Mails von Facebook = SPAM? - Jadawin - 04-07-2010 08:34 AM
Moin zusammen
Ich hatte vorhin das Problem, dass Facebookmails aufgrund der HELO-Domain als Spam eingestuft wurden.
Maildomain: xwas@facebookmail.com
HELO: mx-out.facebook.com
--> Stimmt nicht überein, wird als Spam behandelt und abgewiesen.
Hab nur ich dieses Problem? :S Habe das nun durch eine helo_whitelist in postfix gelöst... Gibt es Gefahren bei dieser Methode oder andere (bessere) Lösungsansätze?
Gruss
Jadawin
RE: Mails von Facebook = SPAM? - BeNe - 04-07-2010 03:26 PM
Und was hast Du als AnitSpam im Einsatz ?
Greez BeNe
RE: Mails von Facebook = SPAM? - Jadawin - 04-07-2010 08:41 PM
Postgrey und policyd-weight. Letzteres ist Standard, oder nicht? Jedenfalls habe ich das nie irgendwie konfigruiert, die postfix Konfiguration war bis gestern auch Standard.
Hier mal die betreffenden Logzeilen:
Code:
Apr 6 23:36:52 alpha postfix/smtpd[25701]: connect from outmail014.snc1.tfbnw.net[69.63.178.173]
Apr 6 23:36:53 alpha postfix/policyd-weight[19911]: weighted check: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 IN_SPAMCOP=3.75 NOT_IN_BL_NJABL=-1.5 HELO_IP_IN_CL16_SUBNET=-0.41 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .facebookmail. - helo: .mx-out.facebook. - helo-domain: .facebook.) FROM/MX_MATCHES_NOT_UNVR_HELO(DOMAIN)=5.35 CLIENT_NOT_MX/A_FROM_DOMAIN=5.25 CLIENT/24_NOT_MX/A_FROM_DOMAIN=5.25; <client=69.63.178.173> <helo=mx-out.facebook.com> <from=notification@facebookmail.com> <to=my@adress.ch>; rate: 17.69
Apr 6 23:36:53 alpha postfix/policyd-weight[19911]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; please relay via your ISP (facebookmail.com); <client=69.63.178.173> <helo=mx-out.facebook.com> <from=notification+ppu~vvmd@facebookmail.com> <to=my@adress.ch>; delay: 0s
Apr 6 23:36:53 alpha postfix/smtpd[25701]: NOQUEUE: reject: RCPT from outmail014.snc1.tfbnw.net[69.63.178.173]: 550 5.7.1 <my@adress.ch>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; please relay via your ISP (facebookmail.com); from=<notification+ppu~vvmd@facebookmail.com> to=<my@adress.ch> proto=ESMTP helo=<mx-out.facebook.com>
Apr 6 23:36:59 alpha postfix/smtpd[25701]: disconnect from outmail014.snc1.tfbnw.net[69.63.178.173]
Interessant ist, dass die IP in der SpamCop Blacklist ist...
ispcp 1.0.5 auf Debian 5.0.4
RE: Mails von Facebook = SPAM? - joximu - 04-07-2010 09:39 PM
policyd-weight defaults > /etc/policyd-weight.conf
und dann anpassen...
aber ich sehe da grad keine whitelist Möglichkeit, dh. man müsste die Regeln etwas anpassen.
Aber seltsam, dass Mails von facebook gleich mit helo/MX/Sende-IP derartige Probleme machen, dass policyd gleich 3 * >5 Punkte vergibt.
Ich finde diese Variablen bei mir aber nicht (zB. CLIENT/24_NOT_MX/A_FROM_DOMAIN).
Aber man findet es, wenn man das Perl-Programm etwas ansieht: CLIENT/24_NOT_MX/A_FROM_DOMAIN ist zusammengesetzt aus helo_from_mx_eq_ip_score (1.5) + dem DNSBL-Score (und da es bei Spamcop drin ist -> + 3.75) -> 5.25 und das mehrere Male...
Hoffe, damit kannst du was anfangen....
/J
RE: Mails von Facebook = SPAM? - rbtux - 04-07-2010 10:09 PM
nunja am besten facebook in eine whitelist for policyd-weight nehmen... (Eine whitelist wie dnswl.org kann auch helfen...)
RE: Mails von Facebook = SPAM? - Jadawin - 04-07-2010 10:33 PM
Wie gesagt, ich hab eine whitelist eingesetzt.
Kann die genaue Konfiguration gerade nicht posten, aber es funktioniert so.
Liefer die heute Abend noch nach.
joximu Wrote:Aber seltsam, dass Mails von facebook gleich mit helo/MX/Sende-IP derartige Probleme machen, dass policyd gleich 3 * >5 Punkte vergibt.
Eben das wundert mich ja auch... Bisher hatte ich nie derartige Probleme, nur jetzt mit Facebook... (Ich leite den Facebook-"Traffic" auch erst seit gestern auf die Mailaddy um).
Habe den Eintrag in spamcop.org nochmals geprüft, die IP ist anscheind nicht mehr gelistet... nuja muss das ganze heute Abend nochmals prüfen^^
RE: Mails von Facebook = SPAM? - Jadawin - 04-08-2010 07:13 AM
joximu Wrote:policyd-weight defaults > /etc/policyd-weight.conf
Die Datei existiert bei mir nicht. :S policyd-weight läuft aber ohne zu meckern...
Also was ich getan habe damit es funktioniert:
Den MX von Facebook explizit akzeptieren:
$ echo "mx-out.facebook.com PERMIT" > /etc/postfix/helo_whitelist
Für Postfix die DB erstellen:
$ postmap /etc/postfix/helo_whitelist
postmap hat nun die Datei /etc/postfix/helo_whitelist.db erstellt.
Nun muss Postfix noch entsprechend konfiguriert werden:
Datei: /etc/postfix/main.cf
Bei der Direktive smtpd_helo_restrictions die Option "check_helo_access hash:/etc/postfix/helo_whitelist" hinzufügen: (ohne .db)
Also vorher:
Code:
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname
Nachher:
Code:
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
check_helo_access hash:/etc/postfix/helo_whitelist,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname
Danach Postfix neustarten:
$ /etc/init.d/postfix restart
... und Freude haben
Hätte noch jemand Logs zur Analyse? Wundert mich grade, was bei euch drinsteht bei ner Facebookmail...
RE: Mails von Facebook = SPAM? - rbtux - 04-08-2010 07:25 AM
(04-08-2010 07:13 AM)Jadawin Wrote: Hätte noch jemand Logs zur Analyse? Wundert mich grade, was bei euch drinsteht bei ner Facebookmail...
Nun unser policyd-weight mach nur dnsbl lookups...
Empfänger ersetzt durch recipient@domain.tld
Code:
Apr 7 19:30:35 imx002 postfix/smtpd[15091]: connect from outmail017.snc1.tfbnw.net[69.63.178.176]
Apr 7 19:30:39 imx002 postfix/policyd-weight[16685]: decided action=PREPEND X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 DSBL_ORG=SKIP(0) (only DNSBL check requested); <client=69.63.178.176> <helo=mx-out.facebook.com> <from=notification+ybxaysrr@facebookmail.com> <to=recipient@domain.tld>; delay: 2s
Apr 7 19:30:39 imx002 postfix/smtpd[15091]: NOQUEUE: client=outmail017.snc1.tfbnw.net[69.63.178.176]
Apr 7 19:30:39 imx002 amavis[14842]: (14842-01) ESMTP::10024 /var/amavis/tmp/amavis-20100407T193039-14842: <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld> Received: from imx002.zrh01.ndnet.ch ([127.0.0.1]) by localhost (imx002.zrh01.ndnet.ch [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <recipient@domain.tld>; Wed, 7 Apr 2010 19:30:39 +0200 (CEST)
Apr 7 19:30:40 imx002 amavis[14842]: (14842-01) Checking: PFRG1svt5Vei [69.63.178.176] <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld>
Apr 7 19:30:40 imx002 amavis[14842]: (14842-01) p001 1 Content-Type: text/plain, size: 952 B, name:
Apr 7 19:30:46 imx002 postfix/smtpd[15104]: connect from localhost[127.0.0.1]
Apr 7 19:30:46 imx002 postfix/smtpd[15104]: 8EFB8BC023: client=outmail017.snc1.tfbnw.net[69.63.178.176]
Apr 7 19:30:46 imx002 postfix/cleanup[15105]: 8EFB8BC023: message-id=<571e4379e6c0a33cb735e3bf8d3b6a76@www.facebook.com>
Apr 7 19:30:46 imx002 postfix/qmgr[16620]: 8EFB8BC023: from=<notification+ybxaysrr@facebookmail.com>, size=3389, nrcpt=1 (queue active)
Apr 7 19:30:46 imx002 amavis[14842]: (14842-01) FWD via SMTP: <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld>,BODY=7BIT 250 2.6.0 Ok, id=14842-01, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8EFB8BC023
Apr 7 19:30:46 imx002 amavis[14842]: (14842-01) Passed CLEAN, [69.63.178.176] [69.63.178.176] <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld>, Message-ID: <571e4379e6c0a33cb735e3bf8d3b6a76@www.facebook.com>, mail_id: PFRG1svt5Vei, Hits: -2.135, size: 2980, queued_as: 8EFB8BC023, 6960 ms
Apr 7 19:30:46 imx002 amavis[14842]: (14842-01) TIMING [total 6963 ms] - SMTP greeting: 4 (0%)0, SMTP EHLO: 0 (0%)0, SMTP pre-MAIL: 0 (0%)0, mkdir tempdir: 0 (0%)0, create email.txt: 0 (0%)0, SMTP pre-DATA-flush: 181 (3%)3, SMTP DATA: 180 (3%)5, check_init: 1 (0%)5, digest_hdr: 1 (0%)5, digest_body: 0 (0%)5, gen_mail_id: 1 (0%)5, mkdir parts: 0 (0%)5, mime_decode: 7 (0%)5, get-file-type1: 9 (0%)6, parts_decode: 0 (0%)6, check_header: 1 (0%)6, AV-scan-1: 3 (0%)6, spam-wb-list: 1 (0%)6, SA parse: 4 (0%)6, SA check: 6488 (93%)99, update_cache: 6 (0%)99, decide_mail_destiny: 1 (0%)99, fwd-connect: 28 (0%)99, fwd-xforward: 0 (0%)99, fwd-mail-pip: 8 (0%)99, fwd-rcpt-pip: 0 (0%)99, fwd-data-chkpnt: 0 (0%)99, write-header: 1 (0%)99, fwd-data-contents: 0 (0%)99, fwd-end-chkpnt: 26 (0%)100, prepare-dsn: 1 (0%)100, main_log_entry: 8 (0%)100, update_snmp: 1 (0%)100, SMTP pre-response: 0 (0%)100, SMTP response: 0 (0%)100, unlink-1-files: 0 (0%)100, rundown: 0 (0%)100
Apr 7 19:30:46 imx002 postfix/smtpd[15104]: disconnect from localhost[127.0.0.1]
Apr 7 19:30:46 imx002 postfix/smtp[15106]: 8EFB8BC023: to=<recipient@domain.tld>, relay=mca001.zrh01.ndnet.ch[2001:1620:2013:2201:5bc7:daee:0:1]:25, delay=0.16, delays=0.03/0.04/0.06/0.04, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as AE11240073)
Apr 7 19:30:46 imx002 postfix/qmgr[16620]: 8EFB8BC023: removed
Apr 7 19:30:51 imx002 postfix/smtpd[15091]: disconnect from outmail017.snc1.tfbnw.net[69.63.178.176]
RE: Mails von Facebook = SPAM? - Jadawin - 04-08-2010 07:56 AM
(04-08-2010 07:25 AM)rbtux Wrote: Nun unser policyd-weight mach nur dnsbl lookups...
K, danke, werde das gegebenenfalls auch so machen... Habe es vorhin nochmals ohne whitelist probiert, nun weist postfix die Mail wegen zu schnelle wiederprobieren ab ("retrying too fast. penalty 30s x 0 retries."), allerdings kann das nicht sein...
Das pidfile von policyd-weight ist auch nirgends... Muss den Server mal neu starten und schauen wies aussieht.
Ach ich lass es mal... Funktioniert ja und das kommt jetzt in die Doku.^^
Thx @ all für die Tipps
RE: Mails von Facebook = SPAM? - BlackViper73 - 01-31-2011 06:16 PM
Hallo, ich hole den Thread mal wieder aus der Versenkung raus. Ich hab auch ein Problem wie hier beschrieben, aber halt nur nicht mit Mails von Facebook. Hier erstmal der betreffende Teil aus dem Log:
Code:
Jan 31 09:09:03 ct9396 postfix/smtpd[13849]: connect from sccimhc92.nyc3.attens.net[206.18.171.202]
Jan 31 09:09:04 ct9396 postfix/policyd-weight[26374]: weighted check: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .htcsense. - helo: .sccimhc92.asp.att. - helo-domain: .att.) FROM_NOT_FAILED_HELO(DOMAIN)=3; <client=206.18.171.202> <helo=sccimhc92.asp.att.net> <from=do@htcsense.com> <to=info@tienda-fantasia.com>; rate: 1.5
Jan 31 09:09:04 ct9396 postfix/policyd-weight[26374]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: sccimhc92.asp.att.net, MTA hostname: sccimhc92.nyc3.attens.net[206.18.171.202] (helo/hostname mismatch); <client=206.18.171.202> <helo=sccimhc92.asp.att.net> <from=do-not-reply@htcsense.com> <to=info@tienda-fantasia.com>; delay: 1s
Jan 31 09:09:04 ct9396 postfix/smtpd[13849]: NOQUEUE: reject: RCPT from sccimhc92.nyc3.attens.net[206.18.171.202]: 550 5.7.1 <jarno.ackermann@jyl-computer-service.de>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: sccimhc92.asp.att.net, MTA hostname: sccimhc92.nyc3.attens.net[206.18.171.202] (helo/hostname mismatch); from=<do-not-reply@htcsense.com> to=<info@tienda-fantasia.com> proto=ESMTP helo=<sccimhc92.asp.att.net>
Jan 31 09:09:05 ct9396 postfix/smtpd[13849]: disconnect from sccimhc92.nyc3.attens.net[206.18.171.202]
Nun was hab ich bisher getan. Ich habe wie hier beschrieben die helo_whitelist angelegt und dann in die /etc/postfix/main.cf die entsprechende Zeile ergänzt. Dann postfix neu gestartet. Aber es will einfach nicht funktionieren. Die Meldung taucht immer wieder im Log auf.
Als System hab ich Debian Lenny und ispcp 1.0.6 am laufen.
Hab ich irgendwo etwas vergessen?
Viele Grüße und danke schonmal
Jarno
|