[Postfixbuch-users] policyd-weight-Problem FROM/MX_MATCHES_NOT_HELO
Erhard Gruber
e.gruber at pi-linz.ac.at
Sa Okt 13 19:30:16 CEST 2007
Hallo,
Robert Felber schrieb:
> On Fri, Oct 12, 2007 at 09:10:26PM +0200, Erhard Gruber wrote:
>> danke für den Hinweis, das ist mir jetzt klar. Es gibt aber auch ähnliche Probleme mit real IPs:
>>
>> Oct 7 05:03:26 mail postfix/smtpd[20075]: connect from mailbackup.inode.at[213.229.60.24]
>> Oct 7 05:03:26 mail postfix/policyd-weight[27301]: weighted check: NOT_IN_ZEN_SPAMHAUS=-1.5
>> NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 BOGUS_MX=2.1 CL_IP_EQ_HELO_IP=-2 (check from: .pi-linz. -
>> helo: .mailbackup.inode. - helo-domain: .inode.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=5.41
>> <client=213.229.60.24> <helo=mailbackup.inode.at> <from=xxx at pi-linz.ac.at> <to=yyy at pi-linz.ac.at>,
>> rate: 1.01
>> Oct 7 05:03:26 mail postfix/policyd-weight[27301]: decided action=450 Mail appeared to be SPAM or
>> forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from
>> DNSBLs; delay: 0s
>> Oct 7 05:03:26 mail postfix/smtpd[20075]: NOQUEUE: reject: RCPT from
>> mailbackup.inode.at[213.229.60.24]: 450 <yyy at pi-linz.ac.at>: Recipient address rejected: Mail
>> appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings
>> or to get removed from DNSBLs; from=<xxx at pi-linz.ac.at> to=<yyy at pi-linz.ac.at> proto=ESMTP
>> helo=<mailbackup.inode.at>
>> Oct 7 05:03:26 mail postfix/smtpd[20075]: disconnect from mailbackup.inode.at[213.229.60.24]
>>
>> Kollege xxx schickt von zuhause (=Provider inode) eine mail an yyy at pi-linz.ac.at und hat aber als
>> email-Absender auch bei sich zuhause @pi-linz.ac.at eingetragen, weil er möchte, dass Antworten
>> dorthin gehen.
>>
>> Soll ich auch hier die clients über check_client_access ausnehmen?
>
> Welche Version benutzt du (/path/to/policyd-weight -v)?
>
policyd-weight bei uns (pi-linz):
mail:~ # /usr/local/bin/policyd-weight -v
policyd-weight version: 0.1.14 beta-5, CacheVer: 5
Perl version: 5.008003
Net::DNS version: 0.46
OS: Linux 2.6.5-7.252-default
> Welche MX IP Adressen zu pi-linz.ac.at liefert der host, auf dem polw laeuft?
> Solltest du split horizon DNS haben, sprich, ihr
> liefert an interne DNS queries andere Ergebnisse als an externe, dann, hm,
> bin ich momentan etwas ueberfragt.
ja wir haben intern andere IPs als extern.
Intern:
mail:~ # dig @10.18.190.11 pi-linz.ac.at MX
; <<>> DiG 9.2.3 <<>> @10.18.190.11 pi-linz.ac.at MX
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6589
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2
;; QUESTION SECTION:
;pi-linz.ac.at. IN MX
;; ANSWER SECTION:
pi-linz.ac.at. 3600 IN MX 10 mail.pi-linz.ac.at.
;; AUTHORITY SECTION:
pi-linz.ac.at. 3600 IN NS pi-nw1.pi-linz.ac.at.
pi-linz.ac.at. 3600 IN NS mail.pi-linz.ac.at.
;; ADDITIONAL SECTION:
mail.pi-linz.ac.at. 3600 IN A 10.18.190.11
pi-nw1.pi-linz.ac.at. 3600 IN A 10.18.190.13
;; Query time: 6 msec
;; SERVER: 10.18.190.11#53(10.18.190.11)
;; WHEN: Sat Oct 13 11:14:38 2007
;; MSG SIZE rcvd: 119
; ---------------------------
Extern:
mail:~ # dig @212.33.55.5 pi-linz.ac.at MX
; <<>> DiG 9.2.3 <<>> @212.33.55.5 pi-linz.ac.at MX
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; QUESTION SECTION:
;pi-linz.ac.at. IN MX
;; ANSWER SECTION:
pi-linz.ac.at. 86400 IN MX 10 mail.pi-linz.ac.at.
;; AUTHORITY SECTION:
pi-linz.ac.at. 18986 IN NS ns0.asn-wien.ac.at.
pi-linz.ac.at. 18986 IN NS gatekeeper.asn-linz.ac.at.
;; ADDITIONAL SECTION:
mail.pi-linz.ac.at. 86400 IN A 193.170.68.47
ns0.asn-wien.ac.at. 16470 IN A 193.170.115.34
gatekeeper.asn-linz.ac.at. 7008 IN A 193.170.68.253
;; Query time: 23 msec
;; SERVER: 212.33.55.5#53(212.33.55.5)
;; WHEN: Sat Oct 13 11:15:35 2007
;; MSG SIZE rcvd: 161
viele Grüße
Erhard Gruber
(die einzige moeglichkeit die ich ad-hoc
> sehe: dedizierten policy server aufsetzen mit recusiven DNS und die IP des
> policy servers irgendwie vom split horizon ausschliessen).
>
>
> Denn, ich bin etwas verwundert:
>
> echo "helo_name=mailbackup.inode.at sender=xxx at pi-linz.ac.at
> client_address=213.229.60.24
> request=smtpd_access_policy
> " | /path/to/policyd-weight-0.1.14.5/policyd-weight -d
>
> 23:57:11 info: decided action=PREPEND X-policyd-weight: using builtin defaults due to config-error NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .pi-linz. - helo: .mailbackup.inode. - helo-domain: .inode.) FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1 <client=213.229.60.24> <helo=mailbackup.inode.at> <from=xxx at pi-linz.ac.at> <to=> <helo_ips: 193.170.68.47 213.229.60.24>, rate: -5.5; delay: 0s
>
>
> Selbes Ergebnis bei 0.1.14
>
>
>
--
;--------------------------------------------------------------
D.I. Erhard Gruber phone: +43-732-7470-2210
Pädagogische Hochschule OÖ
Kaplanhofstr. 40
A-4020 LINZ email: erhard.gruber at ph-ooe.at
AUSTRIA www: http://www.ph-ooe.at
Mehr Informationen über die Mailingliste Postfixbuch-users