное, не стал полностью полагаться на SORBS — см., например, .
В качестве другого варианта можно вообще не делать проверки RBL на уровне postfix и положиться только на проверки SpamAssassin — в этом случае нужно настроить черные и белые списки в системе правил («Mail Filter» в GUI).
Учитывая, что текущая настройка с postscreen, по-видимому, подходит большинству пользователей и при этом даёт заметное преимущество в производительности, я не вижу необходимости менять её в приоритетном порядке.
Надеюсь, это поможет!
zimny
Guest
0
20.09.2019 14:56:00
Я в шоке от твоего ответа/совета. Я понимаю идею белого/черного списка после RBL — чтобы пропускать только те письма, которые ты хочешь контролировать. Но я совершенно не понимаю твою мысль про «белый список IP SMTP-серверов». Приведу пример Gmail: как ты хочешь настроить PMG так, чтобы использовать RBL и одновременно получать письма с Gmail. [SORBS] Ты серьезно волнуешься о самой авторитетной организации в сети?
heutger
Guest
0
20.09.2019 19:51:00
Есть три этапа антиспама:
1. Можно отклонять письма, которые не соответствуют требованиям RFC — это стоит делать только для самых явных и глупых спамов, да и то с оглядкой. Нужно решить, насколько жестко вы хотите быть, потому что много у нас таких ленивых админов, которые не умеют нормально настраивать свои серверы. Например, стоит подумать, стоит ли включать SPF — эта технология сейчас сильно проблемная, её пока мало кто применяет, плюс многие SPF-записи устарели или неправильно обновлены, а рассылки и групповые списки тоже часто не проходят проверку. FCrDNS-проверки (полная проверка хоста клиента) в PMG тоже лучше не включать — многие админы просто не умеют корректно настраивать прямой и обратный DNS. В общем, этот этап — чтобы отсеять самый дикий спам.
2. RBL (черные списки) нужны для отсеивания реально известных спамеров. Есть куча списков с разным качеством, посмотрите мою тему Advancing PMG и тему по Оптимизации Черных Списков. Их настолько много, что и не сосчитать (ну, можно, но будет большая цифра с тремя нулями). Можно проверить списки на multirbl.valli.org — там вы увидите почти все. При этом, если проверить IP, скажем, Google, Microsoft, Amazon, Mailchimp, Facebook, LinkedIn и т. п., многие из них попадут в разные черные списки, которые, например, работают через спам-ловушки. Если хоть одна служба отправляет письмо на такую ловушку (а «плохие» ребята есть и внутри Google, Microsoft, Amazon (SES), Mailchimp, Facebook и LinkedIn, которые рассылают письма на потенциальные профили), эти IP попадают под блокировку. Например, SORBS — самый ненадежный антиспам-фильтр вообще. Если вы полагаетесь на эту «самую авторитетную организацию в интернете» (то же касается UCEPROTECT), вы забьётесь. Можно использовать их списки (там тоже спама хватает) для пометки, но никогда не использовать как фильтр блокировки, если хотите, чтобы к вам доходила почта от большинства пользователей интернета. Проблемы SORBS тянутся годами, я использую только один их список для реальной блокировки — он не даёт ложных срабатываний. Недавно был хороший сайт с отображением ложных срабатываний против реальных попаданий, но из-за GDPR он закрыт. При этом этот сайт был очень консервативен, ему не стоит слепо доверять по количеству ложных срабатываний — цифры слишком занижены, но если у них есть данные о ложных срабатываниях на какой-то список, значит в нём их реально много:
3. Фильтрация содержимого — самый важный этап после того, как отсеят самый «известный» и лёгкий мусор. Здесь можно использовать SORBS, дополнительные схемы и оптимизировать фильтр с помощью обучения спаму и «чистой» почты (ham) для байесовской базы. На этапах 2 и 3 можно работать с разными белыми списками. Этап 2 (RBL) в основном основан на IP (если настраивать PMG через shell, можно добавить проверку доменов, но полностью с IP не уйдёшь, если хотите качественный этап 2). Этап 3 уже работает и с доменами. Надо иметь в виду, что у Gmail есть причины так часто менять IP — возможно, старые IP «сгорели» из-за попадания во множество черных списков (а списки есть не только ежедневные или почасовые, но и за недели, месяцы, годы — они не забывают). Так Gmail, Yahoo и Microsoft (их бесплатные почтовые сервисы) являются одними из крупнейших источников спама, потому что большинство админов не будут использовать списки, которые блокируют их серверы. Поэтому метить спам нужно уровнем содержимого письма, а это гораздо сложнее, чем просто блокировать подозрительный IP.
patefoniq
Guest
0
16.02.2021 17:39:00
Привет, у меня такая же проблема с sorbs и Gmail. Оба способа: Code: Configuration -> Mail Proxy -> Whitelist -> IP Network (Sender) Code: Mail Filter -> Who Objects -> Whitelist -> IP Network (Sender) — не сработали. Я добавил все проблемные IP-сети Gmail в обе белые списки, но ничего не изменилось. Письма по-прежнему блокируются RBL. Это очень неудобно из-за жалоб моих клиентов на недоставленные письма с Gmail.
Stoiko Ivanov
Guest
0
17.02.2021 09:38:00
Пожалуйста, в таких случаях создавайте новую тему, вместо того чтобы отвечать в той, которой больше года... Если создаёте новую тему, приложите, пожалуйста, mail.log, в котором видно поведение системы.
