Hallo Liste,
ich bin da wieder auf was ganz Spannendes gestoßen:
hier http://www.postfix.org/ADDRESS_VERIFICATION_README.html#probe_routing interpretiere ich heraus, dass die sender address verification gegen den MX mit höchster Priorität laufen sollte. Nun hatte ich den Fall, das einer versucht unseren Kunden zu kontaktieren und das nicht zustande bekam weil mein sender address verification den Absender versuchte gegen dessen 2. MX aufzulösen. Dieser MX hatte einen "Defekt" war aber offenbar irgendwie erreichbar, sodass es hier nur einen 450 gab und keinen 5xx. Das Ganze über zwei Tage hindert dann ernsthaft die Mailkommunikation.
Hübsch war die Lösung des Gegenüber, weil sich der Absender dort beschwerte, sein Mail nicht schicken zu können. a) sei mein Mailserver seltsam, weil er mit dem 2. MX redet - und das will ich hier zur Diskussion freigeben b) hat er einfach den 2. MX aus der Zone entfernt, satt mit mir zu reden - whitelisting auf meiner Seite wäre da sinnvoller denke ich
Ich habe meinem postfix nicht bewusst so was beigebracht, einen niederprioren MX zu verwenden und auch nicht nur ausschließlich diesen. Ist es default oder gar konform, das man den auch befragen kann? Man kann für sender address verification wohl einen eigenen relay definieren, das habe ich nicht, und schon gar nicht auf diesen MX.
Also: Ist es seltsam, das mein postfix ohne vorher am 1st MX zu scheitern den 2nd MX fragt? Und ist es drüber hinaus richtig, dass wenn er dort ne 450 bekommt, eben immer wieder diesen probiert?
Mit freundlichen Grüßen / With kind regards Ronny Seffner -- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059 | mobiltelefon +49 174 9474439
Hallo Ronny,
Ronny Seffner ronny@seffner.de (Do 29 Okt 2009 17:03:01 CET):
Hallo Liste,
ich bin da wieder auf was ganz Spannendes gestoßen:
hier http://www.postfix.org/ADDRESS_VERIFICATION_README.html#probe_routing interpretiere ich heraus, dass die sender address verification gegen den MX mit höchster Priorität laufen sollte.
Ich habe mir nicht Mühe gegeben, das dort alles zu verstehen, aber die normale Logik sagt, daß Adress-Verification den selben Regeln folgen sollte, wie auch eine wirkliche Mailzustellung. Mit den dort beschriebenen Ausnamen wie Smarthost usw.
Nun hatte ich den Fall, das einer versucht unseren Kunden zu kontaktieren und das nicht zustande bekam weil mein sender address verification den Absender versuchte gegen dessen 2. MX aufzulösen.
Hier wäre die erste Frage an den Postfix -- warum? Hatte er den 1. MX vorher (vielleicht auch schon erfolglos mit 4xx) versucht?
Dieser MX hatte einen "Defekt" war aber offenbar irgendwie erreichbar, sodass es hier nur einen 450 gab und keinen 5xx. Das Ganze über zwei Tage hindert dann ernsthaft die Mailkommunikation.
Ich *glaube*, im Exim gab es mal einen ähnlichen Defekt.
Hübsch war die Lösung des Gegenüber, weil sich der Absender dort beschwerte, sein Mail nicht schicken zu können. a) sei mein Mailserver seltsam, weil er mit dem 2. MX redet - und das will ich hier zur Diskussion freigeben
Nach meiner Auffassung bist Du nicht verpflichtet, beim 1. MX die Mail einzuliefern (zu testen). Aber vielleicht *solltest* Du diesen tatsächlich zuerst probieren. Der zweite ist ja dafür da, wenn's Probleme mit dem 1. gibt. Und das kann der zweite nicht allein entscheiden, denn vielleicht hast ja *Du* ein Routing-Problem und mußt deswegen auf den 2. ausweichen.
b) hat er einfach den 2. MX aus der Zone
entfernt, satt mit mir zu reden - whitelisting auf meiner Seite wäre da sinnvoller denke ich
Nun, vielleicht hätte er gucken sollen, warum sein 2. MX 4xx liefert und das Problem fixen können.
Ich habe meinem postfix nicht bewusst so was beigebracht, einen niederprioren MX zu verwenden und auch nicht nur ausschließlich diesen. Ist es default oder gar konform, das man den auch befragen kann? Man kann für sender address verification wohl einen eigenen relay definieren, das habe ich nicht, und schon gar nicht auf diesen MX.
Wie oben, die Gründe einen anderen als den besten MX zu fragen, können vielfältig sein und gehen den MX eigentlich nichts an.
Also: Ist es seltsam, das mein postfix ohne vorher am 1st MX zu scheitern den 2nd MX fragt? Und ist es drüber hinaus richtig, dass wenn er dort ne 450 bekommt, eben immer wieder diesen probiert?
Ja, es ist seltsam. Nein, ich halte es nicht für richtig, denn die Situation kann sichja inzwischen geändert haben.
Es gibt hin und wieder „MX-Sandwiching“ (oder wie das heißt) - und es könnte bedeuten, daß Dein Postfix dann auch Probleme hat, wenn er z.B. mit dem schlechtesten MX anfängt zu probieren und dort „kleben“ bleibt.
MX 10 <…> connection refused MX 20 <…> 220 (E)SMTP OK MX 30 <…> 450 Temporary Problem (oder Timeout oder was ähnliches)
Ich denke(!) also, daß er immer wieder von vorne anfangen müsste. Bis er entweder 2xx oder 5xx bekommt. ABER ich habe jetzt in keinem RfC nachgelesen.
Hallo Heiko,
Ich habe mir nicht Mühe gegeben, das dort alles zu verstehen, aber die
Die Kernaussage : "By default, Postfix sends address verification probe messages via the same route as regular mail, because that normally produces the most accurate result."
Hier wäre die erste Frage an den Postfix -- warum? Hatte er den 1. MX vorher (vielleicht auch schon erfolglos mit 4xx) versucht?
Eben das ist den Logs so nicht zu entnehmen. Er hat direkt mit dem 2. MX angefangen.
Ich *glaube*, im Exim gab es mal einen ähnlichen Defekt.
Ich meine nicht das der Code kaputt war, sondern der Server oder seine Konfiguration. Entweder hat er auf alles mit ner 4xx geantwortet, weil er einen Parameter in seiner config nicht verkraftet hat oder der war aus und ein Paketfilter davor hat nicht rejected sondern gedropped (ob das allerdings lokal als 450 gewertet wird?). Fakt ist Mein server bemerkte: "connection timed out" und machte daraus eine 450 weil es eben kein "refused/denied" war, welches einem 5xx würdig wäre.
Nach meiner Auffassung bist Du nicht verpflichtet, beim 1. MX die Mail einzuliefern (zu testen).
So sehe ich das eigentlich auch.
Aber vielleicht *solltest* Du diesen tatsächlich zuerst probieren.
Was sagt denn das RFC dazu: soll man oder soll man nicht. Weis das einer aus dem Kopf und auch gleich wie das bei postfix implementiert ist?
Nun, vielleicht hätte er gucken sollen, warum sein 2. MX 4xx liefert und das Problem fixen können.
Das hat er ja auch. Weil "meiner" aber so seltsam ist, hat er gleich den 2. mit aus der Zone geschmissen ... wenn nun der 1. mal noch diesen ominösen "Defekt" hat, dann löscht er den auch?
Also: Ist es seltsam, das mein postfix ohne vorher am 1st MX zu scheitern den 2nd MX fragt? Und ist es drüber hinaus richtig, dass wenn er dort ne 450 bekommt, eben immer wieder diesen probiert?
Ja, es ist seltsam. Nein, ich halte es nicht für richtig, denn die Situation kann sichja inzwischen geändert haben.
Kennt da zufällig einer den Parameter, der dort wirken könnte - mein Postfix Buch gab so wenig her wie meine Webrecherche ;-( Ich kann mit der Aussage ja konform gehen, nur brauche ich Hilfe die Schrauben zu finden - oder stellt sich postfix hier so verkorkst heraus wie ich qmail empfinde (duck und weg).
entweder 2xx oder 5xx bekommt. ABER ich habe jetzt in keinem RfC nachgelesen.
Die Zeit muss ich mir wohl noch nehmen.
Mit freundlichen Grüßen / With kind regards Ronny Seffner -- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059 | mobiltelefon +49 174 9474439
Hallo Ronny,
Ronny Seffner ronny@seffner.de (Do 29 Okt 2009 18:23:01 CET):
Hallo Heiko,
Ich habe mir nicht Mühe gegeben, das dort alles zu verstehen, aber die
Die Kernaussage : "By default, Postfix sends address verification probe messages via the same route as regular mail, because that normally produces the most accurate result."
Ja, habe ich gelesen, und wenn ich mir jetzt RFC5321 ansehe (Section 4.2.4), dann sollte der beste zuerste genommen werden:
MX records contain a preference indication that MUST be used in sorting if more than one such record appears (see below). Lower numbers are more preferred than higher ones. If there are multiple destinations with the same preference and there is no clear reason to favor one (e.g., by recognition of an easily reached address), then the sender-SMTP MUST randomize them to spread the load across multiple mail exchangers for a specific organization.
Aber wie schon vorher erwähnt, es kann ja Gründe geben, daß das nicht funktioniert.
vorher (vielleicht auch schon erfolglos mit 4xx) versucht?
Eben das ist den Logs so nicht zu entnehmen. Er hat direkt mit dem 2. MX angefangen.
Und siehst Du mit tcpdump o.ä. was? DNS-Queries, Verbindungsversuche?
Ich *glaube*, im Exim gab es mal einen ähnlichen Defekt.
Ich meine nicht das der Code kaputt war, sondern der Server oder seine Konfiguration. Entweder hat er auf alles mit ner 4xx geantwortet, weil er einen Parameter in seiner config nicht verkraftet hat oder der war aus und ein Paketfilter davor hat nicht rejected sondern gedropped (ob das allerdings lokal als 450 gewertet wird?). Fakt ist Mein server bemerkte: "connection timed out" und machte daraus eine 450 weil es eben kein "refused/denied" war, welches einem 5xx würdig wäre.
Moment - Du sprachst von einem Defekt *deines* Postfix (der auf dem 2. MX „kleben“ blieb), oder?
(refused/denied: hier kommt es drauf an, wann was refused oder denied wird. Wenn z.B. ganz am Anfang der MX die Verbindung ablehnt, wäre das auch als 4xx zu interpretieren.
Wobei ich mir nicht ganz sicher bin, wie das:
(…) If MX records are present, but none of them are usable, or the implicit MX is unusable, this situation MUST be reported as an error.
zu interpretieren ist. Was ist „unusable“ -- wenn alle z.B. aus Versehen keinen Dienst auf dem SMTP-Port haben? Kann ja auch sein, daß das ein vorübergehendes Problem ist. Und vor allem - wenn es nur einen MX gibt - wenn der mal kurz down ist, heißt das dann gleich, alle MX waren „unusable“ und es ist als 5xx zu deuten? Glaube(!) ich eher nicht.
Was sagt denn das RFC dazu: soll man oder soll man nicht. Weis das einer aus dem Kopf und auch gleich wie das bei postfix implementiert ist?
Nun, vielleicht hätte er gucken sollen, warum sein 2. MX 4xx liefert und das Problem fixen können.
Das hat er ja auch. Weil "meiner" aber so seltsam ist, hat er gleich den 2. mit aus der Zone geschmissen ... wenn nun der 1. mal noch diesen ominösen "Defekt" hat, dann löscht er den auch?
Das ist mir jetzt zu hoch.
Also: Ist es seltsam, das mein postfix ohne vorher am 1st MX zu scheitern den 2nd MX fragt? Und ist es drüber hinaus richtig, dass wenn er dort ne 450 bekommt, eben immer wieder diesen probiert?
Ja, es ist seltsam. Nein, ich halte es nicht für richtig, denn die Situation kann sichja inzwischen geändert haben.
Kennt da zufällig einer den Parameter, der dort wirken könnte - mein Postfix Buch gab so wenig her wie meine Webrecherche ;-(
… dort … ? Wieso dort? Du willst doch Deinen Postfix überreden, nicht mit dem 2. MX anzufangen beim Versuch, sondern beim 1.
Kann es vielleicht sein, daß der 1. mal ein Problem *hatte* und Postfix sich das gemerkt hat und deshalb gleich den 2. probiert? Mit irgendwelchen Mitteln muß Postfix ja seinen schnellen Queue-Abbau hinbekommen ☺
Ich kann mit der Aussage ja konform gehen, nur brauche ich Hilfe die Schrauben zu finden - oder stellt sich postfix hier so verkorkst heraus wie ich qmail empfinde (duck und weg).
S.o. -- Caching irgendwo über die Nutzbarkeit von Hosts.
Die Zeit muss ich mir wohl noch nehmen.
Ist ja bald Weihnachten und das Biergartenwetter ist auch erstmal vorbei ☺
Gutem Morgen Heiko,
Ja, habe ich gelesen, und wenn ich mir jetzt RFC5321 ansehe (Section 4.2.4), >
Danke, das schafft Klarheit. Jetzt durchforste ich nochmal die Logs, waru postfix auf die Idee kommt den 2. MX zu nutzen.
Und siehst Du mit tcpdump o.ä. was? DNS-Queries, Verbindungsversuche?
Jetzt ist die Zone (des Gegenübers) ja umgebaut (hat keinen zweiten MX mehr) ...
Moment - Du sprachst von einem Defekt *deines* Postfix (der auf dem 2. MX „kleben“ blieb), oder?
Jain. Mit dem Begriff des "Defekt" meinte ich den zweiten MX des Gegenüber - das war die wörtliche Aussage des Betreibers dort. Ob mein postfix Fehlverhalten an den Tag legt ist ja noch zu prüfen.
Das hat er ja auch. Weil "meiner" aber so seltsam ist, hat er gleich den 2. mit aus der Zone geschmissen ... wenn nun der 1. mal noch diesen ominösen "Defekt" hat, dann löscht er den auch?
Das ist mir jetzt zu hoch.
Ganz einfach. Die Lösung unseres Mailpartners bestand darin aus der Zone der domain einfach den zweiten MX zu entfernen, damit mein Server gezwungen wird seinen 1. MX zu fragen. Bei dieser Herangehensweise hab ich jetzt spekuliert, dass wenn es mit dem 1. und einzigen MX mal Probleme gibt er diesen dann wohl auch aus der Zone nehmen wird. Auf mein gestriges Angebot, das ich deren domain bis zur entgültigen Klärum whiteliste, damit die ihre Redundanz mit dem 2. MX wiederherstellen können kam nur: "wir haben auch anderes zu tun". Ich kann deren Lösung nicht optimal empfinden.
Kennt da zufällig einer den Parameter, der dort wirken könnte - mein Postfix Buch gab so wenig her wie meine Webrecherche ;-(
… dort … ? Wieso dort? Du willst doch Deinen Postfix überreden, nicht mit dem 2. MX anzufangen beim Versuch, sondern beim 1.
Dort - in meinem postfix an betreffend wirksamer Stelle. Ich kann keinen Parameter mit hilfe unterschiedlichster Quellen ausfindig machen - wieso auch, wenn sich postfix RFC konform verhäkt gibt es erstmal keinen normal denkbaren Sinn das manipulieren zu wollen. Mir bleibt nun die Suche nach einem Grund, warum mein postfix sich gegen den 1. MX entschieden hat.
Danke.
Mit freundlichen Grüßen / With kind regards Ronny Seffner -- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059 | mobiltelefon +49 174 9474439
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
Ronny Seffner