Portál AbcLinuxu, 7. května 2025 01:25

Dotaz: Nelze poslat postfixem mail na google

6.9.2018 11:25 ok2zar | skóre: 19
Nelze poslat postfixem mail na google
Přečteno: 1527×
Odpovědět | Admin
Ahoj,

vlastni blbosti jsem zvrzal nastaveni postfixu a nez jsem to zjistil, tak bylo odeslano (nebo alespon pokus o odeslani) cca 16 000 mailu na google. Chapu, ze tam to nejaky mechanizmus zarizl a basta. No jenze uz je to pres dva tydny a porad nic. Mezitim doslo i ke zmene IP adresy, takze asi to blokuji na domenu. Pri pokusu poslat mail dostanu tuto hlasku: 
host gmail-smtp-in.l.google.com[74.125.133.26] said:
    550-5.7.1 This message does not have authentication information or fails to
    pass 550-5.7.1 authentication checks. To best protect our users from spam,
    the 550-5.7.1 message has been blocked. Please visit 550-5.7.1
    https://support.google.com/mail/answer/81126#authentication for more 550
    5.7.1 information. f10-v6si3075501wmg.24 - gsmtp (in reply to end of DATA
    command)
Pokus zjistit nejake informace z jejich "podpory" se mi nepodarilo. Respektive jsem se tam nedocetl nic uzitecneho. Stejne tak mi prilis nepomohlo navstivit jejich stranku zminenou v hlasce. Takova klasika jako je PTR a ostatni, to pochopitelne mam zarizene.

Postfix na te domene jede pres 15 let a google byl v pohodde az do ted, kdy byla domena "pospinena" :-)

Takze strucny dotaz, zda ma nekdo z pritomnych postup, jak dan prolem vyresit.

Diky.

Řešení dotazu:

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

6.9.2018 11:43 panCHrz
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
Dkim, Dmarc, SPF máš ?
6.9.2018 11:48 asd
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin

Ja jsem tyhle problemy resil nekolikrat na vlastnich domenach, ktere byly navic hostovane s nejakou verejnou IP adresou, ktera je recyklovana poskytovatelem.

Jako nejjednodussi a nejspolehlivejsi se mi nakonec svedcilo pouziti neceho jako je mailgun a podobne sluzby. Jen nastavim relay server a jedu. Spamy hlida za me, takze ikdyz by nekdo hacknul pristup, tak to zastavi driv, nez to udela paseku a pokud neposilate tisice mailu denne, tak treba konkretne ten mailgun ma prvnich 10 tis. mailu/mesic zdarma.

6.9.2018 12:29 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
1.) Nemůže být ta IP co jsi dostal taky na indexu? (Provozovat SMTP na IPv4 která se mění není dobrý nápad.)

2.) Co si zřídit na gmail účet a na smtp gmailu používat přihlášení? Akorát nevím zda tam není nějaké pravidlo na počet přihlášení za nějaký čas.

vencour avatar 6.9.2018 12:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
Mam dojem, že i google má nějaký vztah na blocklisty (víc mne nezajímalo). Tj. na spamhausu a spamcopu byste měl dohledat svého pošťáka v nějakém blocklistu. A požádat o delistaci.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
6.9.2018 12:53 Adolf Kernel
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
nemas validny reverzny DNS zaznam k domene z ktorej mail posielas...
6.9.2018 20:17 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google

Jasně tam píše, že PTR má v pořádku.

6.9.2018 14:47 ok2zar | skóre: 19
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
Diky za prispevky.

Pokusim se to vzit po poradku Kdyz to napisu bez obalu, tak bych rad dospel do stavu, aby to fungovalo jak mnoho let predtim. A ono to, krom toho zapraskaneho googlu, funguje. Bohuzel google nelze prehlizet, takze to musim poresit.
6.9.2018 15:10 madmucho
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Mě todle začal dělat google když jsem nasadil ipv6, také to děla pokud má server víc veřejek a veme si dle libosti cik cak tu či onu, takže jsem postfix posadil na konrkétní IPV6ku a konkrétní IPV4kku na těch mám správně reverzní dns jak pro v4 tak v6 a je to v poho.

direktiva na to byla smtp_bind_address = smtp_bind_address6 =

Docela by mne zajímalo jak bojujete ze spamem když nemáte zavedeno Dkim, SPF.
Max avatar 6.9.2018 18:55 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Mno, problém je v tom, že spameři se stále zlepšují, vše se vyvíjí a tak není divu, že firmy nasazují různé lepší antispamy.
Ruku na srdce, nasazení ADSP, SPF, DKIM a DMARC je celkem trivialita. Pak už stačí jen dodržovat odesílání mailu ze serveru a nepoužívat nedůvěryhodné smtp servery třetích stran. Problém v tom nevidím.
Zdar Max
Měl jsem sen ... :(
10.9.2018 07:30 bigBRAMBOR | skóre: 37
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
ADSP, SPF, DKIM a DMARC

jo, ty jsou fajn, postupne to přibývá, kombinuje se to, ale spamu neubývá, nicméně vždycky se dá tvrdit, že bez nich by to bylo ještě horší.

stejně mi většina spamu přijde s podpisem DKIM a validním, protože jde přes nějakého "nakaženého" klienta, nebo přes nějaký učet ke kterému mají spameří přístup. Z každému účtu mi přijde tak jeden, dva emaily a už to jde z jiného, takže to, že vím přes koho mi to šlo je mi stejně prd platné. Takže vyřadit email na základě všech jmenovaných prostředků stejně nemůžu, nemůžu ani whitelistovat.

No a pak dojedu na MS, nemužu poslat email na MS, vrátí se, že jsem blokovaný, SPF i DKIM mám validní, při pročítání si zjistím, že je to výsledkem nějakého jejich sofistikovaného řešení, ke kterému náhled ale nedají. Rozhodilo je, že náš server změníl IP, i kdyz byly zprávy podepsané DKIM a SPF záznamy změněné, bylo jim to jedno. Vyplnil jsem žádost o odblokování a asi za 14 dní mi přislo, že je to ok a všechny domény co jsou na serveru, až na jednu, odblokovali. Proč tu jedno ne, netuším, ale ta teď nemůže poslat na MS server email.

To jednom k tomu, že bez těchto vopičáren nemá mail server smysl provozovat
6.9.2018 20:21 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
  • Dkim, Dmarc, SPFarc, SPF - Ne, nemam. Nemel jsem a budu rad, kdyz bez toho jeste chvilku vydrzim

Tak to tedy hodně štěstí.

Bez DKIM podpisů dnes nemá smysl uvažovat o provozu nějakého mailového serveru. Možnost vygenerovat mail, který vypadá jako z tvé domény, kdekoliv a kýmkoliv, je průser z divokých 90. let, který by v roce 2018 správce mailu neměl dopustit.

7.9.2018 10:57 ok2zar | skóre: 19
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
No bude se Vam to zdat neuveritelne, ale konkretni mailovy server je v provozu necelych 15 let s nastavenim, jak bylo tehdy udelano a preneseno pres nekolik systemovych reinstalaci a krom dvou pripadu (posilani mailu pres diru v apache a ted moji neuvazene chyby) jsem nemel problem. Statistiky mi hlida pflogsumm a na nej je poveseny script, ktery posila info, kdyz se deje neco podezreleho.

Jen abych to uvedl na pravou miru - ja neodmitam uziti zminenych technik, jen rikam, ze jsem se bez nich prozatim obesel ackoli je velmi pravdepodobne, ze je behem vikendu nasadim, jakozto asi nejsnadnejsi vyreseni problemu akceptace mailu z daneho serveru googlem.
10.9.2018 15:53 ok2zar | skóre: 19
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
Zravim jeste jednou.

Pres vikend jsem nasel chvilku a pokousel jsem se to implementovat (pekny clanek Stavíme vlastní e-mailový server). Tak nejak jsem skoncil na tom, ze domenovy registrator, kde mam domenu(ny) neumoznuje pridani TLSA zaznamu. Prenaset domenu (z ruznych duvodu) k jinemu registratorovi ted nechci, takze jsem si rekl, ze si budu delat DNS opet sam.

Na serveru bezi Debian Jessie a ten ma v repozitari BIND ve verzi 9.10.3 Co jsem se docetl, tak od verze bindu 9.9 je mozne TLSA zaznamy pridavat. No ale tady potrebuju asi nejak popostrcit. Vsechny zaznamy obsazene v zonovem souboru se mi dotazem DIGu zobrazuji, ale TLSA vim jen kdyz se zeptam dig _443._tcp.example.com any Predpokladam, ze to je asi taky OK. No ale kdyz si dam vypsat TXT recordy, tak se mi ukazi dva ze tri a ten treti "dmarc" nemuzu overit, jak jej vypsat. Dle navodu je to udelane jako "_dmarc.example.com". Mozna jen nevim, jak se na nej zeptat.

Takze otazka pro zkusene, zda je to tedy OK, nebo zda je nejaky lepsi zpusob, jak nastaveni otestovat.
MMMMMMMMM avatar 10.9.2018 18:31 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
zkusil bych příkaz dig _dmarc.domain.com txt
Linux Dokumentační Projekt - PDF ke stažení
10.9.2018 20:17 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google

Nechápu kvůli mailu si budu zakládat vlastní DNS????

Copak do tvého DNS nejdou vložit TXT záznamy?

Já mám dmarc,dkim a spf záznamy vložené v DNS jako TXT záznamy.

petr@NT-Olomouc:~$ dig _dmarc.soban.cz txt

; <<>> DiG 9.11.3-1ubuntu1.1-Ubuntu <<>> _dmarc.soban.cz txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 36400
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;_dmarc.soban.cz.		IN	TXT

;; ANSWER SECTION:
_dmarc.soban.cz.	300	IN	TXT	"v=DMARC1; p=reject; adkim=s; aspf=s; pct=100;"

;; Query time: 23 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Sep 10 20:11:01 CEST 2018
;; MSG SIZE  rcvd: 102

petr@NT-Olomouc:~$ dig soban.cz txt

; <<>> DiG 9.11.3-1ubuntu1.1-Ubuntu <<>> soban.cz txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55971
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;soban.cz.			IN	TXT

;; ANSWER SECTION:
soban.cz.		1800	IN	TXT	"v=spf1 mx a:virtual.soban.cz ip6:2a02:2b88:2:1::156c:1/64 -all"

;; Query time: 25 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Sep 10 20:11:10 CEST 2018
;; MSG SIZE  rcvd: 112

petr@NT-Olomouc:~$ dig default._domainkey.soban.cz txt

; <<>> DiG 9.11.3-1ubuntu1.1-Ubuntu <<>> default._domainkey.soban.cz txt
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19756
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;default._domainkey.soban.cz.	IN	TXT

;; ANSWER SECTION:
default._domainkey.soban.cz. 1800 IN	TXT	"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC1PIOL5udvcZaaRhtTaAZqS1L6S54crnk83mJki4xnM3Styu0bd06Unzl7UIMwEMQB5wb8GNjVl6hEO4ToTQaTdotxirbMw6FYE3fuoFBR8ABidlTn6COadt3NSVGXt5pqS91803PDBC2COn9JSVOl7zz8MfQ3+CJe07JkMRa+BQIDAQAB"

;; Query time: 55 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Mon Sep 10 20:14:22 CEST 2018
;; MSG SIZE  rcvd: 303
11.9.2018 09:34 trekker.dk | skóre: 72
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
RTF... ehm... P? :-)
Tak nejak jsem skoncil na tom, ze domenovy registrator, kde mam domenu(ny) neumoznuje pridani TLSA zaznamu.
Quando omni flunkus moritati
11.9.2018 14:34 ok2zar | skóre: 19
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Jako jo, jdou. Na to jsem si nestezoval. Ale TLSA do TXT nedam.
11.9.2018 18:24 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Ale pro dmarc,dkim a spf TLSA nepotřebuji.

I když můj registrátor domény kde ji mám TLSA umožnuje vytvořit.

Samozřejmě pokud DNS využiješ tak proč ne, ale připadá mi to blbé vytvářet DNS pouze skrz mail.
11.9.2018 12:20 klud
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
BTW. Ten DNS server co vytvoris, bude autoritativni aby nekdo to co tam das bral vubec vazne?
11.9.2018 14:50 ok2zar | skóre: 19
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
No ja si delal DNS glue vlastne od zacatku a teprve pred asi mesicem jsem zacal vyuzivat DNS od registratora, protoze uz davno nebyl zadny duvod k tomu to delat sam. On to neni zadny problem, jen jak na potvoru to chtelo nejakou moji pozornost, kdyz se mi to nejmene hodilo. :-)

Proto nejak nechapu to zdeseni ohledne vlastniho DNS. Driv si to tak delal kazdy druhy a vetsina (mensich i malych) ISP to dela do dnes.
12.9.2018 11:20 ok2zar | skóre: 19
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Odpovědět | | Sbalit | Link | Blokovat | Admin
Jen pro informaci sem napisu reseni celeho dotazu / tematu - tedy ze odchazi maily vsude, jen google je odmita. Trivialne jednoduchym resenim bylo autorizovanim domeny u googlu - vygeneruje se token, ktery se da jako TXT zaznam do DNS. Pak uz google akceptuje.

Tim nerikam, ze drive zminovane techniky jsou zbytecne, to ne, jen ze pro vyreseni prvotniho problemu postacila jednoducha zmena. Kazdopadne pri nasazovani onech mechanizmu jsem se naucil zase nove veci, takze diky za to, ze jste me upozornili na fakt, ze jsem zcela zaspal dobu.
12.9.2018 11:45 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Jsem v šoku toto je taková blbost......

Když to zavedou všechny mail servery tak nebudeš dělat nic jiného než autorizovat si svoji doménu u několika milionu serverů aby nějakej neodmítal maily od tebe.....

Fakt perfektní co google zavádí.....

Jinak díky za informaci....
Max avatar 12.9.2018 12:31 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Podle mně to špatně chápeš. Pokud nemá nastavené žádné zdůvěryhodňování (nepoužívá SPF, DKIM, DMARC, ADSP atd.), tak google asi nabídne v případě problémů tuto možnost.
Zdar Max
Měl jsem sen ... :(
13.9.2018 12:31 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Nelze poslat postfixem mail na google
Tak pokud je to pouze pojistka když se dostaneš na nějaký blacklist u googlu tak to beru...

Ale i tak by měl SPF, DKIM, DMARC, ADSP atd. zavést....

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.