Montag mit greylisting

das Deutsche EckSchon vor Tagen hörte ich, dass wohl eine eMail an uns, von unserem Mail-Server abgewiesen worden sein soll. Was für ein unglaublicher Vorwurf, ;) wie kann das den passiert sein?!
Heute bekam ich dann die Fehlermeldung per Hardcopy – und tatsächlich, unser Mail-Server tauchte darin auf und tatsächlich ist der letzte Fehler etwas in der Art:

450 4.2.0 … Recipient address rejected: Greylisted, …

Komisch, denn tatsächlich hat der entfernte Mailserver wegen eines temporären Fehlers (450) die Mail an uns verworfen, :oops: dass sollte ja auf gar keinen Fall passieren. :!:
Also sah ich mir mein mail-log nochmal etwas genauer an und mit den konkreteren Daten aus dem Ausdruck, fand ich jetzt auch gleich etwas mehr.

zgrep sen@der.de /var/log/mail*gz
...
Nov 27 19:16:07 host postgrey: action=greylist, reason=new, client_name=xy.de, client_address=abcd::3, sender=sen@der.de, recipient=empf@aenger.com
Nov 27 19:16:07 host postfix/smtpd[29358]: NOQUEUE: reject: RCPT from xy.de[abcd::3]: 450 4.2.0 <empf@aenger.com>: Recipient address rejected: Greylisted, see ...; from=<sen@der.de> to=<empf@aenger.com> proto=ESMTP helo=<xy.de>
...
Nov 27 19:22:08 host postgrey: action=greylist, reason=new, client_name=xy.de, client_address=abcd::7, sender=sen@der.de, recipient=empf@aenger.com
Nov 27 19:22:08 host postfix/smtpd[3498]: NOQUEUE: reject: RCPT from xy.de[abcd::7]: 450 4.2.0 <empf@aenger.com>: Recipient address rejected: Greylisted, see ...; from=<sen@der.de> to=<empf@aenger.com> proto=ESMTP helo=<xy.de>
...
Nov 27 19:30:54 host postgrey: action=greylist, reason=new, client_name=xy.de, client_address=abcd::1, sender=sen@der.de, recipient=empf@aenger.com
Nov 27 19:30:54 host postfix/smtpd[12599]: NOQUEUE: reject: RCPT from xy.de[abcd::1]: 450 4.2.0 <empf@aenger.com>: Recipient address rejected: Greylisted, see ...; from=<sen@der.de> to=<empf@aenger.com> proto=ESMTP helo=<xy.de>
...
Nov 27 19:46:00 host postgrey: action=greylist, reason=new, client_name=xy.de, client_address=abcd::9, sender=sen@der.de, recipient=empf@aenger.com
Nov 27 19:46:05 host postfix/smtpd[25556]: NOQUEUE: reject: RCPT from xy.de[abcd::9]: 450 4.2.0 <empf@aenger.com>: Recipient address rejected: Greylisted, see ...; from=<sen@der.de> to=<empf@aenger.com> proto=ESMTP helo=<xy.de>
...

Förderturm und SteigerhausUnd sofort war das Problem gut sichtbar. Beide Mailserver, also sowohl unser als Empfänger, als auch der sendende Server, können mit IPv6 umgehen und so wird auch die Kommunikation über IPv6 abgewickelt. Eigentlich passiert das regelmäßig und wenn es damit Probleme gäbe, hätte man davon bestimmt öfter gehört. Dennoch steht bei jedem der geloggten Verbindungsversuche der Hinweis reason=new mit drin. Nach nochmaligem Hinsehen zeigte sich tatsächlich, dass sich die IP-Adresse des Senders auch jedes ein wenig änderte. :oops: Höchst wahrscheinlich hat der Sender die IPv6-‚privacy extensions‘ in Anwendung, bei einem Mailserver ist das überhaupt keine gute Idee.
Alle einzelnen Faktoren sind natürlich im einzelnen zukunftsweisend. – Also sowohl das IPv6-Protokol, der postgrey-Deamon mit seinem Handling und wer es mag schwört auch auf das ‚privacy extensions‘-Protokoll, – dumm nur, wenn sie alle aufeinander treffen.
Erst hatte ich gehofft, dass ich einen Konfigurationsschalter finde, der meinen postgrey-Dienst dazu bringt, einfach die letzten IPv6-Adress-Bits zu streichen und nur noch das Netz zu beachten, also irgendwas in der Art: ‚ignore_IPv6_privacy = /64‘ oder so, aber meine Suche brachte keine Ergebnisse. Nur ein Ergebnis fand ich immer wieder, nämlich dass es überhaupt keine gute Idee sei, einen Mail-Server mit IPv6 – privacy extensions zu betreiben.
Allerdings ist ja nun leider dem entfernten Mailserverbetreiber, wenn er überhaupt zu erreichen ist, schlecht zu vermitteln, dass _er_ mit diesem Mix seiner ansonsten tollen Einstellungen das Problem ist. Er hat da ja noch auch noch eine Weile ein ziemlich schlecht zu widerlegendes Argument auf seiner Seite, nämlich dass ‚… alle anderen eMails ja korrekt ausgeliefert …‘ worden waren. Klar ist das so, aber all die anderen sind auch noch nicht in der IPv6-Zukünft angekommen oder wenn doch, dann benutzen sie kein Greylisting. Zukünftig wird das aber nicht so bleiben und die Empfänger, an die der ‚gegnerische‘ Mailserver ausliefern kann, werden weniger werden. Also werde ich zum einen den entfernten Administrator kontaktieren, aber ich werde auch weiter nach einem postgrey-Schalter Ausschau halten.

About the Author

Uwe

Uwe beschäftigt sich seit vielen Jahren mit Linux und Webdesign, seit 2006 benutzt er WordPress zum schreiben eines "Tagebuchs". Tätig ist Uwe als Webmaster und Netzwerkadministrator, er arbeitet und lebt seit 2001 in Oberhausen. In seiner Freizeit ist er viel mit dem Mountainbike und dem Fotoapparat unterwegs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.