Configuration AntiSpam et MX backup

[Gaston]

Bonjour,
suite à la mise en fonction de l'antispam sur un serveur, j'ai qques doutes existentiels

La configuration est pas très propre, mais fonctionnelle jusque là

Code: Tout sélectionner

Site1 SME1 :
SME 7.4 S&G / domaine1.fr / DNS free / SMTPSmartHost=smtp.free.fr
Site2 SME2 :
SME 7.4 Server only / domaine2.org / DNS numericable / SMTPSmartHost=smtp.numericable.fr
contrib smeserver-mxbackup-0.1.0-02

MX domaine1
;; ANSWER SECTION:
domaine1.fr.          10800   IN      MX      20 mail.domaine2.org.
domaine1.fr.          10800   IN      MX      10 mail.domaine1.fr.

MX domaine2
;; ANSWER SECTION:
domaine2.org.      43200   IN      MX      10 mail.domaine2.org.

Le serveur du site 2 (mail.domaine2.org.) est donc MX backup pour le domaine du site 1 (domaine1.fr.)
Sur les serveurs, la conf qpsmtpd était :

Code: Tout sélectionner

qpsmtpd=service
    Bcc=disabled
    BccMode=cc
    BccUser=maillog
    DNSBL=enabled
    LogLevel=6
    MaxScannerSize=25000000
    RBLList=whois.rfc-ignorant.org:dnsbl.njabl.org:zen.spamhaus.org
    RHSBL=enabled
    RequireResolvableFromHost=no
    SBLList=dsn.rfc-ignorant.org
    access=public
    qplogsumm=disabled
    status=enabled

la modification apportée aujourd'hui sur les deux serveurs :

Code: Tout sélectionner

config setprop qpsmtpd RBLList \
whois.rfc-ignorant.org:\
dnsbl.njabl.org:\
zen.spamhaus.org:\
dnsbl-1.uceprotect.net:\
multihop.dsbl.org:\
psbl.surriel.com
config setprop qpsmtpd DNSBL enabled RHSBL enabled

+ activation de l'antispam sur SME1 (il tournait déjà depuis un mois sur SME2)

Envoi d'un mail d'information (je suis d'accord que la j'ai -un peu- cherché les $%#&!, mais je
penses pas que ce soit la raison de mon problème) :

de mon poste de travail, thunderbird 2, compte mail wanadoo.fr, serveur smtp.numericable.fr, sur le
site 2, envoi d'un mail à un user1 du domaine1 sur le site 1( )

Code: Tout sélectionner

Hi. This is the qmail-send program at domaine2.org.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<user1@domaine1.fr>:
88.167.yyy.xxx does not like recipient.
Remote host said: 550 http://www.spamhaus.org/query/bl?ip=89.3.yyy.xxx
Giving up on 88.167.yyy.xxx.

--- Below this line is a copy of the message.

Return-Path: <user2@wanadoo.fr>
Received: (qmail 3902 invoked by uid 453); 6 Sep 2009 16:35:47 -0000
X-Spam-Status: No, hits=0.6 required=4.0
   tests=BAYES_05,SARE_URI_EQUALS
X-Spam-Check-By: domaine2.org
Received: from smtp1.tech.numericable.fr (HELO smtp1.tech.numericable.fr) (82.216.111.37)
    by domaine2.org (qpsmtpd/0.40) with ESMTP; Sun, 06 Sep 2009 18:34:35 +0200
Received: from [127.0.0.1] (ip-xxx.net-89-3-yyy.rev.numericable.fr [89.3.yyy.xxx])
   by smtp1.tech.numericable.fr (Postfix) with ESMTP id 67AA3E0821
   for <user1@domaine1.fr>; Sun,  6 Sep 2009 18:35:56 +0200 (CEST)
Message-ID: <4AA3E4C1.60608@wanadoo.fr>
Date: Sun, 06 Sep 2009 18:35:13 +0200
From: Gaston <user2@wanadoo.fr>
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
MIME-Version: 1.0
To: User1 <user1@domaine1.fr>
Subject: Changement config

J'ai donc un mail, qui a été refusé par 88.167.yyy.xxx , l'@IP du serveur SME1 du site1, car il a
considéré que l'origine était le serveur d'@IP 89.3.yyy.xxx, celle de mon serveur SME2 sur le site2,
qui ne possède pas d'@IP fixe et dans le range d'@IP de numericable blacklisté par spamhaus.org,
et donc refusé ce mail, ce qui suit la logique

Mais ce que je comprends pas c'est comment on en est arrivé à ce circuit.

le circuit que je croyait avoir est :

Code: Tout sélectionner

PC -- smtp numericable -- serveur SME2 (MXbackup) -- smtp numericable -- serveur  SME1

la partie intermédiaire n'entrant en compte que si le serveur SME1 n'est pas joignable or il semble
que c'est la configuration suivante qui ait été utilisée :

Code: Tout sélectionner

PC -- smtp numericable -- serveur SME2 (MXbackup) -- serveur SME1

ce qui est invalide

Où est-ce que j'ai faux ?
Qu'est-ce que je peux faire pour retrouver une configuration valide ?
Je n'ai pas su reproduire le problème, le circuit n'est donc pas statique,
Comment supprimé au mieux l'usage des DNSBL ?
Jusqu'à aujourd'hui j'avais pas eu d'alerte, mais là je me pose des questions graves

Par avance merci

Gaston

[sibsib]

Hello,

Je ne me souviens plus de toute l'histoire, masi la conf de MX Backup n'est pas celle que tu penses. Si tu regardes ton fichier
/var/qmail/control/smtproutes
tu verras une ligne du genre :
:smtp.numericable.fr
{domaine dont je suis le backup}:

Cà ce lit : tout ce qui n'est pas précisé ailleurs, j'envoie vers smtp.numericable.fr
et pour le domaine dont je suis le backup, j'envoie directement.

Effectivement, çà veut dire que côté MX-Principal, il faudrait pouvoir 'whitelister' l'adresse IP du MX-Backup, ce qui ne doit pas être évident chez Numéricable qui est à mon souvenir en 'IP pas fixe' !

Tu peux tenter de 'dieser' la ligne en question mais je crois que j'avais du faire çà pour qu'il ny ait pas de 'bounce', justement en cas de défaillance du site principal :
Mail arrive sur le secondaire, qui s'en débarrasse chez son provider, qui essaie de l'envoyer au principal, et, le principal ne répondant pas, renvoie au secondaire qui trouve que çà bounce !

A+,
Pascal

[Gaston]

Bonsoir Pascal,
oui ça me rappelle qqchse cette histoire de bounce, ça doit être pour ça que j'ai pris ta contrib de mxbackup : puisque que qqu'un a réfléchit avant moi , autant pas réinventer l'eau tiède

Pour le moment j'ai désactivé les DSNBL sur le site primaire et c'est bon, so far , une solution à mon problème serait de pouvoir ajouter une exception pour les ranges @IP de numéricable ,dans la conf de spamassassin (la bonne serait d'avoir une @IP fixe pour ce serveur),
L'origine du problème est en effet très claire :

89.3.96.0/21 is listed on the Policy Block List (PBL)
--------------------------------------------------------------------------------
Outbound Email Policy of Numericable for this IP range:

It is the policy of Numericable that unauthenticated email sent from this IP address should be sent out only via the designated outbound mail server allocated to Numericable customers. To find the hostname of the correct mail server to use, customers should consult the original signup documentation or contact Numericable Technical Support.

Merci pour ton explication,
A+
Gaston

[sibsib]

Hello, Gaston

En effet, au moins le message est clair !

Ce qui est moins clair par contre, au moins dans mon esprit embrumé, c'est les possibilités de whitelister à ce niveau là : de processus de qpqmtpd est assez fort (pour moi des le début d'une session sur le port 25, la recherche des black list est lancé en background, tout en prolongeant le dialogue SMTP en foreground. Et, autant je sais gérer des critères d'e-mail amis/ennemis, que pour les premiers points (genre ip dans les blacklist, ou messages mal formés), je sais pas vraiment faire.

A+,
Pascal