[Postfixbuch-users] policyd-weight-Problem FROM/MX_MATCHES_NOT_HELO

Erhard Gruber e.gruber at pi-linz.ac.at
Sa Okt 13 19:30:16 CEST 2007


Hallo,

Robert Felber schrieb:
> On Fri, Oct 12, 2007 at 09:10:26PM +0200, Erhard Gruber wrote:
>> danke für den Hinweis, das ist mir jetzt klar. Es gibt aber auch ähnliche Probleme mit real IPs:
>>
>> Oct  7 05:03:26 mail postfix/smtpd[20075]: connect from mailbackup.inode.at[213.229.60.24]
>> Oct  7 05:03:26 mail postfix/policyd-weight[27301]: weighted check:  NOT_IN_ZEN_SPAMHAUS=-1.5 
>> NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 BOGUS_MX=2.1 CL_IP_EQ_HELO_IP=-2 (check from: .pi-linz. - 
>> helo: .mailbackup.inode. - helo-domain: .inode.)  FROM/MX_MATCHES_NOT_HELO(DOMAIN)=5.41 
>> <client=213.229.60.24> <helo=mailbackup.inode.at> <from=xxx at pi-linz.ac.at> <to=yyy at pi-linz.ac.at>, 
>> rate: 1.01
>> Oct  7 05:03:26 mail postfix/policyd-weight[27301]: decided action=450  Mail appeared to be SPAM or 
>> forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from 
>> DNSBLs; delay: 0s
>> Oct  7 05:03:26 mail postfix/smtpd[20075]: NOQUEUE: reject: RCPT from 
>> mailbackup.inode.at[213.229.60.24]: 450 <yyy at pi-linz.ac.at>: Recipient address rejected: Mail 
>> appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings 
>> or to get removed from DNSBLs; from=<xxx at pi-linz.ac.at> to=<yyy at pi-linz.ac.at> proto=ESMTP 
>> helo=<mailbackup.inode.at>
>> Oct  7 05:03:26 mail postfix/smtpd[20075]: disconnect from mailbackup.inode.at[213.229.60.24]
>>
>> Kollege xxx schickt von zuhause (=Provider inode) eine mail an yyy at pi-linz.ac.at und hat aber als 
>> email-Absender auch bei sich zuhause @pi-linz.ac.at eingetragen, weil er möchte, dass Antworten 
>> dorthin gehen.
>>
>> Soll ich auch hier die clients über check_client_access ausnehmen?
> 
> Welche Version benutzt du (/path/to/policyd-weight -v)?
> 

policyd-weight bei uns (pi-linz):

mail:~ # /usr/local/bin/policyd-weight -v
policyd-weight version: 0.1.14 beta-5, CacheVer: 5
Perl version:           5.008003
Net::DNS version:       0.46
OS:                     Linux 2.6.5-7.252-default


> Welche MX IP Adressen zu pi-linz.ac.at liefert der host, auf dem polw laeuft?
> Solltest du split horizon DNS haben, sprich, ihr
> liefert an interne DNS queries andere Ergebnisse als an externe, dann, hm,
> bin ich momentan etwas ueberfragt.

ja wir haben intern andere IPs als extern.

Intern:

mail:~ # dig @10.18.190.11 pi-linz.ac.at MX

; <<>> DiG 9.2.3 <<>> @10.18.190.11 pi-linz.ac.at MX
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6589
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;pi-linz.ac.at.                 IN      MX

;; ANSWER SECTION:
pi-linz.ac.at.          3600    IN      MX      10 mail.pi-linz.ac.at.

;; AUTHORITY SECTION:
pi-linz.ac.at.          3600    IN      NS      pi-nw1.pi-linz.ac.at.
pi-linz.ac.at.          3600    IN      NS      mail.pi-linz.ac.at.

;; ADDITIONAL SECTION:
mail.pi-linz.ac.at.     3600    IN      A       10.18.190.11
pi-nw1.pi-linz.ac.at.   3600    IN      A       10.18.190.13

;; Query time: 6 msec
;; SERVER: 10.18.190.11#53(10.18.190.11)
;; WHEN: Sat Oct 13 11:14:38 2007
;; MSG SIZE  rcvd: 119


; ---------------------------
Extern:

mail:~ # dig @212.33.55.5 pi-linz.ac.at MX

; <<>> DiG 9.2.3 <<>> @212.33.55.5 pi-linz.ac.at MX
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48409
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; QUESTION SECTION:
;pi-linz.ac.at.                 IN      MX

;; ANSWER SECTION:
pi-linz.ac.at.          86400   IN      MX      10 mail.pi-linz.ac.at.

;; AUTHORITY SECTION:
pi-linz.ac.at.          18986   IN      NS      ns0.asn-wien.ac.at.
pi-linz.ac.at.          18986   IN      NS      gatekeeper.asn-linz.ac.at.

;; ADDITIONAL SECTION:
mail.pi-linz.ac.at.     86400   IN      A       193.170.68.47
ns0.asn-wien.ac.at.     16470   IN      A       193.170.115.34
gatekeeper.asn-linz.ac.at. 7008 IN      A       193.170.68.253

;; Query time: 23 msec
;; SERVER: 212.33.55.5#53(212.33.55.5)
;; WHEN: Sat Oct 13 11:15:35 2007
;; MSG SIZE  rcvd: 161


viele Grüße

Erhard Gruber






  (die einzige moeglichkeit die ich ad-hoc
> sehe: dedizierten policy server aufsetzen mit recusiven DNS und die IP des
> policy servers irgendwie vom split horizon ausschliessen).
> 
> 
> Denn, ich bin etwas verwundert:
> 
> echo "helo_name=mailbackup.inode.at                                             sender=xxx at pi-linz.ac.at
> client_address=213.229.60.24
> request=smtpd_access_policy
> " | /path/to/policyd-weight-0.1.14.5/policyd-weight -d
> 
> 23:57:11 info: decided action=PREPEND X-policyd-weight: using builtin defaults due to config-error  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_EQ_HELO_IP=-2 (check from: .pi-linz. - helo: .mailbackup.inode. - helo-domain: .inode.)  FROM/MX_MATCHES_NOT_HELO(DOMAIN)=1 <client=213.229.60.24> <helo=mailbackup.inode.at> <from=xxx at pi-linz.ac.at> <to=> <helo_ips:  193.170.68.47 213.229.60.24>, rate: -5.5; delay: 0s
> 
> 
> Selbes Ergebnis bei 0.1.14
> 
> 
> 


-- 
;--------------------------------------------------------------
D.I. Erhard Gruber            phone: +43-732-7470-2210
Pädagogische Hochschule OÖ
Kaplanhofstr. 40
A-4020 LINZ                   email: erhard.gruber at ph-ooe.at
AUSTRIA                       www:   http://www.ph-ooe.at



Mehr Informationen über die Mailingliste Postfixbuch-users