Re: plötzlich sehr viele Recipient address rejected: unverified address: Address verification in progress

Gerald Galster list+postfixbuch at gcore.biz
Fr Jun 19 18:29:06 CEST 2020


> danke für den Input.
> War kein Stress im System.
> address_verify_poll_count = ${stress?1}${stress:3}
> address_verify_poll_delay = 2s
> 
> "Wie werden die Empfänger überprüft und klappt das manuell ohne Verzögerung?"
> Scheinbar durch den verify des Postfix. Was der genau macht wissen wir nicht

Kommt etwas auf die Konfiguration an. Hier ein Beispiel:

Postfix nimmt eine E-Mail aus dem Internet an, die via SMTP an einen internen Mailserver zugestelt werden soll.
Während die E-Mail eingeliefert wird und die Verbindung nach extern noch besteht, baut postfix eine zweite Verbindung zum internen Mailserver auf und fragt dort nach ob der Empfänger existiert (RCPT TO).
Falls ja wird die E-Mail angenommen, falls nein wird sie abgelehnt und die externe Verbindung beendet. Das Ergebnis merkt sich postfix dann für einige Zeit.
Dadurch muss der Admin des externen postfix nur konfigurieren, dass die betreffende Domain angenommen und vom internen Server XY verwaltet wird. Er braucht selbst keine Datenbank mit aktiven E-Mail Adressen führen, da er einfach nachfragt.

> Wir glauben wir haben die Ursache, auch wenn etwas "komisch".
> 
> Wir haben die resolv.conf nun geändert. Es scheint behoben.
> Wir hatten dort 4 Nameserver, wovon ggf. die letzten 2. plötzlich nicht mehr erreichbar sind (scheinbar über Nacht abgestellt vom RZ, auch wenn die meinen sie haben nichts abgestellt).
> 
> Wir haben auch wieder die reject_unverified_recipient aktiviert.
> Seit 1h keine Fehler in den Logs.

Das klingt plausibel. Ein DNS der nicht oder schlecht antwortet, kann solche Probleme auslösen.

> Komisch ist, dass das Problem damit wirklich scheinbar zu tun hatte.
> Wir gingen davon aus, dass wenn einer der DNS in der Liste nicht geht, wird einfach ein anderer genommen.

Bei TCP bekommt man eine Rückmeldung ob ein Paket angekommen ist. Für DNS wird meist UDP verwendet, das ist einfacher, schneller und hat keinen solchen Mechanismus.
Bekommt man innerhalb von x Sekunden keine Antwort geht man davon aus, dass der Dienst nicht reagiert oder das Paket verloren ging.
Das dauert aber länger als address_verify_poll_delay/count, weshalb die Address verification wohl noch "in progress" war.

> 2/4 gingen auf jeden Fall (die 1. beiden).
> Auch deuten die Logs ja nicht auf Probleme mit dem DNS.
> Auch gingen von der Konsole (SSH) ja die DNS lookups problemlos.

Es kann sein dass die Nameserver in der resolv.conf nacheinander abgefragt werden, es gibt aber auch Optionen für round robin.

Auf Mailservern installiere ich gerne einen eigenen DNS Resolver (z.B. pdns recursor oder unbound), dann kann man 127.0.0.1 in die resolv.conf eintragen und ist unabhängig vom Provider.

Viele Grüße
Gerald Galster
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20200619/c15b3c17/attachment.html>


Mehr Informationen über die Mailingliste Postfixbuch-users