[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Admin] Mailprobleme von Arcor Richtung UUGRN ... und die Loesung.
[Thread Prev] | [Thread Next]
- Subject: [Admin] Mailprobleme von Arcor Richtung UUGRN ... und die Loesung.
- From: Raphael Becker <rabe@xxxxxxxxx>
- Date: Thu, 23 Apr 2009 21:13:56 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen,
wir hatten in letzter Zeit auf dem MX von uugrn.org ein Problem mit den
Mailservern von Arcor. Auf unserem Mailserver verwenden wir als eines von
mehreren Features auch "greet_pause" in sendmail mit einem
konfiguriertem Delay von 5sec.
Beispiel:
--------------------------
$ telnet up.uugrn.org 25
Trying 195.49.138.11...
Connected to up.uugrn.org.
Escape character is '^]'.
(hier 5 sec Zwangspause)
220 up.uugrn.org ESMTP Sendmail 8.13.3/8.13.3; Thu, 23 Apr 2009 21:01:30 +0200 (CEST)
(hier gehts weiter mit dem SMTP-Dialog, idR erstmal mit EHLO)
quit
Connection closed by foreign host.
--------------------------
Dieses Feature blockiert aktiv Mailserver, die vor der "220 Begruessung"
durch unseres Mailservers (ungefragt/vorzeitig) mit der Uebertragung der
Mail beginnen.
Nach RFC 2821 §4.5.3.2 ist definiert, dass ein Client einen Timeout-
Mechanismus implementieren MUSS("MUST") und dass dieser aud die
"Begruessung" bis zu 5min(!) warten SOLLTE ("SHOULD").
Durch einen DNS-Resolver-Bug auf unserem Mailserver wurde das
voreingestellte Delay von 5sec um weitere ca 30sec verlaengert. Da dieser
Timeout ebenfalls *vor* dem initialen "220 Begruessung" anfaellt, wurde die
"greet_pause" auf 35sec verlaengert.
Das war fuer alle Mailprovider ausser Arcor auch problemlos, wodurch
allerdings Arcor seine Mails zwar regelmaessig erneut versucht hat
zuzustellen, aber jedesmal am greet_pause-Timeout gescheitert ist, scheinbar
haben die einen deutlich geringeren Timeout als die empfohlenen 5min.
Im weiteren Verdacht steht auch eine DNSBL, die scheinbar nicht mehr
reagiert (und somit zusaetzliche DNS-Timeouts eingebracht hat) und
vorsorglich bei uns deaktiviert wurde.
Der DNS-Resolverbug wurde zwar schon am 13.4.2009 erkannt und unmittelbar
behoben (weil ssh-Logins stark verzoegert waren), der laufende Sendmail
hat die korrektur in /etc/resolv.conf nicht automatisch uebernommen,
sondern wollte erst neu gestartet werden. (haeufiger Admin-Fehler ...)
Das Problem bestand fuer alle Domains, die ihren (primaeren) MX via
up.uugrn.org laufen haben, insbesondere auch diese Mailingliste, da
MX uugrn.org nur via up.uugrn.org laeuft.
Ich hoffe, dass sich dieses - vor allem fuer Arcor-User sichtbar
gewordene - Problem damit erledigt hat.
Gruss
Raphael
PS: Da ich nicht via Arcor mailen kann, kann ich das auch nicht selbst
testen, vielleicht kann mir jemand kurz eine Mail schicken.
PPS: Danke an Michael, der sich um das Problem gekuemmert hat.
PPPS: Der Sinn dieser Zwangspause wird schnell deutlich: eine sehr grosse
Anzahl von Spam-Bots kennen keine Queues und pumpen einfach ihren SPAM
per SMTP ins Netz, egal wieviel davon ankommt. Da Mails, die man
garnicht erst annimmt auch keinen Filteraufwand verursachen, ist diese
Methode relativ effizient um gegen RFC-Suender vorzugehen.
Dumm nur, dass Arcor in diesem Fall ebenfalls die dringende Empfehlung
des RFCs ("SHOULD") missachtet hat und genauso Guerillia-SMTP sprechen
wie die ganzen Zombies da draussen. Da es Bot-Netze gibt, die Mails auch
an UUGRN zustellen koennen, sollte Arcor vielleicht seine ausgehenden
Mails ueber diese "Services" zustellen, die koennen das scheinbar besser ;-)
--
Raphael Becker <rabe@xxxxxxxxx> http://rabe.uugrn.org/
GnuPG: E7B2 1D66 3AF2 EDC7 9828 6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..
--
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/