2 votes

Spamhaus PBL arrête les emails même si SMTP-AUTH est activé

Mes e-mails à D-Link rebondissent en raison de mon IP Comcast figurant sur la liste Spamhaus PBL. Spamhaus dit qu'il n'y a pas de moyen d'être retiré de la liste et que la seule façon de contourner ce filtre est d'activer SMTP-AUTH. Cependant, je me connecte au serveur SMTP de mon hébergeur (Total Choice Hosting) via SSL et m'authentifie avec mon nom d'utilisateur et mon mot de passe, et le "avec esmtpsa" dans les en-têtes semble indiquer que mes messages sont correctement authentifiés. Avez-vous une idée si le serveur de D-Link est en panne, ou pouvez-vous repérer autre chose qui empêche mes e-mails d'arriver?

Le message rebondi ressemble à ce qui suit :

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  ustech@dlink.com
    SMTP error from remote mail server after end of data:
    host relay.dlink.com \[192.152.81.15\]: 554 Service unavailable; Client host \[riker.tchmachines.com\] blocked by zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=24.5.171.149

------ This is a copy of the message, including all the headers. ------

Return-path: 
Received: from c-24-5-171-149.hsd1.ca.comcast.net (\[24.5.171.149\] helo=\[192.168.3.99\])
 by riker.tchmachines.com **with esmtpsa** (TLSv1:AES256-SHA:256)
 (Exim 4.69)
 (envelope-from )
 id 1NGp49-0000Ta-DY
 for ustech@dlink.com; Sat, 05 Dec 2009 02:28:29 -0500
Message-ID: <4B1A0B88.2060001@ideanest.com>
Date: Fri, 04 Dec 2009 23:28:08 -0800
From: Piotr Kaminski User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
MIME-Version: 1.0
To: ustech@dlink.com
Subject: Re: D-Link Email Case ID: DLK400638689
References: <1b4401ca757a$6797c520$3c6411ac@CRMDB>
In-Reply-To: <1b4401ca757a$6797c520$3c6411ac@CRMDB>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

6voto

Evan Anderson Points 140581

Il semblerait que vous hébergez un serveur SMTP qui cherche à effectuer une livraison directe vers des hôtes Internet. L'adresse IP depuis laquelle vous hébergez ce serveur, une adresse IP client de Comcast, se trouve sur la liste de blocage de Politiques de Spamhaus (PBL). C'est la cause racine de votre problème.

Comcast a enregistré les adresses IP client de leurs clients auprès de Spamhaus car, par politique, Comcast ne souhaite pas que ses clients envoient des e-mails directement à Internet à partir de serveurs qu'ils hébergent eux-mêmes. Le lien Spamhaus que vous avez fourni dans votre message dirige vers :

Si vous êtes un client des Services Commerciaux de Comcast et avez besoin de support, veuillez contacter support_biz@cable.comcast.com

Apparemment, cela signifie que certains clients commerciaux peuvent se voir attribuer des adresses IP qui ne sont pas soumises à la politique de "ne pas envoyer d'e-mails directement à Internet". Leurs blocs d'adresses IP commerciales ne sont probablement pas enregistrés dans la liste de blocage de Spamhaus PBL.

Je serais curieux de savoir d'où vous avez obtenu les conseils sur "la façon de contourner ce filtre consiste à activer SMTP-AUTH". Je pense que vous pourriez avoir un problème conceptuel, car ces conseils étaient probablement "...utilisez SMTP-AUTH et envoyez vos e-mails via les serveurs SMTP de Comcast."

La question concernant le rejet des e-mails par D-Link n'a rien à voir avec le fait que vous vous soyez authentifié ou non auprès de votre serveur SMTP. C'est que votre serveur SMTP envoie des e-mails à D-Link depuis une adresse IP que D-Link considère comme non sûre, car D-Link choisit de se fier à ce que dit Spamhaus à propos de cette adresse IP, et comme Comcast a listé l'adresse IP dans la liste de blocage de Spamhaus PBL, D-Link la considère comme inacceptable.

Si vous aviez configuré votre client e-mail ou votre serveur SMTP pour envoyer vos e-mails sortants à un serveur SMTP de Comcast (ce qui nécessiterait probablement que votre client SMTP ou votre serveur SMTP effectue une authentification SMTP-AUTH lors de la communication avec le serveur SMTP de Comcast pour prouver que vous êtes autorisé à effectuer un tel relais), la communication ultérieure avec le serveur de D-Link proviendrait d'une adresse IP attribuée à un serveur de messagerie de Comcast, qui ne serait pas listée dans une liste noire de Spamhaus et, par conséquent, ne serait pas rejetée par D-Link. En gros, vous confiez l'e-mail au serveur de Comcast, et il le transmet à sa destination finale. Cela s'appelle, dans le jargon SMTP, le "relais", et en 2009 (presque 2010), tout relais SMTP devrait nécessiter une authentification.

Pour mettre cela en termes d'analogie du monde réel : Vous aimeriez livrer un courrier postal à D-Link. Ils ne vont pas vous laisser vous promener dans leur bâtiment et déposer un colis. Ils n'acceptent que les colis des services de courrier autorisés, comme FedEx. Ainsi, même si vous êtes physiquement capable de porter votre colis jusqu'à la porte d'entrée de D-Link vous-même, ils ne vont pas vous laisser entrer. Si vous remettez votre colis à FedEx (prouvant, en payant, que vous êtes un utilisateur légitime de leurs services de courrier), alors D-Link acceptera volontiers le colis.

Cet article de Comcast décrit la configuration d'Outlook Express pour recevoir des e-mails d'un serveur POP3 tiers, mais pour relayer les e-mails sortants via les serveurs SMTP de Comcast. C'est, en général, la configuration que vous chercheriez pour votre client de messagerie ou votre serveur SMTP.

Si vous ne voulez pas relayer les messages via Comcast, vous avez toujours la possibilité de conclure un contrat avec une autre partie pour accepter et livrer votre courrier. (Analogiquement, vous pouvez utiliser UPS ou le service postal local si vous ne voulez pas utiliser FedEx.) Des services comme Mailhop Outbound de Dynamic Network Services, vous permettent de soumettre des e-mails à leurs serveurs via divers ports TCP (au cas où vous utiliseriez un fournisseur qui ne vous permet pas de communiquer avec le reste d'Internet en utilisant le port TCP 25), et leurs serveurs livreront finalement au serveur du destinataire. Bien sûr, ce service coûte de l'argent, car vous utilisez leurs ressources de calcul et de bande passante.

Vous n'allez pas avoir beaucoup de succès en hébergeant un serveur SMTP à partir d'une adresse IP client de Comcast comme vous le faites. Cherchez une autre solution pour relayer les messages et vous aurez plus de succès dans la livraison des e-mails.


Correction :

Je remarque que riker.tchmachines.com correspond à 208.76.82.134. Il n'est donc pas clair pour moi pourquoi le serveur de messagerie de D-Link se plaint de riker.tchmachines.com tout en affichant l'adresse IP qu'il a consultée dans la PBL comme étant ce qui est probablement l'adresse IP de Comcast (24.5.171.149) à partir de laquelle vous avez soumis le message à riker.tchmachines.com.

Par curiosité, j'ai envoyé un message au même destinataire chez dlink.com via mon service "Mailhop Outbound" hébergé chez Dynamic Network Services, et il a rebondi de la même manière, affirmant que le nom DNS "mho-02-ewr.mailhop.org" est répertorié dans la PBL de Spamhaus, mais en listant l'IP depuis laquelle j'ai soumis l'article à Mailhop Outbound (qui est bien répertoriée dans la PBL car c'est une adresse IP client dynamique de Time Warner) comme l'adresse IP Blacklistée.

J'ai également reçu une réponse similaire en passant par un serveur SMTP chez Time Warner, et j'ai constaté que j'ai reçu le même type de réponse, avec le "550 Service unavailable; ..." référençant le nom DNS d'un serveur SMTP de Time Warner, mais l'URL de Spamhaus référençant l'adresse IP du client de Time Warner à partir de laquelle j'ai soumis l'article au serveur SMTP de Time Warner.

Il est évident que le serveur de messagerie de D-Link (qui se nomme "220 The Drawbridge"... Oooooh!) est clairement défectueux. Il semble vérifier chaque hôte dans les en-têtes "Received" par rapport à la liste noire de Spamhaus. Étant donné que le but de la PBL est de faire en sorte que les utilisateurs envoient des e-mails via des serveurs SMTP autorisés, c'est clairement un comportement erroné de la part de D-Link.

Bonne chance pour trouver un moyen de faire comprendre à quelqu'un là-bas que leur configuration est erronée. >soupir<

0 votes

+1 Long et informatif, comme j'aime (mais bon, je suis peut-être bizarre) ^^

0 votes

Merci pour la longue explication. Désolé, je n'étais pas tout à fait clair dans mon texte original. J'essaie de faire fonctionner le deuxième scénario - soumettre un e-mail via les serveurs d'une société d'hébergement. Dans ce cas, je paie un compte chez Total Choice Hosting, et le serveur virtuel de mon domaine fonctionne sur riker.tchmachines.com (vu dans les en-têtes). D'après ma lecture de la politique de Spamhaus, je peux soit utiliser les serveurs SMTP de Comcast, SOIT utiliser un autre serveur SMTP avec SMTP-AUTH activé, ce qui semble être le cas ici. Qu'est-ce qui me manque encore ?

0 votes

Je vais déposer une modification dans un instant.

3voto

Ryan Sampson Points 2898

Le simple fait que vous vous authentifiiez avec votre serveur de messagerie n'a aucune incidence sur le fait que le serveur de messagerie auquel vous envoyez sera ultérieurement rejeté. L'entrée dans la PBL pour l'adresse IP (indiqué dans le lien du message d'erreur) donne une description claire du problème et de sa solution (relayer via le serveur de messagerie de Comcast).

1voto

Guy Points 16718

Vous devez envoyer votre e-mail via le serveur SMTP de Comcast (avec authentification).

Fondamentalement, tout réseau de consommateurs avec principalement des adresses IP dynamiques est sur ces listes de blocage. Votre propre serveur e-mail devrait pouvoir relayer via le serveur SMTP de votre FAI (par exemple, Exchange appelle cela un hôte intelligent).

* ou un autre fournisseur de services SMTP sortants

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X