Frage, penalty von Mails

[Domi]

Hallo Leute, ich habe da mal eine kleine Frage...
Auf meinem Server von Hetzner habe ich policy-weight eingerichtet um den SPAM noch etwas kürzer zu halten. Allerdings kommt es ab und an vor, dass ich E-Mails während ich mit einem Kunden hin und her schreibe, einfach verschluckt werden.

Das heißt, er schreibt mir eine Mail, ich antworte und dann mitten in der Konversation, nach drei / vier oder fünf Mails, wird dann mal eine E-Mail geblockt. Mein Kunde bekommt dann die Rückmeldung das seine Mail nicht zugesellt wurde und wenn ich in die mail.log schaue, finde ich z.B. so etwas.

Aug  7 00:25:23 srv01 postfix/policyd-weight[3603]: decided action=550 temporarily blocked because of previous errors - retrying too fast. penalty: 30 seconds x 0 retries.; <client=server10.avancecommunicatie.nl[5.100.228.51]> <helo=server10.avancecommunicatie.nl> <from=gwbuffettq@myself.com> <to=dominik@domain.com>; delay: 0s

Wobei dieses Beispiel wirklich SPAM sein sollte, aber solche Einträge finde ich dann vor. Wieso blockt er diese, kennt jemand das Phänomen? Ich hatte schon mal im Internet ein wenig gesucht, dort wird auch spekuliert ob es ein BUG ist, aber einen wirklichen Ansatz habe ich nicht gefunden. Vorerst habe ich policy-weight in der main.cf vom Postfix auskommentiert und beobachte weiter (müsste nun aber weg sein) aber hoffe, dass es dafür eine Erklärung gibt

Gruß, Domi

 

[Deleted member 4401]

"retrying too fast"...ich gehe davon aus dass postgrey läuft?

 

[d4f]

ich gehe davon aus dass postgrey läuft?

Nein policyd-weight hat einen eigenen Cache. Wenn hier ein Absender als "böse" geflaggt wird, so werden nachfolgende Emails aus dem Cache beantwortet ohne dass er die ganze Überprüfung für jede Email neu durchführt. Postgrey würde übrigens eine Email nicht verweigern, nur verzögern.

und wenn ich in die mail.log schaue, finde ich z.B. so etwas.

Der Eintrag sagt nur dass vorher was blockiert wurde oder Fehler vorlagen. Um aber zu sehen was der Fehler war musst du in der Log weiter hoch gehen bis zum letzten entsprechenden Eintrag des gleichen Absenders.

 

[Domi]

Hallo d4f, vielen Dank schon mal für deine Anteilnahme. Ich habe mal im Log File weiter geschaut und zu der Absender Adresse nur folgendes gefunden.

Aug  5 09:50:43 srv01 postfix/policyd-weight[4313]: weighted check:  IN_JUNKEMAILFILTER=3 CL_IP_EQ_HELO_IP=-2 (check from: .kunden-domain. - helo: .mout.kundenserver. - helo-domain: .kundenserver.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2; <client=mout.kundenserver.de[212.227.126.131]> <helo=mout.kundenserver.de> <from=info@kunden-domain.de> <to=dominik@domain.com>; rate: -1
Aug  5 09:50:43 srv01 postfix/policyd-weight[4313]: decided action=PREPEND X-policyd-weight:  IN_JUNKEMAILFILTER=3 CL_IP_EQ_HELO_IP=-2 (check from: .kunden-domain. - helo: .mout.kundenserver. - helo-domain: .kundenserver.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -1; <client=mout.kundenserver.de[212.227.126.131]> <helo=mout.kundenserver.de> <from=info@kunden-domain.de> <to=dominik@domain.com>; delay: 1s
Aug  5 09:50:43 srv01 postfix/cleanup[19353]: 25C4B1460089: message-id=<000701d0cf53$7f40c210$7dc24630$@kunden-domain.de>
Aug  5 09:50:43 srv01 postfix/qmgr[2692]: 25C4B1460089: from=<info@kunden-domain.de>, size=4567, nrcpt=1 (queue active)
Aug  5 09:50:43 srv01 postfix/cleanup[19353]: D8CAD146008A: message-id=<000701d0cf53$7f40c210$7dc24630$@kunden-domain.de>
Aug  5 09:50:43 srv01 postfix/qmgr[2692]: D8CAD146008A: from=<info@kunden-domain.de>, size=5039, nrcpt=1 (queue active)
Aug  5 09:50:43 srv01 amavis[10418]: (10418-04) Passed CLEAN {RelayedOpenRelay}, [212.227.126.131]:49501 [87.138.95.240] <info@kunden-domain.de> -> <dominik@domain.com>, Queue-ID: 25C4B1460089, Message-ID: <000701d0cf53$7f40c210$7dc24630$@kunden-domain.de>, mail_id: O8M6cQ__aZ46, Hits: 0.01, size: 4566, queued_as: D8CAD146008A, 619 ms
Aug  5 09:50:44 srv01 dovecot: lda(dominik@domain.com): sieve: msgid=<000701d0cf53$7f40c210$7dc24630$@kunden-domain.de>: stored mail into mailbox 'INBOX'
Aug  5 11:29:15 srv01 postfix/smtp[4114]: 42C60146008A: to=<info@kunden-domain.de>, relay=mx00.kundenserver.de[212.227.15.41]:25, delay=0.48, delays=0.04/0.01/0.21/0.22, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0MYHS8-1ZIT0d2RTE-00Usx4)
Aug  5 11:52:21 srv01 postfix/policyd-weight[3603]: decided action=550 temporarily blocked because of previous errors - retrying too fast. penalty: 30 seconds x 0 retries.; <client=mout.kundenserver.de[212.227.17.13]> <helo=mout.kundenserver.de> <from=info@kunden-domain.de> <to=dominik@domain.com>; delay: 0s
Aug  5 11:52:21 srv01 postfix/smtpd[4653]: NOQUEUE: reject: RCPT from mout.kundenserver.de[212.227.17.13]: 550 5.7.1 <dominik@domain.com>: Recipient address rejected: temporarily blocked because of previous errors - retrying too fast. penalty: 30 seconds x 0 retries.; from=<info@kunden-domain.de> to=<dominik@domain.com> proto=ESMTP helo=<mout.kundenserver.de>
Aug  5 11:56:28 srv01 postfix/policyd-weight[4313]: weighted check:  IN_JUNKEMAILFILTER=3 CL_IP_EQ_HELO_IP=-2 (check from: .domain. - helo: .mout.kundenserver. - helo-domain: .kundenserver.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2; <client=mout.kundenserver.de[212.227.17.13]> <helo=mout.kundenserver.de> <from=info@kunden-domain.de> <to=dominik@domain.com>; rate: -1
Aug  5 11:56:28 srv01 postfix/policyd-weight[4313]: decided action=PREPEND X-policyd-weight:  IN_JUNKEMAILFILTER=3 CL_IP_EQ_HELO_IP=-2 (check from: .domain. - helo: .mout.kundenserver. - helo-domain: .kundenserver.)  FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -1; <client=mout.kundenserver.de[212.227.17.13]> <helo=mout.kundenserver.de> <from=info@kunden-domain.de> <to=dominik@domain.com>; delay: 0s

So wie ich das sehe und verstehe, gab es vorher einfach kein Problem. Um 9:50 hat mir der Kunde eine E-Mail geschrieben, um 11:29 habe ich geantwortet und 11:52 kam die Rückantwort die gleich abgewiesen wurde

Ich habe beim durchsuchen auf die Absender Adresse und die IP des 1und1 Servers geachtet von wo diese E-Mail kam. Und da war leider nichts vorzufinden.

@bad_brain, ja postgrey ist aktiv. Aber ich habe ja schon aktiven Kontakt mit meinem Kunden, von daher ist seine E-Mail Adresse ja schon bekannt

Gruß, Domi

 

[d4f]

Ich habe beim durchsuchen auf die Absender Adresse und die IP des 1und1 Servers geachtet

Hat die IP des Absenders denn anderen Mailtraffic zu deinem Server gehabt?
Im Zweifelsfall bitte alle "decided action" Zeilen der Logdatei der Stunde vor der Störung auflisten - bei sensiblen Daten gerne per PN. Irgendwo darin liegt der Grund für die Blockierung, man muss ihn nur rausfinden

 

[remote_mind]

helo=<mout.kundenserver.de>

von dem Server kommen doch in der Zeit garantiert weitere Mails rein, oder?

 

[Joe User]

Unter dem HELO existieren zudem mehrere IPs, wovon natürlich jede einzeln betrachtet werden muss...

 

[Domi]

@remote_mind, nachdem ich vorhin das Log File durchsucht habe nach dem Host mout.kundenserver.de von 1und1, habe ich gesehen das die Mindestens mit drei unterschiedlichen IPs bei mir vertreten sind.

Ob einer von denen im PASS oder BLOCKED im policy-weight drin stehen, werde ich mir nachher mal anschauen. Ich habe auch gesehen, dass man den Cache leeren kann... das ist zwar keine wirkliche Lösung, aber vielleicht hilft es erst einmal

@Joe User, wie ich ja eben schon erwähnt hatte... mir ist auch aufgefallen, dass sich der 1und1 Server mout.kundenserver.de schon mal mit mehreren IPs bei mir gemeldet hat.

Gruß, Domi

 

[Crocodyl]

Frage, penalty von Mails >>Und wie gings weiter ?

Hallo liebe Leute:
Und wie gings weiter ?

War es auch die Zeile, die man mit Doppelkreutz auskommentieren musste in der policy-weight ? :
# 'rbl.ipv6-world.net', 4.25, 0, 'IPv6_RBL'

 

[Domi]

Moin moin... Also es war eine gewisse Zeit lang Ruhe bei mir, was aber nichts heißen muss und als ich gestern (Freitag) mit einem Kunden in kurzer Zeit viel hin und her geschrieben hatte, hat er zwei Rückläufer von mir bekommen und im log hatte ich wieder den "penalty" drin.

Ich habe dann noch mal in der 'mail.log' geschaut ob ich etwas zu seiner E-Mail Adresse finde, aber es war nichts da... von jetzt auf gleich wurden seine Nachrichten abgewiesen "temporarily blocked because of previous errors" und dann ging es gleich wieder.

Hat das auskommentieren dieser Zeile denn bei dir zu einem Erfolg geführt? Dann würde ich das vielleicht auch einmal ausprobieren.

Gruß, Domi