Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Все о MDaemon (#5)

Автор: mdv73
Дата сообщения: 01.10.2014 09:09
Уважаемые коллеги, подскажите, пожалуйста, как победить проблему.

Имеется один внешний почтовый ящик mail@domain.com на сервере хостера hoster.com. В организации имеем почтовый сервер с MDaemon 13 и кучей локальных ящиков вида userXX@domain.com.

С какого-то далеко не прекрасного момента перестала отправляться наружу письма с локальных ящиков, хотя прием писем на них работает нормально.

Wed 2014-10-01 09:02:47: Session 20959; child 1
Wed 2014-10-01 09:02:47: Parsing message <xxxxxxxxxxxxxxxxxxxxxxxx\pd35000080607.msg>
Wed 2014-10-01 09:02:47: * From: user01@domain.com
Wed 2014-10-01 09:02:47: * To: test@rambler.ru
Wed 2014-10-01 09:02:47: * Subject: test
Wed 2014-10-01 09:02:47: * Size (bytes): 1228
Wed 2014-10-01 09:02:47: * Message-ID: <WC20141001040237.570013@domain.com>
Wed 2014-10-01 09:02:47: Attempting SMTP connection to [hoster.com]
Wed 2014-10-01 09:02:47: Attempting SMTP connection to [hoster.com:25]
Wed 2014-10-01 09:02:47: * Cache hit on hoster.com; IP = х.х.х.х
Wed 2014-10-01 09:02:47: Waiting for socket connection...
Wed 2014-10-01 09:02:47: * Connection established (172.16.0.233:54499 -> х.х.х.х:25)
Wed 2014-10-01 09:02:47: Waiting for protocol to start...
Wed 2014-10-01 09:02:48: <-- 220-hoster.com ESMTP Exim 4.82 #2 Wed, 01 Oct 2014 08:21:15 +0400
Wed 2014-10-01 09:02:48: <-- 220-We do not authorize the use of this system to transport unsolicited,
Wed 2014-10-01 09:02:48: <-- 220 and/or bulk e-mail.
Wed 2014-10-01 09:02:48: --> EHLO domain.com
Wed 2014-10-01 09:02:48: <-- 250-hoster.com Hello domain.com [x.x.x.x]
Wed 2014-10-01 09:02:48: <-- 250-SIZE 52428800
Wed 2014-10-01 09:02:48: <-- 250-8BITMIME
Wed 2014-10-01 09:02:48: <-- 250-PIPELINING
Wed 2014-10-01 09:02:48: <-- 250-AUTH PLAIN LOGIN
Wed 2014-10-01 09:02:48: <-- 250-STARTTLS
Wed 2014-10-01 09:02:48: <-- 250 HELP
Wed 2014-10-01 09:02:48: --> STARTTLS
Wed 2014-10-01 09:02:48: <-- 220 TLS go ahead
Wed 2014-10-01 09:02:49: SSL negotiation successful (TLS 1.0, 2048 bit key exchange, 128 bit encryption)
Wed 2014-10-01 09:02:49: --> EHLO domain.com
Wed 2014-10-01 09:02:49: <-- 250-hoster.com Hello domain.com [x.x.x.x]
Wed 2014-10-01 09:02:49: <-- 250-SIZE 52428800
Wed 2014-10-01 09:02:49: <-- 250-8BITMIME
Wed 2014-10-01 09:02:49: <-- 250-PIPELINING
Wed 2014-10-01 09:02:49: <-- 250-AUTH PLAIN LOGIN
Wed 2014-10-01 09:02:49: <-- 250 HELP
Wed 2014-10-01 09:02:49: --> AUTH LOGIN
Wed 2014-10-01 09:02:50: <-- 334 VXNlcm5hbWU6
Wed 2014-10-01 09:02:50: --> **********
Wed 2014-10-01 09:02:50: <-- 334 UGFzc3dvcmQ6
Wed 2014-10-01 09:02:50: --> **********
Wed 2014-10-01 09:02:50: <-- 235 Authentication succeeded
Wed 2014-10-01 09:02:50: --> MAIL From:<user01@domain.com> SIZE=1228
Wed 2014-10-01 09:02:51: <-- 250 OK
Wed 2014-10-01 09:02:51: --> RCPT To:<test@rambler.ru>
Wed 2014-10-01 09:02:51: <-- 550 sender user01@domain.com has authenticated as mail@domain.com
Wed 2014-10-01 09:02:51: --> QUIT
Автор: qxaszw12
Дата сообщения: 01.10.2014 12:42
mdv73

Цитата:
 Wed 2014-10-01 09:02:51: <-- 550 sender user01@domain.com has authenticated as mail@domain.com
 Wed 2014-10-01 09:02:51: --> QUIT


Ответ 550 говорит о том, что почтовый сервер отказался принять почту для данного пользователя и причин может быть очень много. Моё предположение, что С какого-то далеко не прекрасного момента сервер провайдера стал воспринимать эту попытку отправить почту как спам. Пообщайтесь на эту тему с hoster.com.
Автор: UNDRION
Дата сообщения: 01.10.2014 17:32
здравствуйте, уважаемые ГУРУ!
возможно этот вопрос и поднимался уже, но найти ответ так и не могу.
выбираю мейл сервер для фирмы. пока остановился на MDaemon. Тестирую версию 13.0.4 ru.
дано:
имя домена - mydomen.com
полное доменное имя хоста - mail.mydomen.com
local ip: 10.10.10.10
global ip: 100.100.100.100
сразу столкнулся с тем, что не могу зайти на веб интерфейс если ввожу mail.mydomen.com:3000 или mydomen.com:3000. при этом через 10.10.10.10:3000 и 100.100.100.100:3000 пускает. может кто подскажет в чем может быть дело? тестирую на рабочей машине под Win 7 x86.
Автор: vlary
Дата сообщения: 01.10.2014 18:22
UNDRION
Цитата:
local ip: 10.10.10.10
global ip: 100.100.100.100
Если на внешний айпи он проброшен через NAT, то Google NAT Loopback тебе в помощь...

Автор: qxaszw12
Дата сообщения: 01.10.2014 20:30

Цитата:
сразу столкнулся с тем, что не могу зайти на веб интерфейс если ввожу mail.mydomen.com:3000


При "царе горохе". т.е. давным-давно, в IE нужно было вводить вот такую строку - http://mydomen.xz:3000. Как сейчас даже не знаю, т.к. пользуюсь Google Chrome, и в нем вроде как таких проблем не возникает.

Да, и самое главное - а DNS правильно резолвит имена?
Автор: UNDRION
Дата сообщения: 02.10.2014 08:15

Цитата:
local ip: 10.10.10.10  
global ip: 100.100.100.100

имеется в вижу вход из-под локальной сети


Цитата:
вот такую строку - http://mydomen.xz:3000

пробовал - та же беда. тоже пользуюсь Google Chrome. пробовал так же и через IE.


Цитата:
DNS правильно резолвит имена

можно подробнее )

З.Ы. может что т не так написал. я не админ и как такового админа нету. "по-совместительству" попросили этим занятся
Автор: ipmanyak
Дата сообщения: 02.10.2014 09:12
UNDRION
nslookup mail.mydomen.com
и
nslookup mydomen.com

потом тоже самое, но вот так:
nslookup mail.mydomen.com 8.8.8.8
nslookup mydomen.com 8.8.8.8

покажите все результаты сюда.

P.S.
Нефиг прятать имена доменов. Имена ящиков да, но не домен, этим вы только затрудняете диагностику проблемы на форуме. Дал бы имя домена, уже вчера бы тебе все сказали. И потом, проблема у тебя не в Mdaemon, а в DNS. А это уже тема не для этой ветки.
Автор: Kamerton
Дата сообщения: 02.10.2014 14:12
Гуру - как боретесь с вот такими подбиральщиками [more=паролей]
Thu 2014-10-02 17:01:25: 05: Session 031043; child 0001
Thu 2014-10-02 17:01:25: 05: Accepting SMTP connection from [74.208.164.28:58635] to [x.x.x.x:25]
Thu 2014-10-02 17:01:25: 03: --> 220-mail.nngre.com ESMTP Thu, 02 Oct 2014 17:01:25 +0600
Thu 2014-10-02 17:01:25: 03: --> 220-Hi
Thu 2014-10-02 17:01:25: 03: --> 220-Effective immediately:
Thu 2014-10-02 17:01:25: 03: --> 220-may no longer accept connections from IP addresses which
Thu 2014-10-02 17:01:25: 03: --> 220 have no reverse-DNS (PTR record) assigned
Thu 2014-10-02 17:01:26: 02: <-- EHLO User
Thu 2014-10-02 17:01:26: 03: --> 250-mail.x.com Hello User, pleased to meet you
Thu 2014-10-02 17:01:26: 03: --> 250-ETRN
Thu 2014-10-02 17:01:26: 03: --> 250-AUTH LOGIN CRAM-MD5 PLAIN
Thu 2014-10-02 17:01:26: 03: --> 250-8BITMIME
Thu 2014-10-02 17:01:26: 03: --> 250-STARTTLS
Thu 2014-10-02 17:01:26: 03: --> 250 SIZE
Thu 2014-10-02 17:01:27: 02: <-- AUTH LOGIN
Thu 2014-10-02 17:01:27: 03: --> 334 VXNlcm5hbWU6
Thu 2014-10-02 17:01:32: 02: <-- dXRhaA==
Thu 2014-10-02 17:01:32: 03: --> 334 UGFzc3dvcmQ6
Thu 2014-10-02 17:01:33: 02: <-- ******
Thu 2014-10-02 17:01:33: 04: Failed SMTP authentication attempt from 74.208.164.28 for "utah@x.com"
Thu 2014-10-02 17:01:33: 03: --> 535 Authentication failed
Thu 2014-10-02 17:01:33: 04: * Winsock Error 10054
Thu 2014-10-02 17:01:33: 04: SMTP session terminated (Bytes in/out: 43/425)
[/more]
В настройках стоит максимум 3 попытки, но ведь он сцука с другого ИП начинает пробовать и так целый день - и как ему не лень!!!
Благодарю.
Автор: vlary
Дата сообщения: 02.10.2014 18:03
Kamerton
Цитата:
как боретесь с вот такими подбиральщиками паролей
Да нас...ть! Пусть развлекается, чем бы дитя не тешилось...
Если пароли стоят нормальные, будет подбирать до третьего пришествия. Или пока самому не надоест.
Можешь, конечно по айпи вычислить провайдера и накатать ему телегу, но это ИМХО
бесполезно, ибо это наверняка окажется какая-либо Зимбабве.
Автор: qxaszw12
Дата сообщения: 02.10.2014 20:53
Kamerton

Цитата:
Гуру - как боретесь с вот такими подбиральщиками паролей


Абсолютно согласен с vlary - пофигу!
Хотя одно время почту с локальных адресов принимал только изнутри (хочешь отправлять почту снаружи - цепляйся по VPN), но это геморно и поэтому забил.
Сейчас точно так же блокирую на час после двух попыток.
Автор: fly_indiz
Дата сообщения: 02.10.2014 23:44
Kamerton
ну у меня ещё проще - mdaemon релей перед exchange. почта с локальных адресов извне по smtp впринципе не принимается. бан авторизации по первой попытке на 999 минут, т.е. 16.5 часов (больше не ставится), ибо локальных учеток в мдемоне вовсе нет. отправка почты внешними сотрудниками идёт не через смтп, а через exchange (activesync, anywhere, owa). Так что заруб жестокий и беспощадный.
Автор: diman1982
Дата сообщения: 03.10.2014 12:05
Работаем через world client.
Сейчас весь входящий спам(всех юзеров) валится в одну общую папку Общие\bayesian learning\spam.
Как сделать, чтобы спам каждого юзера помещался в личную папку данного юзера?
(то есть чтобы юзер видел только свой спам)

Также нужно, чтобы при нажатии на кнопку "это спам" письма также падали в личную папку юзера(сейчас - в Общие\bayesian learning\spam)
Автор: qxaszw12
Дата сообщения: 03.10.2014 15:30
diman1982

Цитата:
Как сделать, чтобы спам каждого юзера помещался в личную папку данного юзера?


Для 11-ой версии (других просто нет под рукой) это делается так -
Безопасность - Фильтр спама - Панель "Что делать со спамом"
Нужно выбрать - "Пометить как спам, но продолжить доставку"

Больше ни чего делать не нужно. Спам будет попадать и пользователю и в папку для обучения.
Автор: UNDRION
Дата сообщения: 07.10.2014 12:35
Добрый день.
проблема отправки почты на gmail (Waiting for socket connection...Winsock Error 10060)
MDaemon 13.0.4 на win server 2003
логи SMTP out:
Tue 2014-10-07 00:09:53: * Subject: Re: =?koi8-r?B?9MXT1A==?=
Tue 2014-10-07 00:09:53: * Size (bytes): 2646
Tue 2014-10-07 00:09:53: * Message-ID: <WC20141006200919.03000F@prom-market.com.ua>
Tue 2014-10-07 00:09:53: Attempting SMTP connection to [gmail.com]
Tue 2014-10-07 00:09:53: Resolving MX records for [gmail.com] (DNS Server: 194.0.89.244)...
Tue 2014-10-07 00:09:53: * P=005 S=001 D=gmail.com TTL=(43) MX=[gmail-smtp-in.l.google.com]
Tue 2014-10-07 00:09:53: * P=010 S=002 D=gmail.com TTL=(43) MX=[alt1.gmail-smtp-in.l.google.com]
Tue 2014-10-07 00:09:53: * P=020 S=003 D=gmail.com TTL=(43) MX=[alt2.gmail-smtp-in.l.google.com]
Tue 2014-10-07 00:09:53: * P=030 S=004 D=gmail.com TTL=(43) MX=[alt3.gmail-smtp-in.l.google.com]
Tue 2014-10-07 00:09:53: * P=040 S=000 D=gmail.com TTL=(43) MX=[alt4.gmail-smtp-in.l.google.com]
Tue 2014-10-07 00:09:53: Attempting SMTP connection to [gmail-smtp-in.l.google.com:25]
Tue 2014-10-07 00:09:53: Resolving A record for [gmail-smtp-in.l.google.com] (DNS Server: 194.0.89.244)...
Tue 2014-10-07 00:09:53: * D=gmail-smtp-in.l.google.com TTL=(5) A=[74.125.143.27]
Tue 2014-10-07 00:09:53: Attempting SMTP connection to [74.125.143.27:25]
Tue 2014-10-07 00:09:53: Waiting for socket connection...
Tue 2014-10-07 00:10:14: * Winsock Error 10060
Tue 2014-10-07 00:10:14: * 74.125.143.27 added to connection failure cache for 5 minutes
Tue 2014-10-07 00:10:14: Attempting SMTP connection to [alt1.gmail-smtp-in.l.google.com:25]
Tue 2014-10-07 00:10:14: Resolving A record for [alt1.gmail-smtp-in.l.google.com] (DNS Server: 194.0.89.244)...
Tue 2014-10-07 00:10:14: * D=alt1.gmail-smtp-in.l.google.com TTL=(4) A=[173.194.77.26]
Tue 2014-10-07 00:10:14: Attempting SMTP connection to [173.194.77.26:25]
Tue 2014-10-07 00:10:14: Waiting for socket connection...
Tue 2014-10-07 00:10:35: * Winsock Error 10060
Tue 2014-10-07 00:10:35: * 173.194.77.26 added to connection failure cache for 5 minutes
Tue 2014-10-07 00:10:35: Attempting SMTP connection to [alt2.gmail-smtp-in.l.google.com:25]
Tue 2014-10-07 00:10:35: Resolving A record for [alt2.gmail-smtp-in.l.google.com] (DNS Server: 194.0.89.244)...
Tue 2014-10-07 00:10:35: * D=alt2.gmail-smtp-in.l.google.com TTL=(2) A=[74.125.193.27]
Tue 2014-10-07 00:10:35: Attempting SMTP connection to [74.125.193.27:25]
Tue 2014-10-07 00:10:35: Waiting for socket connection...
Tue 2014-10-07 00:10:56: * Winsock Error 10060
Tue 2014-10-07 00:10:56: * 74.125.193.27 added to connection failure cache for 5 minutes
Tue 2014-10-07 00:10:56: Attempting SMTP connection to [alt3.gmail-smtp-in.l.google.com:25]
Tue 2014-10-07 00:10:56: Resolving A record for [alt3.gmail-smtp-in.l.google.com] (DNS Server: 194.0.89.244)...
Tue 2014-10-07 00:10:56: * D=alt3.gmail-smtp-in.l.google.com TTL=(4) A=[74.125.196.27]
Tue 2014-10-07 00:10:56: Attempting SMTP connection to [74.125.196.27:25]
Tue 2014-10-07 00:10:56: Waiting for socket connection...
Tue 2014-10-07 00:11:17: * Winsock Error 10060
Tue 2014-10-07 00:11:17: * 74.125.196.27 added to connection failure cache for 5 minutes
Tue 2014-10-07 00:11:17: Attempting SMTP connection to [alt4.gmail-smtp-in.l.google.com:25]
Tue 2014-10-07 00:11:17: Resolving A record for [alt4.gmail-smtp-in.l.google.com] (DNS Server: 194.0.89.244)...
Tue 2014-10-07 00:11:17: * D=alt4.gmail-smtp-in.l.google.com TTL=(4) A=[173.194.76.26]
Tue 2014-10-07 00:11:17: Attempting SMTP connection to [173.194.76.26:25]
Tue 2014-10-07 00:11:17: Waiting for socket connection...
Tue 2014-10-07 00:11:38: * Winsock Error 10060
Tue 2014-10-07 00:11:38: * 173.194.76.26 added to connection failure cache for 5 minutes
Tue 2014-10-07 00:11:38: Возраст этого сообщения равен 62 минутам; осталось 0 минут его нахождения в этой очереди
Tue 2014-10-07 00:11:38: Срок пребывания в удаленной очереди истек; сообщение перемещено в очередь повторных попыток

пробовал подключаться телнетом ко всем smtp-серверам gmail - не подключается.
при этом на другие почтовики почта уходит и подключается телнет.
пинг на smtp сервера gmail проходит.
почта с gmail так же приходит.
домен: prom-market.com.ua. - сайт с ip 80.91.189.5
в нем MX на свой почтовый сервер mail.prom-market.com.ua c белым ip 176.100.14.56
ptr записи на почтовый сервер прописан.
прописан spf "v=spf1 mx ip4:176.100.14.56 a:mail.prom-market.com.ua ~all"

на сервере так же установлен Kerio. может в нем проблема....
хотя с этом случае не мог бы подключиться к другим почтовым серверам. kerio отключить не могу - он раздает инет на локалку. 25 порт открыт точно.
на спам серверах проверка проходит.

может быть проблема в том, что сайт и почта висят на разных ip?
Автор: vlary
Дата сообщения: 07.10.2014 13:11
UNDRION
Цитата:
на сервере так же установлен Kerio. может в нем проблема....
Скорее всего - да. Проверяй настройки.
Автор: qxaszw12
Дата сообщения: 07.10.2014 14:39
UNDRION

Цитата:
проблема отправки почты на gmail


Опять проблемы с gmail'лом.
Мне кажется, что по глючности это второй почтовый сервис после mail'а.

Я бы посоветовал ещё проверить свой адрес в их черном списке.
В основном косяки с ними растут оттуда.
Автор: vlary
Дата сообщения: 07.10.2014 15:17
qxaszw12
Цитата:
В основном косяки с ними растут оттуда
Не в этом случае. В данной ситуации ключевые слова эти:
Цитата:
Tue 2014-10-07 00:10:14: Attempting SMTP connection to [173.194.77.26:25]
 Tue 2014-10-07 00:10:14: Waiting for socket connection...
 Tue 2014-10-07 00:10:35: *  Winsock Error 10060
 Tue 2014-10-07 00:10:35: *  173.194.77.26 added to connection failure cache for 5 minutes
При всей своей злобе gmail не блочит входящие подключения.
Цитата:
telnet 173.194.77.26 25
220 mx.google.com ESMTP ux7si30932880obc.105 - gsmtp
Автор: UNDRION
Дата сообщения: 07.10.2014 15:19

Цитата:
на сервере так же установлен Kerio. может в нем проблема....  
Скорее всего - да. Проверяй настройки.

открывал дополнительно 25 порт, не помогло. так же находил в нете сервисы по проверке открытых портов - пишет что открыто.


Цитата:
Я бы посоветовал ещё проверить свой адрес в их черном списке.

проверял уже. та и сервер поднял недавно. А какой конкретно спам-сервис использует gmail никто не знает?
скорее всего напрямую в поддержку gmail писать придется
Автор: vlary
Дата сообщения: 07.10.2014 15:21
UNDRION
Цитата:
А какой конкретно спам-сервис использует gmail никто не знает?  
Да какой еще смам сервис? У тебя почтовик тупо не подключается к их серверу!
Автор: qxaszw12
Дата сообщения: 07.10.2014 15:32
UNDRION

Цитата:
так же находил в нете сервисы по проверке открытых портов - пишет что открыто.


Тогда я бы посоветовал такие действия -
Подключить любой компик напрямую к инету (т.е. исключить Kerio) и телнетом проверить подключение.
Если всё нормально, то искать косяки у себя (скорей всего в Kerio. Да и вообще, что там пишется в логе про подключение к gmail'у), если будет продолжать косячить - пинать провайдера.

Автор: UNDRION
Дата сообщения: 07.10.2014 17:05
кстати, tracert выглядит вот так:

Трассировка маршрута к gmail-smtp-in.l.google.com [64.233.165.27]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 176-100-14-1.pautina.ua [176.100.14.1]
2 <1 мс <1 мс <1 мс flow-world-out.pavutyna.net [195.69.86.2]
3 <1 мс <1 мс <1 мс world.out2.pavutyna.net [194.0.89.237]
4 <1 мс <1 мс <1 мс hyperion.synapse.net.ua [195.69.84.53]
5 37 ms 39 ms 36 ms 64.233.174.173
6 36 ms 36 ms 36 ms 209.85.249.77
7 36 ms 36 ms 36 ms 209.85.247.79
8 * * * Превышен интервал ожидания для запроса.
9 35 ms 35 ms 36 ms 64.233.165.27

Трассировка завершена.
Автор: IvoIcon
Дата сообщения: 07.10.2014 17:36
Подскажите что может быть или куда копать.

Windows Server 2012 R2

MDaemon Server:

SMTP/POP/IMAP server: v13.6.3
WorldClient HTTP server: v13.6.3
WorldClient DLL: v13.6.3
ComAgent client: v13.6.3
Content filter server: v13.6.3
Content filter DLL: v13.6.3
Content filter GUI: v13.0.0

при запуске MDaemon как службу постоянно вываливается

CFENGINE.EXE was not running. It was restarted.

Была ещё ошибка

**** ALERT **** Failed to start process ["C:\APPLIC~1\Mail\MDaemon\APP\CFEngine.exe" Attempting to send message to gateway /h=1245356] as user 'adm' on ''; started as default user instead; (FailPoint: 6, Error: 0/624) [EvProcess]

но потом пропала хотя она меня и натолкнула, что какой-то прикол из-за службы.

Если запустить MDaemon не как службу то всё работает нормально.
Автор: qxaszw12
Дата сообщения: 07.10.2014 21:45
UNDRION

Цитата:
8     *        *        *     Превышен интервал ожидания для запроса.
 
Трассировка завершена.


Ни чего криминального в этом нет.
Просто данный узел не имеет ни малейшего желания отвечать на ICMP запросы. Это абсолютно нормально.


Добавлено:
IvoIcon

Цитата:
Windows Server 2012 R2


Цитата:
при запуске MDaemon как службу постоянно вываливается  
   
CFENGINE.EXE was not running.  It was restarted.  


Отключите DEP и всё без проблем заработает!
Автор: xxxxxxxxxxpp
Дата сообщения: 09.10.2014 23:12
Парни подскажите плизз....

Раз в неделю сваливаюсь в CBL не могу найти виновника торжества, 200 пользователей. релеем не являюсь. Как вычислить спамовую машину?
Автор: qxaszw12
Дата сообщения: 09.10.2014 23:31
xxxxxxxxxxpp

Цитата:
Как вычислить спамовую машину?


Посмотрите и сопоставьте логи SMTP-IN и -OUT. Если какой-то компик подцепил заразу и почта идет через ваш сервер, то это будет очень хорошо видно!
Возможно, что заражённый компик шлёт спам напрямую (устраняется блокировкой 25-го порта для всех кроме почтовых серверов), но я уверен на 99,99% что ваши компики тут не причём и причина попадания в подобные листы известна одному богу.
Я бы просто забил на это и если у кого-то проблемы с приёмом вашей почты, то посоветуйте внести ваши IP-шники в white list.
Автор: xxxxxxxxxxpp
Дата сообщения: 10.10.2014 08:34
Написал в CBL, получил сегодня ответ.......насколько я понял весь косяк у меня заключается в следующем.
прописал имя хоста [91.192.189.186], посмотрим, может поможет.


Note: if you have received messages from us about IPSwitch/IMail before, please note that IPSwitch has finally implemented a workaround.
Please see below. We will no longer be perm-delisting IMail installations unless there's no alternative.

The CBL attempts to detect compromised machines in a number of ways based upon the email that the CBL's mail servers receive.

During this it tries distinguish whether the connections represent real mail servers by ensuring that each connection is claiming a plausible machine name for itself (via SMTP HELO), and not listing any IP that corresponds to a real mail server (or several mail servers if the IP address is a NAT firewall with multiple mail servers behind it).

*************************************************************************************************
91.192.189.186 was found to be using several different EHLO/HELO names during multiple connections on or about:

2014:10:08 ~12:30 UTC+/- 15 minutes (approximately 1 days, 10 hours, 59 minutes ago).

The names seen included:

    club-voa.ru, dmrspb.ru, gidromon.ru, takarafish.ru, vitamintoys.ru

Note that the above list may include one or more names that are not fully qualified DNS names (FQDNs). Host names (ie: Windows node names) without a dot are not FQDNs.

RFC2821 requires that the HELO be either an IP address literal - an IP address surrounded by square brackets (ie: "[1.2.3.4]"), or a FQDN.
*************************************************************************************************

To resolve this you need to identify whether these are real names of your machines. If not:

    - you have an open proxy used for spamming on that IP, or
    - you have a NAT firewall, and one or more machines behind it
    have an open proxy used for spamming.
    - if all of the names above are IP addresses belonging to you
    (without the square brackets) you probably using Blue Squirrel's
    "Spam Sleuth" "Turing" feature. You will need to turn the
    "Turing" feature off until you can get a patched version that
    doesn't do this (identifies itself consistently).

If they are real names, you need to consider whether one or more of these machines are supposed to be sending email to the Internet (this implies that 91.192.189.186 is a NAT firewall.)

If not, one or more machines on your internal network has an open proxy used for spamming.

If these are real names corresponding to real mail servers behind a NAT firewall, we strongly suggest that you configure your machines to have consistent fully qualified domain names, like:

    mail01.<your domain>, mail02.<your domain>

This is usually done by setting the machine's node name to be one of the above, but sometimes it's a configuration parameter for the mail server.

The final possibility is that 91.192.189.186 is not a NAT firewall, and is instead a single box with many domains provisioned on it, some that send email directly, setting the HELO as the sending domain. If this is the case, to prevent a relisting we strongly recommend setting the mail software on the box so that a single identifying name is used in
outbound SMTP connections. As an alternate workaround, you can
configure the mail software to relay its outbound email through an intermediate mail server. Even a co-resident mail server package (such as IIS on Windows) will do fine.

Note: If you are running CPanel, this problem could be caused by CPanel bug #59785, whereby CPanel is unable to send emails associated with the virtual IP address assigned to the sender domain. In other words, CPanel (via exim most likely) is failing to bind to the sender domain's IP address before sending. You will want to turn this feature off until the bug is fixed. This "failure to bind" is the root cause of similar problems with older versions of IMail. This is apparently, in the case of CPanel, fixable in the Exim configuration, but we don't know the details, and CPanel may well clobber such changes next time you patch or upgrade.

Note: there is a fairly common belief that the HELO has to match the
From: line, otherwise mail server spam filtering will block it. This is mistaken. If it were true, large scale email hosting environments (such as Google, godaddy or mail.com/1and1 etc) would be unable to function.

If 91.192.189.186 is a NAT firewall, we STRONGLY recommend that you configure it to prevent machines (except your real mail
servers) on your local network connecting to the Internet on port 25 (SMTP/email). In this way you can contain any insecure machines (either by open proxy/spam trojan or emailing worm like Netsky) from attacking others on the Internet.

If you are running Ipswitch Imail, GMS, Dmail, Ensim, WorkGroupMail or this is part of BellSouth Shared Hosting please let us know, AND, also let us know if all the names we've listed above are legitimate customers or "co-customers" (if you know).

These days, we only see this problem with old unpatched copies of Ensim or older IMail (mostly IMail 8). However, we've seen it once or twice with Imail 10 and 11. Note the difference between IMail 8/9 and IMail 10/11 below.

If you are running Ensim, see http://forum.ensim.com/showthread.php?p=68868
This contains a workaround that you can apply which will be deployed officially as a patch in the near future.

For IPswitch IMail, the issue arises when you have multiple domains using different IPs for the domains hosted on the machine.

With IMail this is only an issue with the CBL when you use different IPs for the hosted domains. This appears to now be a deprecated configuration. Secondly, ONLY the primary IP gets listed, never the per-domain alias IPs.

In Imail 8 and 9 (aka 2006.1 we think), the issue is that even if you have different IPs for your customer domains, _sending_ email always comes from the primary IP address, yet it uses the domains as HELO values. Hence, the IP doesn't seem to make up its mind who it is.

Imail 10 and 11 appear to be able to send email from the different IPs without difficulty, the problem arises with an anti-spam feature called "sender address verification" (SAV - Imail appears to call it "RCPT validation".) using different HELOs on the same outbound
(primary) IP.

Imail 8: The very last version of Imail 8 (8.23 we believe)
     apparently has a straightforward option (something like
     "turn off HELO spoofing") to prevent this problem.
Imail 9: Has a similar option.
Imail 10/11: Normal email sending gets the HELO right, instead
SAV probes have the Imail 8/9 problem. Contact IPSwitch
     about turning SAV off. SAV is a bad idea in the first
     place, so it should be turned off whether or not it
     works "correctly".

If you're running Netwin Dmail, be aware that all support/development has ceased, and you should upgrade to Netwin's Surgemail package.

If you are running Surgemail, make sure that you have set your HELO value to a specific value (ie: your server's official DNS name), rather than letting Surgemail guess. This appears to be via the "send_helo" and "g_send_helo" parameters.

If you are running Fortimail, the setting is found under: Mail Settings -> Domains -> Edit Domain -> Advanced Settings -> SMTP greeting -> check "Use system host name"

The default setting is set to "Use this domain name", which will cause the problems we've detected.


I've removed the entry from the list and inhibited redetections for the next 3 days.

It may take a few hours to propagate to the public nameservers. The CBL will relist the IP if it detects the same thing again after 3 days from now.



--
Murray, CBL Team
Автор: vlary
Дата сообщения: 10.10.2014 10:19
xxxxxxxxxxpp
Цитата:
The names seen included:
    club-voa.ru, dmrspb.ru, gidromon.ru, takarafish.ru, vitamintoys.ru
И что, ваш почтовик действительно рассылает почту с адресами этих доменов?
Автор: qxaszw12
Дата сообщения: 10.10.2014 11:04
xxxxxxxxxxpp


Цитата:
Раз в неделю сваливаюсь в CBL не могу найти виновника торжества


Ещё раз рекомендую не связываться со всякими black-list'ами.
Это бесполезная трата времени, которая будет длиться бесконечно.

Автор: ipmanyak
Дата сообщения: 10.10.2014 11:28
xxxxxxxxxxpp Поскольку CBL говорит, что
Цитата:
91.192.189.186 was found to be using several different EHLO/HELO names during multiple connections
имхо это ключевая фраза! Mdaemon не может пихать разные HELO/EHLO значит Mdaemon не причем. У вас скорее всего рабочие станции или какие-то избранные ходят в инет через NAT, и кто-то из них поймал SMTP трояна. Короче на фаере/рутере снифирите или логируйте, кто шлет по 25 порту кроме 91.192.189.186. Как найдете заразу - Закройте на фаере доступ по 25 порту наружу всем кроме вашего почтового сервера или сразу закройте. Ну и сам сервер проверьте, возможно в нем самом троян поселился и шлет спам напрямую мимо Mdaemon.

Автор: a1ternative
Дата сообщения: 10.10.2014 14:26
Добрый день. Установили лицензионный Outlook Connector 2.3.3, офис 2013, Версия mdaemon (лицензия) v13.6.2. Появились следующие проблемы:
1. В настройках OC иероглифы см. скрин http://s004.radikal.ru/i207/1410/ff/a82bceb4324b.png
2. Сообщения иногда от сотрудников приходят в виде иероглифов см скрин http://i072.radikal.ru/1410/64/95602bc5d668.png , но приходит так когда пересылают сообщение.
3. Просто приходят пустые сообщения(пустые и на сервере и в клиенте), но это замечено в оутлуке, в котором стоит правила на сообщение (тоесть сообщения,которые пришли от Ивановой должны быть перемещены в папку Иванова)

При работае с POP3 таких ошибок не было. Подскажите, где копать?

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175

Предыдущая тема: RDP-клиент не видит разрыв связи.

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.