Provera servera za blacklist, nakon whitelistovanja i dalje problemi...

Poz ekipo,

U jednom momentu, neki bot je uspeo da “nadje” jedan mail server koji je na autopilotu bio i poslao spamčinu od preko 50k bounce back returna u spamu koji smo našli za nedelju dana. To smo sredili, našli uzrok ali smo već bili blacklsited na par mesta što se tokom ovih par meseci razrešilo. Bili smo čini mi se na svega 4-5 mesta markirani. Taj server ne koristmo aktivno više već godinu dana, planiramo da ga ugasimo kada prebacimo neke od mailboxova.

Problem:
Neki od klijenata su nam se žalili da im nekad mailinzi završavaju u spam. Statistički gledano, tokom ovih par meseci kod par njih zaista ima manji open rate, što može biti rezultat da ljudi ne otvaraju mailinge zato što im stiže u spam.

Pitanje:
Kakvi postoje sve načini provere da li ti je domain, IP ili sam mailing i sadržaj bude označen i time završi u spamu?
Ono što sam proveravao je mail-tester.com , mxtoolbox.com i neke sajtove za analiziranje mail headera.

Unapred hvala svakom ko doprinese!

Baracuda, iliti SpamCentral su ti dva najjača RBL u svetu, kada dospeš na njih, prvi put možeš lagano da se skineš, medjutim ako dospeš drugi put… potrajaće + moraš da šalješ mejlove sa ličnim opisom gde je problem nastao i kako si ga rešio do detalja, sva ta papirologija može da potraje i do 3 nedelje, što je smrt ako je produkcijski server u pitanju.

Da li taj server koji je bio pod botom i ovaj sa kojeg šaljete mejl liste dele istu IP adresu?

Ako poštuješ glavna načela email transporta, imaš uredan dns zapis koji se odnosi na MTR dakle, SPF, DKIM, DMARC, PTR, ako šalješ na proverene mejlove, dakle nemaš nepostojećih i imaš podešen odgovarajući bounceback email koji će da prihvata neisporučenu poštu, sadržaj ima dosta teksta i nekoliko slika (manji sadržaj veća šansa za SPAM), ne sadrži gomilu linkova (bilo internih ili spoljnih), trebalo bi da bude sve OK.

Ja lično kada se bavim ovim jedina dva servisa koja koristim su Hetrixtools i MXtoolbox… mail-tester.com je kul stvarčica kada hoćeš da vidiš da li je sadržaj email recimo dobar, da li se server uredno pozdravlja prilikom komunikacije i slično. Ja kada god radim sa mejl serverima takođe koristim IntoDNS koji pruža odlične informacije gde mogu da budu kritične greške i koje mogu potencijalno da naškode funkcionisanju servera.

P.S. Ako hoćeš pošalji mi na PM IP adresu sa koje šaljete mejlove pa ću da je “propustim” kroz test da vidim gde koči.

Uh ne sećam se da li je jedan od ta dva bio iskreno, ali sam isto upućen za Baracudu, nisam znao da je SpamCentral toliko jak. Znam da mi je SORBS do skoro zadavao glavobolje, loš interfejs + neko vreme im nalozi nisu uopšte radili, ali uspeo sam da im se nakačim kao krpelj u da nas uklone. Iako im piše u sistemu da imaju sve to automatizovano.

Ne dele isti IP, kod nas je bounce u spamu završavao zato zbog razlike u DNS-u… pošto jelte 0 autoriteta.

Sve od navedenog poštujem, sa tim da dmarc sam stavio na none, ima li i dalje primene i preke potrebe za sređivanjem dmarc-a? Sadržaj je klijentov, dešavalo se da sam sadržaj ima, ali to je priča za sebe.

Good to know za hetrix, nisam znao za ovaj sajt, will put it to some use!
IntoDNS je dobar goto site, secam se da sam ga davno koristio u prošloj firmi. Proverio sam i sve je uredno. Poslaću ti reda radi u PM.

Dakle, sve to, što sam naveo i što si naveo… ako je pokriveno, nema zašto bi mailovi završavali u spam? Pošto sve to sam isto rekao i kolegama, međutim pritiskaju da proverim budući da je jako čudno da od tad imamo drop…

PS: sure :slight_smile:

Kao što sam ti napisao u PM ajde i ovde da bi ljudi koji čitaju diskusiju pratili, dakle sva 4 DNS-a koji ti domen koristi su na crnoj listi :confused:
Kako ti ne održavaš svoj DNS server već koristiš od tvog provajdera rešenje je ili da digneš svoj DNS ili moraš njih da cimaš da čiste DNS, mada je to za takvu firmu posao koji ne znam da li će da rade, pokušaj u svakom slučaju.

Zbog toga ti mejlovi idu u SPAM, ja sam imao isti problem dok nisam ukapirao da je jedan od DNS-ova imao od ranije problem (ja sam bio drugi korisnik IP-a).

SpamCentral nije toliko jak sam za sebe koliko je star i infiltriran u većinu anti-spam skripti koje imaju staru RBL listu.

Hetrix je pro sajt u svakom smislu, ja koristim plaćenu verziju. Vredi svaki dinar.

dmarc, može na =none samo je bitno da postoji, ja sam stavio isto doduše karantin sa 0% :smiley:

Eh da, zaboravio sam postoji još jedna fora da mejlovi idu u spam a da imaš sve uredno, da ti je sve po PS-u, da ti IP ima dobru reputaciju, da su DNS-ovi čisti, sve je super samo mejl i dalje ide u spam kakav god sadržaj slao…

Ako šaljete mejlove sa “desktop-a” proverite firminu IP adresu, mnogi ljudi ne znaju za tu foru, tada se identično javlja problem jer šalješ sa svoje zaražene IP adrese mejlove i jednako se vraćaju/odbijaju kao da si ih slao sa servera.

Pa lol, ovo moram pod hitno da proverim i promenim ako je tako svuda…

SBB, baracuda destroyer uz još po neke.

Za ostalo najs… feels good kada neko potvrdi da je dobro odrađen posao i da ništa ne fali. :slight_smile:

Ne bi verovao koliko ljudi previdi da skenira svoju sopstvenu IP adresu :slight_smile: Najgori je Orion njima je ama baš svaka IP adresa na crnoj listi, SBB se još nekako i drži no svakako isproveravaj.

Nema frke, zato smo tu, samo ti pitaj šta god zatreba :cool:

“Kakvi postoje sve načini provere da li ti je domain, IP ili sam mailing i sadržaj bude označen i time završi u spamu?”

Ako je mail stigao do tamo, onda zavisi od softvera koji koriste. Za ove jednostavnije spam filtere dovoljno je da base64 enkodujes mail.

To se odnosi ako koristis POP3 protokol, a ako si na IMAP4 onda tvoji mail-ovi putuju direktno sa IP adrese mail servera. Ako se ne varam?

Evo i mene sa jednim problemom, kada saljem mail ka gmail-u on prvi put prodje ali drugi put mi se vrati mail sa dole (oznaceno kao CODE) porukom. Sta mislite, sta moze da bude?

Inace:
SPF: Pass
DKIM: Pass
DMARC: Pass
PTR: ExistsRecord
RBL: NotListed
(testirao sam na svim mogucim sajtovima kao i na appmaildev.com)
Portove koje client koristi 993/587

[CODE]This is the mail system at host mail.stanisavljevic.org.

I’m sorry to have to inform you that your message could not
be delivered to one or more recipients. It’s attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

               The mail system

[email protected]: host gmail-smtp-in.l.google.com[64.233.184.27] said:
550-5.7.1 [178.254.140.42 12] Our system has detected that this
message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam
sent to Gmail, 550-5.7.1 this message has been blocked. Please visit
550-5.7.1 https://support.google.com/mail/?p=UnsolicitedMessageError 550
5.7.1 for more information. b70si9908722wmb.14 - gsmtp (in reply to end of
DATA command)[/CODE]

Podaci iz log-a:

Apr  3 20:03:55 mail postfix/submission/smtpd[19212]: warning: hostname 77-105-13-136.smin-1.sezampro.rs does not resolve to address 77.105.13.136: Name or service not known
Apr  3 20:03:55 mail postfix/submission/smtpd[19212]: connect from unknown[77.105.13.136]
Apr  3 20:03:55 mail postfix/submission/smtpd[19212]: Anonymous TLS connection established from unknown[77.105.13.136]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Apr  3 20:03:55 mail postfix/submission/smtpd[19212]: NOQUEUE: filter: RCPT from unknown[77.105.13.136]: <[email protected]>: Sender address triggers FILTER smtp-amavis:[127.0.0.1]:10026; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<[ip.address.of.client.machine]>
Apr  3 20:03:55 mail postfix/submission/smtpd[19212]: 3E2DA301969B0: client=unknown[77.105.13.136], sasl_method=PLAIN, sasl_username=ognjen
Apr  3 20:03:55 mail postfix/cleanup[19213]: 3E2DA301969B0: message-id=<[email protected]>
Apr  3 20:03:55 mail postfix/qmgr[8455]: 3E2DA301969B0: from=<[email protected]>, size=740, nrcpt=1 (queue active)
Apr  3 20:03:55 mail postfix/submission/smtpd[19212]: disconnect from unknown[77.105.13.136] ehlo=2 starttls=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=8
Apr  3 20:03:55 mail postfix/dkimmilter/smtpd[14863]: connect from localhost[127.0.0.1]
Apr  3 20:03:55 mail postfix/dkimmilter/smtpd[14863]: 7A3DA301C0E5E: client=localhost[127.0.0.1]
Apr  3 20:03:55 mail postfix/cleanup[19213]: 7A3DA301C0E5E: message-id=<[email protected]>
Apr  3 20:03:55 mail postfix/qmgr[8455]: 7A3DA301C0E5E: from=<[email protected]>, size=1244, nrcpt=1 (queue active)
Apr  3 20:03:55 mail postfix/dkimmilter/smtpd[14863]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Apr  3 20:03:55 mail postfix/smtp[19219]: 3E2DA301969B0: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.36, delays=0.04/0/0/0.31, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10030): 250 2.0.0 Ok: queued as 7A3DA301C0E5E)
Apr  3 20:03:55 mail postfix/qmgr[8455]: 3E2DA301969B0: removed
Apr  3 20:03:55 mail postfix/amavisd/smtpd[19235]: connect from localhost[127.0.0.1]
Apr  3 20:03:55 mail postfix/amavisd/smtpd[19235]: CA61F301C0E5F: client=localhost[127.0.0.1]
Apr  3 20:03:55 mail postfix/cleanup[19213]: CA61F301C0E5F: message-id=<[email protected]>
Apr  3 20:03:55 mail postfix/amavisd/smtpd[19235]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Apr  3 20:03:55 mail postfix/qmgr[8455]: CA61F301C0E5F: from=<[email protected]>, size=2293, nrcpt=1 (queue active)
Apr  3 20:03:55 mail postfix/smtp[19214]: 7A3DA301C0E5E: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10032, delay=0.34, delays=0.09/0/0/0.25, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as CA61F301C0E5F)
Apr  3 20:03:55 mail postfix/qmgr[8455]: 7A3DA301C0E5E: removed
Apr  3 20:03:56 mail postfix/smtp[19221]: CA61F301C0E5F: to=<[email protected]>, relay=gmail-smtp-in.l.google.com[108.177.15.26]:25, delay=0.47, delays=0.01/0/0.29/0.18, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[108.177.15.26] said: 550-5.7.1 [178.254.140.42  12] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1  https://support.google.com/mail/?p=UnsolicitedMessageError 550 5.7.1  for more information. m15si11049490wrj.90 - gsmtp (in reply to end of DATA command))
Apr  3 20:03:56 mail postfix/cleanup[19213]: 4CA1A301C0E36: message-id=<[email protected]>
Apr  3 20:03:56 mail postfix/bounce[19667]: CA61F301C0E5F: sender non-delivery notification: 4CA1A301C0E36
Apr  3 20:03:56 mail postfix/qmgr[8455]: 4CA1A301C0E36: from=<>, size=5036, nrcpt=1 (queue active)
Apr  3 20:03:56 mail postfix/qmgr[8455]: CA61F301C0E5F: removed
Apr  3 20:03:56 mail postfix/lmtp[19668]: 4CA1A301C0E36: to=<[email protected]>, relay=mail.stanisavljevic.org[moja.privatna.ip.adresa]:7025, delay=0.13, delays=0.01/0.01/0.05/0.06, dsn=2.1.5, status=sent (250 2.1.5 Delivery OK)
Apr  3 20:03:56 mail postfix/qmgr[8455]: 4CA1A301C0E36: removed

POP3 i IMAP nemaju veze sa SMTP.
Kada saljes sa mail klijenta obicno navedes neki smtp server na koji ce uvek prolaziti.
Ovaj log ukazuje da si pokusao da posaljes od kuce na neki smtp server a to nece ici. Samo ne znam taj postfix log? To je tvoj
server najverovatnije pa je moj komentar u tom kontekstu izlisan. Sve dinamicke adrese su po defaultu blokirane.

Da, ovo za pop3 i imap4 sam pobrljavio… to je za dolazeci saobracaj.

Ne ne, to je log sa mog servera. To sto pise 127.0.0.1 znaci da se mail salje sa servera (postfix vidi sebe kao 127.0.0.1) i da tako obradjuje podatke i salje ka spoljnom svetu (to znaci da saljem iz web browser-a). Kad saljem na moj drugi server koji se nalazi na drugoj lokaciji i u drugom subnet-u (sbb), u logu pise da se mail normalno predstavio sa svojom javnom IP adresom.
Adresa nije dinamcika vec staticka ali od Oriona :oops:.

Samo mi nije jasno google-ovo objasnjenje. Nije zbog velikog volume-a sigurno, nego najverovatnije sto im se ta adresa ne svidja.
Mozda da probas sa tim postfixom na yahoo, oni daju jasnije greske. Probaj isto sa telnetom da se nakacis i posaljes mail tako.

Yahoo mi ne vraca mail-ove, samo google.
Cak mi je i reputacija IP adrese Neutral sto znaci da nisam imao nikakav spam. Ovde sam proverio
Misterija google-a.

U mail komunikaciji ne postoje misterije, postoji samo da li ispravno čitaš logove sa tvog servera i umeš da povežeš timestamp sa drugim logovima. Da bi se situacija kao ova dobro sagledala potrebno je imati više informacija.

Vidim da koristiš Zimbru za email, da li je tamo sve podešeno kako treba? Zimbra je poprilično “kabasta”, osim ako ne radiš produkciju i nemaš svoju firmu, nepotrebna ti je jer em vuče gomilu resursa em ti treba dobro znanje za postavku, tako da ako ti ne trebaju BAŠ BAŠ neke funkcije koje Zimbra koristi, razmisli o nekoj lite alternativi.

Pošto si rekao da koristiš Orion, nisi sakrio na još jednom mestu tvoju adresu :slight_smile: proverio sam i na dosta mesta si listovan:

Free Blacklist Monitoring   Blacklist Check   HetrixTools.png

Ukoliko si prethodno slao nekoliko puta sa svog računar gde si podesio POP/IMAP za svoj mejl server, mejl ka guglu, onda je tu problem, Google je zapamtio da je email došao sa SPAM (po njemu) izvora i stavio ti zabranu.

Koji linux ti je na serveru i da li koristiš neki kontrolni panel (osim Zimbre)?

Na serveru je podeseno sve kako treba koliko ja vidim, nema nista sto nebi trebalo da ima a nije ni podeseno nesto sto nebi trebalo.
Resolve DNS-IP i obrnuto radi, ulazno izlazni saobracaj ide preko iste IP adrese (dst/src nat), podesen spf dkim i dmatrc, zatvorio sam relay… Ne znam sta jos moze da bude?
Ta Zimbra mi je nesto kao test server gde isprobavam svasta pre nego sto implementiram na drugim serverima tako da mi i nije nesto posebno bitna.
Ispod Zimbre mi se vrti Centos 7 sa svim novi upgrade-ima.

To sto si ti testirao jeste moja home dinamicka javne IP adresa a ne javna IP adresa servera. Ne plasim se nicega pa stoga se i ne trudim da nesto bas sakrijem :wink: Vise se plasim ovih budala sto voze kola kad prelazim pesacki prelaz :smiley:

EDIT:
Ako cemo ici logikom da me je google stavio na black listu zato sto sam slao sa home javne IP adrese koja je na black listi, onda ne bih mogao da saljem sa mog yahoo mail na gmail? Onda bi Google banovao yahoo.
To mi ne pije vodu.

Kakve veze ima Yahoo sa Gmail-om? Ne kapiraš šta ti pričam. Mešaš babe i žabe, javni email servis Gmail, Yahoo i slični ne rade istog principa i nemaju iste kriterijume prema privatnim mejl serverima i domenima kao jedni prema drugima. Sasvim sigurno nije tvoj mejl server u istoj poziciji sa Gmail-om.

Ti si podesio svoju adresu [email protected] na desktop klijentu i odatle slao mejl na Gmail jel tako? Ako si radio to dok si imao listovanu IP adresu eto ti razlog zašto Gmail trenutno odbija da primi poštu sa tvog domena.

Ovo je privremena mera koliko se ja sećam, trebalo bi da Gmail odblokira adresu ali proveri to sa njima, možeš da im pošalješ support mejl.

U ovom primeru nisam slao preko client-a vec preko web-a sto znaci da je moja IP adresa koju Google vidi zapravi javna IP adresa od servera, tako?

Apr  3 20:03:55 mail postfix/smtp[19219]: 3E2DA301969B0: to=<[email protected]>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.36, delays=0.04/0/0/0.31, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10030): 250 2.0.0 Ok: queued as 7A3DA301C0E5E)

U gornjem logu se vidi da sam slao iz web-a (smtp:[127.0.0.1]).

Da, odnos na relaciji Google i Yahoo je verovatno na drugacujem nivou nego Google - privet mail.
Da li to znaci da svi koji su:

  • Kod Oriona, Telekom, SBB-a ili drugih provajdera gde su dinamicke ip adrese uglavnom black-listovane
  • imaju mail adresu sa privatnim domenom
  • koriste klijent da salju mail na google
  • Server im se ne nalazi na black listi
    idu u spam?

Ako nisam dobro razumeo, ne odgovaraj mi, glup sam, necu se ljutiti o_O

Tako je, jasno mi je to, no ako si ranije slao sa zaražene IP adrese postoji verovatnoća da Gmail zapamti tu adresu i jednostavno uradi povezivanje domena sa IP adresom i privremeno blokira isporuka mejlova. Ova metoda se i meni nekada davno desila pa ti zbog toga pišem da može biti usled toga, nije trajna zabrana, jednostavno Gmail tako funkcioniše, pamti sve tvoje IP adrese i kasnije ih povezuje, to je jedan takođe oblik borbe protiv spama i protiv onih koji šalju masovne mejlove sa iste mejl adrese ali menjaju IP adresu to je nekada davno moglo da prolazi sada se sve uglavnom “vezuje”.

Da. (u velikoj većini, da desiće se da pošta ode u Spam ili ako je privatna IP adresa tvog ISP-a najakim listama kao Spmahaus neće biti ni isporučena)

Secam se da sam prvo probao da saljem mail preko klijenta a tek onda pokusao iz web-a. Ocigledno da je klijet napravio problem.
Hvala na edukaciji, za ovo nisam imao blage veze. Prosto mi je bilo ne pojmivo da te stave na listu zbog home javne IP adrese… Ali sad mi ima logike.
Sad saljem iz WEB-a i sve prolazi normalno.

Nema veze što je privatan email ili privatan servis/domen, ti si ga slao sa listovane IP adrese i tu se priča završava :slight_smile:

Šalji iz Web-a neko vreme dok Gmail ne pročisti svoje filtere ili ne postavi tvoju serversku IP adresu kao prioritet a za to vreme cimaj Orion da ti promeni IP ili ako ti je neophodno uzmi statičku IP adresu i rešiš buduće problema na taj način.

Mnogi ali zaista mnogi ljudi kao što sam rekao previde ovu mogućnost kao razrešenje njihovih problema, a dođu sa istom pričom kao i ti “ja sam sve pogledao sve je savršeno” :slight_smile: Ja uvek kažem, da je savršeno ti sada ne bi imao problem.

Dakle uvek postoji nešto zbog čega to nešto u prvom planu ne radi dobro ili ne radi onako kako mi očekujemo da radi, nema misterije teorija zavera i slično, jednostavno je ako je 1/1 onda to radi… ako je drugačije, počinju problemi.