Hallo zusammen,

werden die Abfragen für Blacklisten gecached ? Unter Postfix gibt es ja z.B. den Eintrag "reject_rbl_client zen.spamhaus.org". Werden diese in Echtzeit immer erneut abgefragt oder was sind die Default TTL Werte ?

Unter MxToolbox mit 105 Blacklisten stand mein Mailserver bei Protected Sky auf Blacklist, dass Problem wurde sofort behoben und der Server wurde von der Blackliste entfernt.

10 Stunden später sind immer noch Mails in der Queue mit "Your access to this mail system has been rejected due to the sending MTA's poor reputation"
Hat jemand Erfahrung wie lange das dauert ?

Alternativ habe ich 2 identische PTR Einträge. Der Mailserver sendet per Default von IP A. Wenn ich jetzt dem Postfix sage, er soll per smtp_bind_adress die IP B nehmen wo der identische PTR EIntrag vorhanden ist, würde er doch alle Mails in der Queue sofort zustellen, da die IP nicht Blacklistet ist.
Jemand da schon mal Erfahrungen gesammelt ?

Danke und Gruß
Matthias

Hi Mathew,

ich hatte das Problem auch schon ab und an.

Meine Erfahrungen:


Es gibt sehr viele Blacklistenbetrieber, nicht immer ist klar, wer überhaupt im Hintergrund eines eingesetzten Anti-Spam-Produktes der Spamlistenbetreiber ist.
Die Reaktionszeit und -art ist sehr unterschiedlich. Von: Beim ersten Mal geht's noch automatisch bis zu Zahl erst mal was, bevor sich überhaupt jemand von uns damit beschäftigt. Manche Einträge fliegen gar nicht raus.
smtp_bind_address ist immer der schnellste Behelf
Evtl. auch noch eine iptables SNAT-Regel auf SPort 25, damit garantiert keine Mail mehr mit der gelisteten Adresse mehr rausgeht.


Grundsätzlich kann ich da nur empfehlen Vorsorge zu treffen. Bei mir läuft da mittlerweile folgendes:


Softwareupdates sind eh klar
Monitoring der SMTP-Versandadressen. Bei den 8 grossen Listenbetreibern alle 30 Minuten. Bei allen mir bekannten ca. 240 Listen einmal am Tag.
fail2ban für E-Mail(POP3/IMAP/SMTP)
fail2ban für Angriffsflächen eingesetzter CMS(Wordpress,Typo3: POST-Requests limitieren, ebenso Zugriffe auf API/XMLRPC/..-Schnittstellen, Fehlgeschlagene Logins)
Anzahl versendeter Mails überwachen um Unregelmässigkeiten zu erkennen.
tägliche Statistikauswertung mit pflogsumm. Damit sehe ich wie die Top-Versender und -Empfänger. Sowohl für Adressen als auch für Domains.

Hi Fork,

danke für Deine ausführliche Antwort. Aus den Blacklisten bin ich schnell gekommen, leider bei vielen genutzten Mailservern irgendwie nicht was laut Recherchen auch mal 3 - 5 Tage dauern kann.
Habe nun eine andere feste IP genommen was die einzige wirkliche Lösung war.

Ein Mailkonto aus der Türkei hat mir den Ärger eingebrockt, wohl Virus oder so wo ich kein Einfluss habe. Hab bisher kein Filter oder ähnliches für Auth-Benutzer gehabt, hat sich natürlich ab gestern spontan geändert. ;-)

Zudem ein paar cronjobs die bestimmte Sachen prüfen und mich dann per Mail informieren. Ich muss gestehen das ich die postqueue nicht überwacht habe (jetzt mit einem bash-Script schon). Da hätte ich das Problem nämlich frühzeitig erkannt und noch reagieren können.

Also, nochmal vielen Dank für die lange Antwort.

Gruß
Matthias

Ich muss gestehen das ich die postqueue nicht überwacht habe

Die postqueue ist vielleicht auch nicht unbedingt das was man überwachen will, wenn gleich das natürlich schon mal hilft. Viele Mailserver haben ein RateLimiting drin und lehnen dann Mail schon mal direkt ab, wenn zu viel kommt. Aber eigentlich möchte man ja nicht das im Auge behalten, was nicht raus geht, sondern die Mengen die abgeschickt werden.

Hier gibt's ein Nagios-Plugin(also ein Shellscript), dass genau das macht:

https://exchange.nagios.org/directory/Plugins/Email-and-Groupware/Postfix/check_postfix_processed/details