Приветствую. Имеется почтовик на freebsd 7.1 exim courier imap postgresql spamasassin clamav
сделанный по инструкции http://www.lissyara.su/?id=1837
Все было замечательно больше полугода. Но с начала августа перестали приходить письма с mail.ru (причем только с него, даже bk.ru все проходит отлично). Спамасассин и клам уже вырубил, все задержки и блэклисты тоже. В логах следущее:2010-09-09 13:20:26 SMTP connection from fallback4.mail.ru [94.100.176.42] lost while reading message data (header)
2010-09-09 13:20:39 SMTP connection from fallback4.mail.ru [94.100.176.42] lost while reading message data (header)На адрес отправителя приходит следующий отлуп через пару дней:
Action: failed
Status: 4.4.2
Diagnostic-Code: X-mPOP-Fallback_MX; conversation with
<доменное.имя.мое>[тут.ип.адрес.мой] timed out while sending end of data -- message
may be sent more than onceСломал всю голову, писал супорту майла, но они видимо возложили болт... Что посоветуете?
>[оверквотинг удален]
>
>Action: failed
>Status: 4.4.2
>Diagnostic-Code: X-mPOP-Fallback_MX; conversation with
> <доменное.имя.мое>[тут.ип.адрес.мой] timed out while sending end of data -- message
> may be sent more than once
>
>Сломал всю голову, писал супорту майла, но они видимо возложили болт... Что
>посоветуете?
>>X-mPOP-Fallback_MXКак вариант в DNS указание MX > <доменное.имя.мое>[тут.ип.адрес.мой] для smtp сервера
Прямая и обратная записи есть. И при том 1 соответствует другой. И POP и SMTP на одном сервере mail.nords.ru
Запустите tcpdump (фильтр корректно составьте), шлите себе письмо с mail.ru и смотрите что там происходит. Там ваша разгадка
>Запустите tcpdump (фильтр корректно составьте), шлите себе письмо с mail.ru и смотрите
>что там происходит. Там ваша разгадкаtcpdump | grep mail.ru
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on nfe0, link-type EN10MB (Ethernet), capture size 96 bytes
14:52:20.201231 IP f124.mail.ru.43645 > 10.1.1.215.smtp: S 3931675012:3931675012(0) win 5840 <mss 1380,nop,nop,timestamp 1356256708 0>
14:52:20.201255 IP 10.1.1.215.smtp > f124.mail.ru.43645: S 4221018566:4221018566(0) ack 3931675013 win 65535 <mss 1380,nop,nop,timestamp 2017093448 1356256708>
14:52:20.608794 IP f124.mail.ru.43645 > 10.1.1.215.smtp: . ack 1 win 5840 <nop,nop,timestamp 1356257098 2017093448>
14:52:21.085500 IP 10.1.1.215.65510 > google-public-dns-a.google.com.domain: 55801+ AAAA? f124.mail.ru. (30)
14:52:21.596893 IP 10.1.1.215.57794 > google-public-dns-a.google.com.domain: 55802+ A? f124.mail.ru. (30)
14:52:21.924864 IP google-public-dns-a.google.com.domain > 10.1.1.215.57794: 55802 1/0/0 A f124.mail.ru (46)
14:52:21.925122 IP 10.1.1.215.smtp > f124.mail.ru.43645: P 1:68(67) ack 1 win 65535 <nop,nop,timestamp 2017095171 1356257098>
14:52:22.164666 IP f124.mail.ru.43645 > 10.1.1.215.smtp: . ack 68 win 5840 <nop,nop,timestamp 1356258820 2017095171>
14:52:22.169632 IP f124.mail.ru.43645 > 10.1.1.215.smtp: P 1:20(19) ack 68 win 5840 <nop,nop,timestamp 1356258821 2017095171>
14:52:22.169733 IP 10.1.1.215.smtp > f124.mail.ru.43645: P 68:220(152) ack 20 win 65535 <nop,nop,timestamp 2017095416 1356258821>
14:52:22.384978 IP f124.mail.ru.43645 > 10.1.1.215.smtp: P 20:92(72) ack 220 win 6432 <nop,nop,timestamp 1356259076 2017095416>
14:52:22.484287 IP 10.1.1.215.smtp > f124.mail.ru.43645: . ack 92 win 65535 <nop,nop,timestamp 2017095731 1356259076>
14:52:23.031787 IP 10.1.1.215.smtp > f124.mail.ru.43645: P 220:298(78) ack 92 win 65535 <nop,nop,timestamp 2017096278 1356259076>
14:52:23.165147 IP f124.mail.ru.43645 > 10.1.1.215.smtp: P 92:458(366) ack 298 win 6432 <nop,nop,timestamp 1356259936 2017096278>
14:52:23.264299 IP 10.1.1.215.smtp > f124.mail.ru.43645: . ack 458 win 65535 <nop,nop,timestamp 2017096511 1356259936>
14:52:23.264739 IP f124.mail.ru.43645 > 10.1.1.215.smtp: R 458:458(0) ack 298 win 65535
14:53:31.532916 IP f252.mail.ru.54975 > 10.1.1.215.smtp: S 1089282895:1089282895(0) win 5840 <mss 1380,nop,nop,timestamp 2308278009 0>
14:53:31.532935 IP 10.1.1.215.smtp > f252.mail.ru.54975: S 299231427:299231427(0) ack 1089282896 win 65535 <mss 1380,nop,nop,timestamp 4108593141 2308278009>
14:53:31.653254 IP f252.mail.ru.54975 > 10.1.1.215.smtp: . ack 1 win 5840 <nop,nop,timestamp 2308278123 4108593141>
14:53:31.872959 IP 10.1.1.215.49841 > google-public-dns-a.google.com.domain: 28463+ AAAA? f252.mail.ru. (30)
14:53:32.152969 IP 10.1.1.215.59442 > google-public-dns-a.google.com.domain: 28464+ A? f252.mail.ru. (30)
14:53:32.352819 IP google-public-dns-a.google.com.domain > 10.1.1.215.59442: 28464 1/0/0 A f252.mail.ru (46)Могу отсюда только понять что мой сервер через гугловский днс проверяет обратную запись сервака майла после чего сервак майла повторят коннект и так до посинения... Отключить проверку на обратные записи? Дык спам повалится...
tcpdump -w ~/smtp.debug -Xx -s 65535 <-i сетевая карта> -n src or dst port 25потом анализируйте ~/smtp.debug
>[оверквотинг удален]
>14:53:31.532916 IP f252.mail.ru.54975 > 10.1.1.215.smtp: S 1089282895:1089282895(0) win 5840 <mss 1380,nop,nop,timestamp 2308278009 0>
>14:53:31.532935 IP 10.1.1.215.smtp > f252.mail.ru.54975: S 299231427:299231427(0) ack 1089282896 win 65535 <mss 1380,nop,nop,timestamp 4108593141 2308278009>
>14:53:31.653254 IP f252.mail.ru.54975 > 10.1.1.215.smtp: . ack 1 win 5840 <nop,nop,timestamp 2308278123 4108593141>
>14:53:31.872959 IP 10.1.1.215.49841 > google-public-dns-a.google.com.domain: 28463+ AAAA? f252.mail.ru. (30)
>14:53:32.152969 IP 10.1.1.215.59442 > google-public-dns-a.google.com.domain: 28464+ A? f252.mail.ru. (30)
>14:53:32.352819 IP google-public-dns-a.google.com.domain > 10.1.1.215.59442: 28464 1/0/0 A f252.mail.ru (46)
>
>Могу отсюда только понять что мой сервер через гугловский днс проверяет обратную
>запись сервака майла после чего сервак майла повторят коннект и так
>до посинения... Отключить проверку на обратные записи? Дык спам повалится...Такое происходит только с mail.ru?
Если нет, то для начала попробуйте отключить Clamav и SpamAssassin.
Cisco (Pix или ASA) используется перед почтовиком?
Не помню версию IOS, но был баг похожий при совпадении определенных условий («ISN randomization bug»). Если версия выше 7.2(2)22, то там этого бага нет.
http://www.cisco.com/cgi-bin/bugtool/onebug.pl?bugid=CSCse14419Может дело и не в этом, но один из вариантов ...
>[оверквотинг удален]
>
>Такое происходит только с mail.ru?
>Если нет, то для начала попробуйте отключить Clamav и SpamAssassin.
>Cisco (Pix или ASA) используется перед почтовиком?
>Не помню версию IOS, но был баг похожий при совпадении определенных условий
>(«ISN randomization bug»). Если версия выше 7.2(2)22, то там этого бага
>нет.
>http://www.cisco.com/cgi-bin/bugtool/onebug.pl?bugid=CSCse14419
>
>Может дело и не в этом, но один из вариантов ...ТОЛЬКО с mail.ru . Указаный баг очень похож и апарат имеет место быть с прошивкой 7.2(2), но отключение рандомизации ничего не меняет.
>[оверквотинг удален]
>>Cisco (Pix или ASA) используется перед почтовиком?
>>Не помню версию IOS, но был баг похожий при совпадении определенных условий
>>(«ISN randomization bug»). Если версия выше 7.2(2)22, то там этого бага
>>нет.
>>http://www.cisco.com/cgi-bin/bugtool/onebug.pl?bugid=CSCse14419
>>
>>Может дело и не в этом, но один из вариантов ...
>
>ТОЛЬКО с mail.ru . Указаный баг очень похож и апарат имеет место
>быть с прошивкой 7.2(2), но отключение рандомизации ничего не меняет.Посмотрел логи у себя.
За сегодня было 5 записей:
2010-09-10 00:14:03 SMTP connection from mail-qw0-f42.google.com [209.85.216.42] lost while reading message dataНо все они были после 0 часов в одном интервале в 15 минут.
Позже письма были приняты.За вчера больше.
Всяких DSL спамеров не считаю (типа "41-133-166-93.dsl.mweb.co.za").
Так вот кроме них с cisco.com периодически случаются обрывы. Но они не постоянны, поэтому не напрягают.
>[оверквотинг удален]
>
>
>Но все они были после 0 часов в одном интервале в 15
>минут.
>Позже письма были приняты.
>
>За вчера больше.
>Всяких DSL спамеров не считаю (типа "41-133-166-93.dsl.mweb.co.za").
>Так вот кроме них с cisco.com периодически случаются обрывы. Но они не
>постоянны, поэтому не напрягают.Если бы письма доставлялись позже я бы и не разводил суету, даже если бы приходили не все письма. Но с майла не приходят письма вообще никакие ни одного (ну кроме отправленных через телнет)...
>[оверквотинг удален]
>>Позже письма были приняты.
>>
>>За вчера больше.
>>Всяких DSL спамеров не считаю (типа "41-133-166-93.dsl.mweb.co.za").
>>Так вот кроме них с cisco.com периодически случаются обрывы. Но они не
>>постоянны, поэтому не напрягают.
>
>Если бы письма доставлялись позже я бы и не разводил суету, даже
>если бы приходили не все письма. Но с майла не приходят
>письма вообще никакие ни одного (ну кроме отправленных через телнет)...Как вариант, чтобы убедиться, что проблема не в Exim и его обвязке.
Сделайте себе субдомен - думаю, труда не составит.
Поднимите на другом хосте какой-нибудь почтовик в простейшем варианте, который примет почту на созданный домен.И потом отправьте на тестовый домен письмо с mail.ru. Если пройдет - значит тогда надо искать проблему на почтовом сервере.
Если будут те же симптомы, то тогда, скорее всего, ваша ASA. Допускаю, конечно, что может быть глюк именно в связке mail.ru - ваш_сервер. Но вероятность этого мала.
>[оверквотинг удален]
>
>Сделайте себе субдомен - думаю, труда не составит.
>Поднимите на другом хосте какой-нибудь почтовик в простейшем варианте, который примет почту
>на созданный домен.
>
>И потом отправьте на тестовый домен письмо с mail.ru. Если пройдет -
>значит тогда надо искать проблему на почтовом сервере.
>Если будут те же симптомы, то тогда, скорее всего, ваша ASA. Допускаю,
>конечно, что может быть глюк именно в связке mail.ru - ваш_сервер.
>Но вероятность этого мала.mail.nords.ru. - не о нем ли идет речь?
Что используется PIX, заметно:
220 *************************************************************А сообщения на русском - это вообще не красиво:
rcpt to: postmaster@nords.ru
550 "п▓ я█я┌п╬п╪ пЄп╬п╪п╣пҐп╣ пҐп╣я┌ я┌п╟п╨п╬пЁп╬ п©п╬п╩я▄пЇп╬п╡п╟я┌п╣п╩я▐"Ну если речь не о mail.nords.ru - извините.
>[оверквотинг удален]
>mail.nords.ru. - не о нем ли идет речь?
>
>Что используется PIX, заметно:
>220 *************************************************************
>
>А сообщения на русском - это вообще не красиво:
>rcpt to: postmaster@nords.ru
>550 "п▓ я█я┌п╬п╪ пЄп╬п╪п╣пҐп╣ пҐп╣я┌ я┌п╟п╨п╬пЁп╬ п©п╬п╩я▄пЇп╬п╡п╟я┌п╣п╩я▐"
>
>Ну если речь не о mail.nords.ru - извините.Да. Речь о mail.nords.ru. Да PIX стоит. Русскоязычные отлупы перевел на английский - косяк конечно ))
>[оверквотинг удален]
>>220 *************************************************************
>>
>>А сообщения на русском - это вообще не красиво:
>>rcpt to: postmaster@nords.ru
>>550 "п▓ я█я┌п╬п╪ пЄп╬п╪п╣пҐп╣ пҐп╣я┌ я┌п╟п╨п╬пЁп╬ п©п╬п╩я▄пЇп╬п╡п╟я┌п╣п╩я▐"
>>
>>Ну если речь не о mail.nords.ru - извините.
>
>Да. Речь о mail.nords.ru. Да PIX стоит. Русскоязычные отлупы перевел на английский
>- косяк конечно ))rcpt to: postmaster@nords.ru
550 "Unknown user"Это тоже плохо. Куда писать в случае проблем с доставкой почты?
Как я писал, попробуйте с другим почтовиком с минимальным конфигом.
Потом попробуйте отключить инспекцию smtp (на data она не влияет, но мало ли).И отключите все-таки "randomization of TCP sequence numbers".
access-list NOTCPRAND extended permit tcp any any
class-map NOTCPRAND
match access-list NOTCPRANDpolicy-map global_policy
class NOTCPRAND
set connection random-sequence-number disableЭкспериментом с другим почтовиком и субдоменом вы исключите проблему с настройками рабочего основного почтового сервера.
А отключением на PIX ... убедитесь, что приведенный баг у вас в IOS исправлен.Мы с багом в IOS столкнулись один раз. Вернее, только с одним клиентом.
И хорошо, что он хорошо знал Cisco и знал о баге. Проверили отключением "randomization of TCP sequence numbers", потом обновили ios. И почта от него пошла к нам.
>[оверквотинг удален]
>Экспериментом с другим почтовиком и субдоменом вы исключите проблему с настройками рабочего
>основного почтового сервера.
>А отключением на PIX ... убедитесь, что приведенный баг у вас в
>IOS исправлен.
>
>Мы с багом в IOS столкнулись один раз. Вернее, только с одним
>клиентом.
>И хорошо, что он хорошо знал Cisco и знал о баге. Проверили
>отключением "randomization of TCP sequence numbers", потом обновили ios. И почта
>от него пошла к нам.ОГРОМНОЕ СПАСИБО!!! Всему виной инспекция SMTP. Отключил - все залетало! Спасибо всем и Вам - лично!
>[оверквотинг удален]
>>IOS исправлен.
>>
>>Мы с багом в IOS столкнулись один раз. Вернее, только с одним
>>клиентом.
>>И хорошо, что он хорошо знал Cisco и знал о баге. Проверили
>>отключением "randomization of TCP sequence numbers", потом обновили ios. И почта
>>от него пошла к нам.
>
>ОГРОМНОЕ СПАСИБО!!! Всему виной инспекция SMTP. Отключил - все залетало! Спасибо всем
>и Вам - лично!Посмотрите более новую версию IOS.
Раньше был еще баг в IOS, что при включенной инспекции не работал ESMTP ...И еще, инспекция на данные не влияет. Только на заголовки.
Значит этой "инспекции" не понравился какой-то заголовок, передаваемый mail.ru.
Можете отловить и аргументированно написать в mail.ru.
>[оверквотинг удален]
>На адрес отправителя приходит следующий отлуп через пару дней:
>
>Action: failed
>Status: 4.4.2
>Diagnostic-Code: X-mPOP-Fallback_MX; conversation with
> <доменное.имя.мое>[тут.ип.адрес.мой] timed out while sending end of data -- message
> may be sent more than once
>
>Сломал всю голову, писал супорту майла, но они видимо возложили болт... Что
>посоветуете?Я бы тоже положил болт. Даже целое ведро болтов бы выложил.
Задолбали уже "админы", которые не понимая и не вникая делают по чьей-то "инструкции", а потом задрав нос к верху уверены, что они правы на все 100%, так как сделали по инструкции.
Учите матчасть, вникайте хотя бы в те продукты, с которыми работаете.
Или уж если "лень-матушка" раньше вас родилась, то хотя бы разберитесь, что вы "скопипастили" с той инструкции.
>[оверквотинг удален]
>>Сломал всю голову, писал супорту майла, но они видимо возложили болт... Что
>>посоветуете?
>
>Я бы тоже положил болт. Даже целое ведро болтов бы выложил.
>Задолбали уже "админы", которые не понимая и не вникая делают по чьей-то
>"инструкции", а потом задрав нос к верху уверены, что они правы
>на все 100%, так как сделали по инструкции.
>Учите матчасть, вникайте хотя бы в те продукты, с которыми работаете.
>Или уж если "лень-матушка" раньше вас родилась, то хотя бы разберитесь, что
>вы "скопипастили" с той инструкции.это ты сейчас к чему сказал?
>это ты сейчас к чему сказал?Лично я не против помочь коллеге советом. Но когда вместо коллеги натыкаюсь на халявщика, который норовит сесть на шею и свесить ножки...
Это те же лица, которые раньше в периоды сессий просили им задачки порешать.
>[оверквотинг удален]
>>Сломал всю голову, писал супорту майла, но они видимо возложили болт... Что
>>посоветуете?
>
>Я бы тоже положил болт. Даже целое ведро болтов бы выложил.
>Задолбали уже "админы", которые не понимая и не вникая делают по чьей-то
>"инструкции", а потом задрав нос к верху уверены, что они правы
>на все 100%, так как сделали по инструкции.
>Учите матчасть, вникайте хотя бы в те продукты, с которыми работаете.
>Или уж если "лень-матушка" раньше вас родилась, то хотя бы разберитесь, что
>вы "скопипастили" с той инструкции.А давно ли ты сам, Миша Голуб(ь) ,НЕ стал таким "админом"?.. Пиздеть не мешки ворочать.
"Профессионал"...
2 Golub Michail
Меня честно умиляют такие "гуру" вроде вас... Не жалеющие времени и умственного напряжения на то чтобы зайти и написать что-то вроде "О у меня просто замечательный экскаватор на радиоуправлении! Хочешь поиграть, Кайл? Ах да я забыл, тебе же запрещено! ХЕХЕХЕ!" (с) ;) Что ж вы не положите ведро болтов на эту тему и не пройдете мимо, уважаемый автор всех на свете уникальных самолично написанных нигде не подсмотренных конфигов? Это не вопрос, это предложение. Не отвечайте...2 Все остальные
Из дампа стало видно что сервак майла отваливается между RCPT TO и Accepted. Видимо поиск адресата идет слишком долго хотя при отправке почты с майла при помощи телнета Accepted появляется практически моментально... Слишком большая база узерейчтоли у меня? Долго ищет?
Да, кстати, забыл сказать, через телнет с майла все замечательно приходит...
как можно с mail.ru сделать telnet на свой сервер?
>как можно с mail.ru сделать telnet на свой сервер?telnet smtp.mail.ru 25
helo mail.ru
mail from: зареганныйадрес@mail.ru
rcpt to: вашадрес@ваш.сервер
data
test test test
.
quitВ результате от зареганныйадрес@mail.ru на вашадрес@ваш.сервер приходит письмо без темы с текстом test test test
>[оверквотинг удален]
>helo mail.ru
>mail from: зареганныйадрес@mail.ru
>rcpt to: вашадрес@ваш.сервер
>data
>test test test
>.
>quit
>
>В результате от зареганныйадрес@mail.ru на вашадрес@ваш.сервер приходит письмо без темы с текстом
>test test testвсе верхнее чепуха!