2 votes

Spamhaus PBL bloque les e-mails même si SMTP-AUTH est activé

Mes courriels à D-Link sont renvoyés parce que mon IP Comcast est sur la PBL de Spamhaus. Spamhaus dit qu'il n'y a aucun moyen d'être retiré de la liste et que la seule façon de contourner ce filtre est d'activer SMTP-AUTH. Cependant, je me connecte au serveur SMTP de mon hôte (Total Choice Hosting) via SSL et je m'authentifie avec mon nom d'utilisateur et mon mot de passe, et le "with esmtpsa" dans les en-têtes semble indiquer que mes messages sont authentifiés correctement. Avez-vous une idée si le serveur de D-Link est en panne, ou pouvez-vous repérer quelque chose d'autre qui empêche mes e-mails de passer ?

Le message rebondi se présente comme suit :

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  ustech@dlink.com
    SMTP error from remote mail server after end of data:
    host relay.dlink.com \[192.152.81.15\]: 554 Service unavailable; Client host \[riker.tchmachines.com\] blocked by zen.spamhaus.org; http://www.spamhaus.org/query/bl?ip=24.5.171.149

------ This is a copy of the message, including all the headers. ------

Return-path: 
Received: from c-24-5-171-149.hsd1.ca.comcast.net (\[24.5.171.149\] helo=\[192.168.3.99\])
 by riker.tchmachines.com **with esmtpsa** (TLSv1:AES256-SHA:256)
 (Exim 4.69)
 (envelope-from <xxxxx@xxxxx.com>)
 id 1NGp49-0000Ta-DY
 for ustech@dlink.com; Sat, 05 Dec 2009 02:28:29 -0500
Message-ID: <4B1A0B88.2060001@ideanest.com>
Date: Fri, 04 Dec 2009 23:28:08 -0800
From: Piotr Kaminski <xxxxx@xxxxx.com>
User-Agent: Thunderbird 2.0.0.23 (Windows/20090812)
MIME-Version: 1.0
To: ustech@dlink.com
Subject: Re: D-Link Email Case ID: DLK400638689
References: <1b4401ca757a$6797c520$3c6411ac@CRMDB>
In-Reply-To: <1b4401ca757a$6797c520$3c6411ac@CRMDB>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

6voto

Evan Anderson Points 140581

Il semblerait que vous hébergez un serveur SMTP qui tente d'effectuer la livraison directement aux hôtes Internet. L'adresse IP à partir de laquelle vous hébergez ce serveur, une adresse IP de client Comcast, figure sur la liste de blocage de la politique de Spamhaus (PBL). C'est la cause première de votre problème.

Comcast a enregistré les adresses IP de ses clients auprès de Spamhaus parce que, par principe, Comcast ne veut pas que ses clients envoient des e-mails directement sur Internet à partir de serveurs qu'ils hébergent eux-mêmes. Le lien de Spamhaus que vous avez fourni dans votre message dirige :

Si vous êtes un commercial de Comcast Services et avez besoin d'aide, veuillez contacter support_biz@cable.comcast.com

On peut supposer que cela signifie que certains clients commerciaux peuvent se voir attribuer des adresses IP qui ne sont pas soumises à la politique "d'interdiction d'envoyer des e-mails directement sur Internet". Leurs blocs d'adresses IP commerciales ne sont probablement pas enregistrés dans la PBL de Spamhaus.

Je serais curieux de savoir où vous avez trouvé l'indication "...le moyen de contourner ce filtre est d'activer SMTP-AUTH...". Je pense que vous avez peut-être un problème conceptuel, dans la mesure où ces conseils étaient probablement "...utilisez SMTP-AUTH et envoyez votre courrier via les serveurs SMTP de Comcast".

Le problème concernant le rebondissement du courrier par D-Link n'est pas lié au fait que vous vous soyez authentifié ou non auprès de votre serveur SMTP - c'est que votre serveur SMTP envoie du courrier à D-Link depuis une adresse IP que D-Link juge inacceptable, parce que D-Link choisit d'utiliser ce que Spamhaus dit de l'IP comme étant fiable, et parce que Comcast a listé l'IP dans la PBL de Spamhaus.

Si vous aviez configuré votre client de messagerie ou votre serveur SMTP pour qu'il transmette votre courrier sortant à un serveur SMTP Comcast (ce qui nécessiterait probablement que votre client SMTP ou votre serveur SMTP exécute SMTP-AUTH lors de la communication avec le serveur SMTP Comcast pour prouver que vous êtes autorisé à effectuer ce type de relais), la communication éventuelle avec le serveur de D-Link proviendrait d'une adresse IP attribuée à un serveur de messagerie Comcast, qui ne figurerait pas sur une liste noire de Spamhaus et ne serait donc pas renvoyé par D-Link. En fait, vous donnez le courriel au serveur de Comcast, qui le transmet à sa destination finale. Dans le jargon SMTP, on parle de "relais" et en 2009 (presque 2010), tous les relais SMTP ont été supprimés. devrait exigent une authentification.

Pour exprimer cela en termes d'analogie avec le monde réel : Vous aimeriez livrer un colis postal à D-Link. Mais ils ne vous laisseront pas entrer dans leur bâtiment et déposer un colis. Ils n'acceptent que les colis provenant de services de messagerie autorisés, comme FedEx. Ainsi, même si vous êtes physiquement capable de porter vous-même votre colis jusqu'à la porte d'entrée de D-Link, ils ne vous laisseront pas entrer. Si vous remettez votre colis à FedEx (en prouvant, en les payant, que vous êtes un utilisateur légitime de leurs services de messagerie), D-Link acceptera volontiers le colis.

Cet article de Comcast décrit la configuration d'Outlook Express pour recevoir des e-mails d'un serveur POP3 tiers, mais pour relayer les e-mails sortants via les serveurs SMTP de Comcast. C'est, en général, la configuration que vous recherchez, que ce soit avec votre client de messagerie ou votre serveur SMTP.

Si vous ne voulez pas relayer vos messages par Comcast, vous avez toujours la possibilité de passer un contrat avec une autre partie pour accepter et distribuer votre courrier. (De manière analogue, vous pouvez utiliser UPS ou le service postal local si vous ne voulez pas utiliser FedEx). Des services comme Mailhop Outbound de Dynamic Network Services, vous permettent de soumettre des e-mails à leur via divers ports TCP (au cas où vous utiliseriez un fournisseur qui ne vous permet pas de communiquer avec le reste de l'internet en utilisant le port TCP 25), et leurs serveurs se chargeront de la livraison finale au serveur du destinataire. Bien entendu, ce service est payant, puisque vous utilisez leurs ressources informatiques et leur bande passante.

Vous n'allez pas avoir beaucoup de succès en hébergeant un serveur SMTP à partir d'une IP client Comcast comme celle que vous avez. Cherchez à trouver un serveur SMTP par lequel vous pourrez relayer les messages et vous aurez plus de chances de recevoir vos e-mails.


Editar:

Je vois que riker.tchmachines.com se résout en 208.76.82.134. Je ne comprends donc pas pourquoi le serveur de messagerie de D-Link se plaint de riker.tchmachines.com mais montre l'adresse IP qu'il a consultée dans le PBL comme étant vraisemblablement l'adresse IP Comcast (24.5.171.149) à partir de laquelle vous avez envoyé le message à riker.tchmachines.com.

Pour le plaisir, j'ai envoyé un message au même destinataire à dlink.com par le biais de mon service hébergé "Mailhop Outbound" chez Dynamic Network Services, et il a rebondi de la même manière, en affirmant que le nom DNS "mho-02-ewr.mailhop.org" est répertorié sur la PBL de Spamhaus, mais en indiquant l'IP à partir de laquelle j'ai soumis l'élément à Mailhop Outbound (qui est est PBL, parce que c'est une IP de client dynamique Time Warner) comme l'IP de la liste noire.

J'ai également reçu une réponse similaire relayée par un serveur SMTP de Time Warner, et j'ai constaté que je recevais le même type de réponse, avec le "550 Service unavailable ; ..." faisant référence au nom DNS d'un serveur SMTP de Time Warner, mais l'URL de Spamhaus faisant référence à l'adresse IP du client IP de Time Warner à partir duquel j'ai soumis l'élément au serveur SMTP de Time Warner.

Le serveur de messagerie de D-Link (qui se présente sous le nom de "220 The Drawbridge"... Oooooh !) est clairement en panne. Il semblerait qu'ils vérifient chaque hôte dans les en-têtes "Received" par rapport à la liste noire de Spamhaus. Si l'on considère que le but du PBL est d'inciter les utilisateurs à envoyer du courrier via des serveurs SMTP autorisés, il s'agit clairement d'un mauvais comportement de la part de D-Link.

Bonne chance pour faire comprendre aux personnes présentes que leur configuration est erronée. >soupir<

0 votes

+1 Long et informatif, comme je l'aime (mais bon, je suis peut-être bizarre) ^^

0 votes

Merci pour cette longue explication. Désolé, je n'étais pas tout à fait clair dans mon texte original. J'essaie de faire fonctionner le deuxième scénario - soumettre des e-mails via les serveurs d'une société d'hébergement. Dans ce cas, je paie pour un compte chez Total Choice Hosting, et le serveur virtuel de mon domaine tourne sur riker.tchmachines.com (vu dans les en-têtes). D'après la politique de Spamhaus, je peux soit utiliser les serveurs SMTP de Comcast, soit utiliser un autre serveur SMTP avec SMTP-AUTH activé, ce qui semble être le cas ici. Que me manque-t-il encore ?

0 votes

Je vais faire un montage dans un instant.

3voto

Ryan Sampson Points 2898

Le fait que vous vous authentifiez auprès de votre serveur de messagerie n'a aucune incidence sur le fait que le serveur de messagerie auquel vous envoyez des messages sera rejeté par la suite. L'entrée dans le PBL pour l'adresse IP (indiquée dans le lien du message de rebond) donne une description claire du problème et de sa solution (relais par le serveur de messagerie de Comcast).

1voto

Guy Points 16718

Vous devez envoyer votre courrier électronique via le serveur SMTP de Comcasts (avec authentification).*

En gros, tous les réseaux de consommateurs avec des adresses IP essentiellement dynamiques figurent sur ces listes de blocage. Votre propre serveur de courrier électronique devrait être capable de relayer via le serveur SMTP de votre fournisseur d'accès (Exchange appelle cela un hôte intelligent).

*ou tout autre fournisseur de service SMTP sortant.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X