[Admin] Mailprobleme von Arcor Richtung UUGRN ... und die Loesung.

Autor: Raphael Becker <rabe_at_uugrn.org>
Datum: Thu, 23 Apr 2009 21:13:56 +0200
Hallo zusammen,

wir hatten in letzter Zeit auf dem MX von uugrn.org ein Problem mit den
Mailservern von Arcor. Auf unserem Mailserver verwenden wir als eines von
mehreren Features auch "greet_pause" in sendmail mit einem
konfiguriertem Delay von 5sec. 

Beispiel:
--------------------------
$ telnet up.uugrn.org 25
Trying 195.49.138.11...
Connected to up.uugrn.org. 
Escape character is '^]'.
(hier 5 sec Zwangspause)
220 up.uugrn.org ESMTP Sendmail 8.13.3/8.13.3; Thu, 23 Apr 2009 21:01:30 +0200 (CEST)
(hier gehts weiter mit dem SMTP-Dialog, idR erstmal mit EHLO)
quit
Connection closed by foreign host.
--------------------------

Dieses Feature blockiert aktiv Mailserver, die vor der "220 Begrüßung" 
durch unseres Mailservers (ungefragt/vorzeitig) mit der Übertragung der 
Mail beginnen.

Nach RFC 2821 §4.5.3.2 ist definiert, dass ein Client einen Timeout-
Mechanismus implementieren MUSS("MUST") und dass dieser aud die 
"Begrüßung" bis zu 5min(!) warten SOLLTE ("SHOULD").
   
Durch einen DNS-Resolver-Bug auf unserem Mailserver wurde das 
voreingestellte Delay von 5sec um weitere ca 30sec verlängert. Da dieser 
Timeout ebenfalls *vor* dem initialen "220 Begrüßung" anfällt, wurde die
"greet_pause" auf 35sec verlängert. 

Das war für alle Mailprovider außer Arcor auch problemlos, wodurch
allerdings Arcor seine Mails zwar regelmäßig erneut versucht hat 
zuzustellen, aber jedesmal am greet_pause-Timeout gescheitert ist, scheinbar 
haben die einen deutlich geringeren Timeout als die empfohlenen 5min.

Im weiteren Verdacht steht auch eine DNSBL, die scheinbar nicht mehr 
reagiert (und somit zusätzliche DNS-Timeouts eingebracht hat) und 
vorsorglich bei uns deaktiviert wurde.

Der DNS-Resolverbug wurde zwar schon am 13.4.2009 erkannt und unmittelbar
behoben (weil ssh-Logins stark verzögert waren), der laufende Sendmail
hat die korrektur in /etc/resolv.conf nicht automatisch übernommen,
sondern wollte erst neu gestartet werden.  (häufiger Admin-Fehler ...) 

Das Problem bestand für alle Domains, die ihren (primären) MX via
up.uugrn.org laufen haben, insbesondere auch diese Mailingliste, da
MX uugrn.org nur via up.uugrn.org läuft.

Ich hoffe, dass sich dieses - vor allem für Arcor-User sichtbar
gewordene - Problem damit erledigt hat.


Gruß
Raphael

PS: Da ich nicht via Arcor mailen kann, kann ich das auch nicht selbst 
testen, vielleicht kann mir jemand kurz eine Mail schicken.

PPS: Danke an Michael, der sich um das Problem gekümmert hat.

PPPS: Der Sinn dieser Zwangspause wird schnell deutlich: eine sehr große
Anzahl von Spam-Bots kennen keine Queues und pumpen einfach ihren SPAM
per SMTP ins Netz, egal wieviel davon ankommt. Da Mails, die man
garnicht erst annimmt auch keinen Filteraufwand verursachen, ist diese
Methode relativ effizient um gegen RFC-Sünder vorzugehen. 

Dumm nur, dass Arcor in diesem Fall ebenfalls die dringende Empfehlung 
des RFCs ("SHOULD") missachtet hat und genauso Guerillia-SMTP sprechen 
wie die ganzen Zombies da draussen. Da es Bot-Netze gibt, die Mails auch 
an UUGRN zustellen können, sollte Arcor vielleicht seine ausgehenden 
Mails über diese "Services" zustellen, die können das scheinbar besser ;-)

-- 
Raphael Becker          <rabe@uugrn.org>          http://rabe.uugrn.org/
GnuPG:                E7B2 1D66 3AF2 EDC7 9828  6D7A 9CDA 3E7B 10CA 9F2D
.........|.........|.........|.........|.........|.........|.........|..


--
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 23.04.2009

Dieses Archiv wurde generiert von hypermail 2.2.0 : 23.04.2009 CEST