rbltrap blockiert gmail

[BMWfan]

Hallo,

ich habe soeben bei einer Bestellung in einem Webshop schmerzlich die Erfahrung gemacht, das mein Mailserver teilweise Mails mit der Absenderdomain gmail verwirft durch rbltrap.

Was kann ich hier tun? Ich würde schon gerne rbltrap nutzen einfach weil es echt viele Spam Mails blockiert, jedoch sollte es keine "nicht Spam" Mails betreffen.

Gruß

Daniel

 

[marce]

ich vermute, es würde helfen, ein paar mehr Details zu Konfiguration und "Grund" des Blocks zu posten...

 

[GwenDragon]

Bitte mal das Mail-Log posten.
Ist es dir nicht möglich Absender-Domains in eine Allowlist zu stecken?

 

[Joe User]

Ein Webshop verschickt Mails mit einer gmail-Adresse?
Sicher dass rbltrap nicht doch richtig liegt und Du auf einen unseriösen/betrügerischen Webshop gestossen bist?

Kein seriöser Webshop verschickt Mails per Freemail-Anbieter...

 

[BMWfan]

ich vermute, es würde helfen, ein paar mehr Details zu Konfiguration und "Grund" des Blocks zu posten...

natürlich.

Das ist meine Postfix main.cf

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
#biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# DKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:opendkim/opendkim.sock
non_smtpd_milters = unix:opendkim/opendkim.sock

#LDAP
virtual_mailbox_domains = meine-domain.de
virtual_mailbox_maps    = ldap:/etc/postfix/ldap-users.cf
virtual_alias_maps      = ldap:/etc/postfix/ldap-aliases.cf

#Kopano
#virtual_transport = lmtp:unix:/var/spool/kopano/dagent.sock
virtual_transport = lmtp:127.0.0.1:2003

#RBL and so on
#default_rbl_reply = $rbl_code RBLTRAP: You can't send us a E-mail today!!!
default_rbl_reply = $rbl_code RBLTRAP: We find out that your Mailserver is listed on one of our SpamService Providers // $rbl_class [$rbl_what] blocked using $rbl_domain${rbl_reason?; $rbl_reason}

# TLS parameters
smtpd_tls_key_file = /etc/letsencrypt/live/mail.meine-domain.de/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.meine-domain.de/fullchain.pem
smtpd_tls_security_level = may
smtp_tls_loglevel = 1
smtpd_tls_auth_only = yes
tls_ssl_options = NO_COMPRESSION
smtpd_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
tls_high_cipherlist=EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SH
smtpd_tls_eecdh_grade=ultra
#smtpd_tls_exclude_ciphers = ECDHE-RSA-RC4-SHA
#smtpd_tls_mandatory_exclude_ciphers = ECDHE-RSA-RC4-SHA
smtpd_tls_received_header = yes

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

#smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mail.meine-domain.de
alias_maps = hash:/etc/aliases
#alias_database = hash:/etc/aliases
mydestination = localdomain, localhost, localhost.localdomain, localhost, meinserver.serverprofi24.de, mail.meine-domain.de
relayhost =
mynetworks = 127.0.0.1, 0.0.0.0
#mailbox_size_limit = 0
#recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

smtpd_helo_required = yes
smtpd_delay_reject = yes

smtpd_sender_restrictions =
  permit_mynetworks,
  reject_unknown_sender_domain,
  reject_non_fqdn_sender
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unauth_destination,
        reject_unauth_pipelining,
        reject_invalid_hostname,
        reject_unknown_helo_hostname,
        reject_unknown_sender_domain,
        permit_dnswl_client list.dnswl.org,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client psbl.surriel.com,
        reject_rbl_client dnsbl.sorbs.net
        check_policy_service inet:127.0.0.1:2501,
        permit

content_filter = smtp-amavis:[127.0.0.1]:10024
compatibility_level = 2

Und hier ein paar loglines:

mail.log.3.gz:Oct  4 09:50:53 euve264608 postfix/smtpd[13253]: connect from mail-pg1-f178.google.com[209.85.215.178]
mail.log.3.gz:Oct  4 09:50:54 euve264608 postfix/smtpd[13253]: NOQUEUE: reject: RCPT from mail-pg1-f178.google.com[209.85.215.178]: 554 5.7.1 RBLTRAP: You can't send us a E-mail today!!! // Client host [209.85.215.178] blocked using dnsbl.sorbs.net; Currently Sending Spam See: http://www.sorbs.net/lookup.shtml?209.85.215.178; from=<dasbesteholz@gmail.com> to=<daniel@meine-domain.de> proto=ESMTP helo=<mail-pg1-f178.google.com>
mail.log.3.gz:Oct  4 09:50:54 euve264608 postfix/smtpd[13253]: disconnect from mail-pg1-f178.google.com[209.85.215.178] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=5/7
mail.log.3.gz:Oct  4 09:54:14 euve264608 postfix/anvil[13255]: statistics: max connection rate 1/60s for (smtp:209.85.215.178) at Oct  4 09:50:53
mail.log.3.gz:Oct  4 09:54:14 euve264608 postfix/anvil[13255]: statistics: max connection count 1 for (smtp:209.85.215.178) at Oct  4 09:50:53
mail.log.3.gz:Oct  4 09:54:14 euve264608 postfix/anvil[13255]: statistics: max cache size 1 at Oct  4 09:50:53

Zur Spambekämpfung nutze ich sonst noch Spamassassin

Gruß

Daniel

 

[marce]

tja, entweder nimmst Du die genannte Liste aus deiner Blocklist heraus oder Du versuchst denen klar zu machen, dass sie da ein false-positive haben - was bei "freien Mailservern" halt ggf. auch durchaus vorkommen kann.

Ob Google da zwischen Business-Accounts und Free-Usern unterscheidet kann ich Dir gerade nicht sagen.

 

[d4f]

Ein Webshop verschickt Mails mit einer gmail-Adresse?

Davon abgesehen dass es Gmail Workspace gibt, ist das technisch nicht verboten. Nur halt sehr schön für professionelle Anbieter.

Du versuchst denen klar zu machen, dass sie da ein false-positive haben - was bei "freien Mailservern" halt ggf. auch durchaus vorkommen kann.

Die bessere Empfehlung wäre, nicht auf eine einzelne Blockliste zu setzen - und zumal nicht auf sorbs die als hochagressiv bekannt sind.

Sinnvolle Ablehn-Konfigs ermöglichen das "compounden", also dass eine Summe an Fehler zu einer Ablehnung führt.
Falls das nicht möglich sein sollte, hier die imho sinnvollsten DNSBL: (Achtung auf die jeweiligen Zugriffsrechte/Lizenzen, zumal Spamhaus)
- b.barracudacentral.org
- cbl.auseat.org
- ix.dnsbl.manitu.net
- zen.spamhaus.org

 

[marce]

Die bessere Empfehlung wäre, nicht auf eine einzelne Blockliste zu setzen - und zumal nicht auf sorbs die als hochagressiv bekannt sind.

tut er doch gar nicht, wenn ich die Konfig richtig interprestiere...

 

[d4f]

tut er doch gar nicht, wenn ich die Konfig richtig interprestiere...

Doch, im Sinne von dass ein Eintrag in einer der Blocklisten zur Ablehnung der Email führt. Ich bin absolut kein Fan dieser Konfiguration da es regelmässig zu falschen Einträgen kommt.
Wenn es denn sein muss, dann nur mit höher-vertrauenswürdigeren Blocklisten als SORBS und meiner Empfehlung nach mit einem Response-Code 421 ("Try again later") statt direkte Ablehnung - dies erlaubt kurzzeitig falsch blockierten Mailserver um trotzdem durch zu kommen.

 

[marce]

ok, dann hatte ich dich falsch verstanden.

 

[BMWfan]

Vielen Dank für die ganzen Antworten.

Wie händelt ihr das denn? Auch mit postscreen_dnsbl_sites und postscreen_dnsbl_threshold ? Oder doch oldschool wie ich bislang (ein Match in einer Liste verwirft die Mail?).

Gruß

 

[Joe User]

Erschlägt sehr viel (aber nicht Alles) und ist IMHO völlig ausreichend:

postscreen_access_list = permit_mynetworks
    cidr:${config_directory}/postscreen_whitelist.cidr
postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = yes
postscreen_blacklist_action = enforce
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites = list.dnswl.org=127.0.[0..255].0*-2
    list.dnswl.org=127.0.[0..255].1*-4 list.dnswl.org=127.0.[0..255].2*-6
    list.dnswl.org=127.0.[0..255].3*-8 zen.spamhaus.org=127.0.0.9*25
    zen.spamhaus.org=127.0.0.3*10 zen.spamhaus.org=127.0.0.2*5
    zen.spamhaus.org=127.0.0.[4..7]*3 zen.spamhaus.org=127.0.0.[10..11]*3
    swl.spamhaus.org*-10 bl.mailspike.net=127.0.0.2*10
    bl.mailspike.net=127.0.0.10*5 bl.mailspike.net=127.0.0.11*4
    bl.mailspike.net=127.0.0.12*3 bl.mailspike.net=127.0.0.13*2
    bl.mailspike.net=127.0.0.14*1 wl.mailspike.net=127.0.0.16*-2
    wl.mailspike.net=127.0.0.17*-4 wl.mailspike.net=127.0.0.18*-6
    wl.mailspike.net=127.0.0.19*-8 wl.mailspike.net=127.0.0.20*-10
    backscatter.spameatingmonkey.net*2 bl.ipv6.spameatingmonkey.net*2
    bl.spameatingmonkey.net*2 ix.dnsbl.manitu.net*2 bl.spamcop.net*2
    db.wpbl.info*2 psbl.surriel.com*2 torexit.dan.me.uk*2 tor.dan.me.uk*1
    safe.dnsbl.sorbs.net*1
postscreen_dnsbl_threshold = 5
postscreen_dnsbl_whitelist_threshold = 0
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes

Der kleine Rest der da noch durchkommt, ist ein Fall für den Filter im Mailclient und nicht für den Mailserver...