перенос почтового домена, страности.

darin06

Переношу почтовый домен. Развернута почтовая система (postfix+dovecot, freebsd). На момент тестирования (и последующей работы во время обновления dns записей ) почта принимается с текущего сервера с помощью fetchmail. Странность заключается в следуещем. При обработке почты fetchmail'ом мой mta пытается доставить почту на левые адреса, т.е. работать релеем, для почты полученой с локалхоста (почта пренесена fetchmail'ом). Например:

Jun 26 00:00:20 gate postfix/smtpd[5947]: BBB63566BF: client=localhost[127.0.0.1]

Jun 26 00:00:20 gate postfix/cleanup[6533]: BBB63566BF: message-id=<SSjUmymailserver>

Jun 26 00:00:20 gate postfix/qmgr[57349]: BBB63566BF: from=<>, size=5111, nrcpt=1 (queue active)

Jun 26 00:00:32 gate postfix/smtp[7284]: BBB63566BF: to=<post.ru>,

relay=cas.corbina.net[83.102.180.2]:25, delay=12, 

delays=0.01/0/1.9/10, dsn=5.1.1, 

status=bounced (host cas.corbina.net[83.102.180.2] said:

 550 5.1.1 <post.ru>: Recipient address rejected: undeliverable address: host mail.post.ru[195.14.50.16] 

said: 550 post.ru unknown user account 

(in reply to RCPT TO command) (in reply to RCPT TO command

Jun 26 00:00:32 gate postfix/qmgr[57349]: BBB63566BF: removed

То, что это приходит с почтового ящика который я фетчу сомнений не было. Решил в этом убедиться. Нашел в спуле письмо, которое получило ответ 450 (на серевере назначения включен greylisting почитал его Recived историю, до того как оно попало ко мне.

0Received: from pop3.maverick.r

u [82.179.222.254]N.  by gate.solist.ru with POP3 (fetchmail-6.3.8)NQ for <mymailserver> (single-drop); Wed, 25 Jun 2008 23:47:24 +0

400 (MSD)N/Received: from up-mailserver ([unix socket])N1      by up-mailserver (Cyrus v2.2.12) with LMTPA;N!       Tue, 15 Jan 2008 13

:04:27 +0300N^VX-Sieve: CMU Sieve 2.2NFReceived: from tpnet.pl (chb207.neoplus.adsl.tpnet.pl [83.30.255.207])NA     by up-mailserver (8.13

.4/8.13.4) with SMTP id m0FA4Jn5040752;N&      Tue, 15 Jan 2008 13:04:20 +0300 (MSK)N# (envelope-from tpnet.pl)N5Message-ID: <04810

1c736dc$d3b41940$tpnet.pl>N\From: =?koi8-r?B?88XNxc4gXCDjxc7U0iDTLUycbJy8HDyckgIufP09T0PUIg==?= <tpnet.pl>N6To: =?koi8

-r?B?5dfHxc7Jyg==?= <rwup-mailserver-domain>N9Subject: ***SPAM***

Соответсвенно <rwup-mailserver-domain> - rwcqrdnqafns - не существующий пользователь! Вот что я не могу осилить, так как это письмо попало в ящик валидного пользователя.
Более того, анализ почты приходящей на ящик info обнаружил в нем кучу писем пришедших на несуществующие адреса, и в maillog up-mailserver полно записей с отлупами при попытке доставить почту до несуществующих пользователей моего домена.
На вышестоящем сервере твориться бардак - это факт (там например, открыт релей для каких то непонятныз подсетей). Но как такое получается я хз.
И соответсвенно вопрос, как ограничить мой mta от попыток доставить такую почту?

tokuchu

Ты её пересылаешь в том направлении, что написано в заголовке "To:"? Там спамеры говно всякое пишут. Настоящие реципиент почтовому серверу говорится перед сообщением.

darin06

Ну вот я и сам не понимаю откуда они такие беруться, естественно и судя по verbose логам fetchmail-а RCPT TO: указывается из .fetchmailrc, и соответсвенно это нормальный пользователь на котором я систему тестю.

darin06

ну отцы, подскажите что-нибудь )

tokuchu

Напиши подробнее, с примерами. А то сумбурно как-то. Лень сейчас телепатией заниматься.

darin06

Попробую. Запланирован перенос почтового домена. Развернута собственная почтовая система. Пока переносят dns записи, я тестирую систему доставляя почту из ящиков вышестоящего почтового сервера своему MTA (postfix) с помощью fetchmail.
При обработке почтовой очереди почты, доставленной fetchmail-ом в логах MTA возникают записи о попытках пересылки левых писем с моего локалхоста на внешние ящики.
Соответсвенно я не могу понять откуда они такие берутся.
Делаю предположение, о том, что их приносит fetchmail (хотя в вербосе логах его смтп сессия имеет RCPT TO указаный в конфиге). Вылавливаю письмо, которое осталось в очереди (получило ответ 450). Смотрю путь его доставки. Вижу что, на почтовом сервере, откуда я забираю почту, оно было доставленно в совершенно другой почтовый ящик (не тот с которого я указал забирать fetchmail-у и более того этот ящик не существует.
Кроме этого, в логах сервера с которого забирается почта, полно записей о письмах приходящих на несуществующие ящики моего домена, и отказ в их обработке.

tokuchu

Вылавливаю письмо, которое осталось в очереди (получило ответ 450). Смотрю путь его доставки. Вижу что, на почтовом сервере, откуда я забираю почту, оно было доставленно в совершенно другой почтовый ящик (не тот с которого я указал забирать fetchmail-у и более того этот ящик не существует.

Полный заголовок письма можно?

darin06

Ура, я кажется понял. То, что я принял за попытку пересылки спама, как я понимаю, оказалось попыткой моего Postfix-а доставить сообщение спамерам о том, что письмо недоставлено. Понял это пока приводил к человечском виду, то что вытащил из spool.

create_time=1214424003

rewrite_context=local

envelope_id=AM..200806$mymailserver

log_client_name=localhost

log_client_address=127.0.0.1

log_client_port=59159

log_message_origin=localhost[127.0.0.1]

log_helo_name=localhost

log_protocol_name=ESMTP

client_name=localhost

reverse_client_name=localhost

client_address=127.0.0.1

client_port=59159

helo_name=localhost

client_address_type=2

dsn_orig_rcpt=rfc822

tpnet.pl

tpnet.pl

tpnet.pl

Received: from localhost (localhost [127.0.0.1]) 

by $mymailserver (Postfix) with ESMTP id 81244566B4

for <tpnet.pl>; 

Thu, 26 Jun 2008 00:00:03 +0400 (MSD)

<Content-Type: multipart/report; report-type=delivery-status;

boundary="----------=_1214424003-7148-7"

Content-Transfer-Encoding: 7bit

MIME-Version: 1.0

Subject: Considered UNSOLICITED BULK EMAIL, apparently from you

In-Reply-To: <048101c736dc$d3b41940$tpnet.pl>

Message-ID: <SSC82BsZ98FR+$mymailserver>

From: "Content-filter at $mymailserver" <$mymailserver>

To: <tpnet.pl>

Date: Wed, 25 Jun 2008 23:59:57 +0400 (MSD).

This is a multi-part message in MIME format...

------------=_1214424003-7148-7

Content-Type: text/plain; 

charset="iso-8859-1"

NESCContent-Disposition: inline

Content-Transfer-Encoding: 7bit

A message from <tpnet.pl> to:-> $mymailserver

N-was considered unsolicited bulk e-mail (UBE).

Our internal reference code for your message is 07148-02-32/C82BsZ98FR

The message carried your return address, so it was either a genuine mail

from you, or a sender address was faked and your e-mail address abused by third party, 

in which case we apologize for undesired notification.

We do try to minimize backscatter for more prominent cases of UBE and

for infected mail, but for less obvious cases of UBE some balance

between losing genuine mail and sending undesired backscatter is sought,

and there can be some collateral damage on both sides.:

First upstream SMTP client IP address: [127.0.0.1] unknown

According to a 'Received:' trace, the message originated at: [83.30.255.207],

tpnet.pl (chb207.neoplus.adsl.tpnet.pl [83.30.255.207])

Return-Path: <tpnet.pl>

Message-ID: <048101c736dc$d3b41940$tpnet.pl>

Subject: ***SPAM*** =?koi8-r?B?48XO1NIg08XS1MnGycvBw8nJ?=

Delivery of the email was stopped!

------------=_1214424003-7148-7N8Content-Type: message/delivery-status; 

name="dsn_status"

Content-Disposition: inline; 

filename="dsn_status"

Content-Transfer-Encoding: 7bit

Content-Description: Delivery error report

Reporting-MTA: dns; $mymailserver

Received-From-MTA: smtp; $mymailserver ([127.0.0.1])

Arrival-Date: Wed, 25 Jun 2008 23:59:57 +0400 (MSD)

Original-Recipient: rfc822;$mymailserver

Final-Recipient: rfc822; $mymailserver

Action: failed

Status: 5.7.0

Diagnostic-Code: smtp; 554 5.7.0 Reject, 

id=07148-02-32 - SPAM

Last-Attempt-Date: Wed, 25 Jun 2008 23:59:57 +0400 (MSD)

Final-Log-ID: 07148-02-32/C82BsZ98FR+T

------------=_1214424003-7148-7N0Content-Type: text/rfc822-headers; name="header"

Content-Disposition: inline; filename="header"

Content-Transfer-Encoding: 7bit

Content-Description: Message headers

Return-Path: <tpnet.pl>

Received: from $mymailserver (unknown [127.0.0.1]) by 

$mymailserver (Postfix) with ESMTP id 6936B567D6NC  for <$mymailserver>; 

Wed, 25 Jun 2008 23:47:24 +0400 (MSD)

Received: from pop3.maverick.ru [82.179.222.254] by $mymailserver with POP3 (fetchmail-6.3.8)

for <$mymailserver> (single-drop); 

Wed, 25 Jun 2008 23:47:24 +0400 (MSD)

Received: from $upmailserver ([unix socket]) by $upmailserver (Cyrus v2.2.12) with LMTPA;

Tue, 15 Jan 2008 13:04:27 +0300

X-Sieve: CMU Sieve 2.2

Received: from tpnet.pl (chb207.neoplus.adsl.tpnet.pl [83.30.255.207])

by $upmailserver (8.13.4/8.13.4) with SMTP id m0FA4Jn5040752;

Tue, 15 Jan 2008 13:04:20 +0300 (MSK)

(envelope-from tpnet.pl)

Message-ID: <048101c736dc$d3b41940$tpnet.pl>

From: =?koi8-r?B?88XNxc4gXCDjxc7U0iDTLUycbJy8HDyckgIufP09T0PUIg==?= <tpnet.pl>

To: =?koi8-r?B?5dfHxc7Jyg==?= <rwMYMAILDOMAIN>

Subject: ***SPAM*** =?koi8-r?B?48XO1NIg08XS1MnGycvBw8nJ?=

Date: Tue, 15 Jan 2008 12:58:35 +0300

Mime-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0071_01Q6Q3E5.YW5Q36XF

MX-Priority: 1

X-MSMail-Priority: High

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

X-Spam-Flag: YESNNX-Spam-Status: Yes, score=8.5 required=6.0 tests=BAYES_99,

FORGED_OUTLOOK_TAGS,

HTML_FONT_BIG,HTML_FONT_INVISIBLE,

HTML_MESSAGE,

HTML_SHOUTING3,

MIME_BOUND_NEXTPART,

MIME_QP_LONG_LINE,

MSGID_OUTLOOK_INVALID,

RCVD_IN_SORBS_DUL autolearn=no 

version=3.0.4

X-Spam-Report: 

darin06

зы. не то, что бы сам postfix, а скорее amavis-new.

tokuchu

Рад за тебя.