Policyd generiert False Positives

Tim-Ole toag at izsr.de
Mi Jun 28 13:52:11 CEST 2023 

Hallo, Liste,

seit gestern Mittag ca. 13 Uhr hat unser Postfix plötzlich Mails abgewiesen mit 

550 Mail appeared to be SPAM or forged

Ursache war offenbar der Policyd. Es wurden plötzlich Mails von Mailservern abgelehnt, die eine Stunde vorher das System noch klaglos passiert hatten:

Jun 28 11:18:46 mailin postfix/policyd-weight[4714]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; please relay via your ISP (efk.de); <client=mail-out27.ewetel.de[212.6.122.27]> <helo=mail-out.ewetel.de> <from=support at einsender> <to=empfaenger at unser-server.de>; delay: 0s

Besonders kurios war, dass es gestern weder Updates noch Konfigurationsänderungen gab, auch keine Neustart, keine Änderungen am DNS usw. Weder am zugrundeliegenden Debian 11.7 noch am Postfix oder Policyd wurde etwas geändert. Die Konstruktion (Postfix / Postgrey / Postscreen / Policyd-Weight) lief seit Jahren mehr oder weniger unverändert, abgesehen von Updates natürlich ;) 

Debian 11.7
Postfix ist 3.5.18
Policyd-weight Version 0.1.15 beta-2 

Seit gestern hatten wir den Policyd also auskommentiert in der main.cf. Heute haben wir dann mit

policyd-weight defaults > /etc/policyd-weight.conf

mal eine Konfig erstellt, bisher hatten wir immer die Standards genutzt und nie eine policyd-weight.conf genutzt. In der aktuellen Konfig sind auf jeden Fall auch nicht die njabl und rbl.ipv6-Einträge drin, die vor Ewigkeiten mal für Probleme gesorgt hatten. Policyd-weight deinstalliert, Serverneustart, apt update und erneute Installation des policyd-weight - unverändertes Fehlerbild. Sobald wir den Policyd in der main.cf aktivierten, wurden massenhaft Mails abgelehnt, die mit demselben Policyd bis gestern Mittag funktionierten.

Wir haben dann in der /etc/resolv.conf den Nameserver 1.1.1.1 deaktiviert, die Hetzner-Nameserver (es handelt sich um einen Rootserver von Hetzner) belassen und zusätzlich noch die Hetzner-IPv6-Server aktiviert.

Seit einem erneuten Neustart des Server ist wieder alles in Ordnung. Kurioser Fehler, den wir uns nur so erklären können, dass der Policyd unbrauchbare Werte bei der DNSBL-Abfrage geliefert haben. Und ärgerlicher Weise haben wir es natürlich erst nach ein - zwei Stunden gemerkt, weil User uns die Fehlermeldungen zugeschickt hatten (per Messenger … ).

Hat jemand so etwas oder ähnliches schon mal erlebt?

Kollegiale Grüße

Tim-Ole A. Golz

Mehr Informationen über die Mailingliste Postfixbuch-users