[RESOLVIDO] Erro no POSTFIX

leandruco

Bom dia,
Tenho um positfix trabalhando separado do firewall fazendo relay par ao meu servidor de email.
Ele funcionava perfeitamente até ontem quando migrei para o PFsense, pois eu utilizava um iptables.

Assim que migrei ele fncioou um tempo mas agora todos email retornam esse erro no log:

26DAF4CE5DE: to=novidades@pontofrio.com.br, relay=none, delay=30, delays=0.02/0/30/0, dsn=4.4.1, status=deferred (connect to mss2.automatos.com[200.143.182.141]:25: Connection timed out)

Não sei mais o que fazer.

Estou com a ultima versão do PFSENSE até o presente momento.
E com o Load balance funcionando.

Porem parei o mesmo para fazer teste./novidades@pontofrio.com.br

leandruco

Consegui resolver galera.
Era um NAT de OUTBOUND. Tinha uma regra antes da do email que fazia com que o postifix saísse para internet com o ip errado.
Foi só inverter a ondem das regras e ficou tudo certo.

marcelloc

Depois da uma olhada no pacote do postfix e do mailscannner.

Se possível tente aplicar suas configurações de relay nele e posta um feedback.

A julgar pelo que encontrei na internet, esta é a primeira interface web para configurar o mailscanner. O mailwatcher é bom para relatórios, mas não inclui a configuração do serviço.

leandruco

Blz Marcello vou tentar,
Mas o meu medo é o seguinte, nós desenvolvemos internamente um interface para o TMDA assimos usuarios podem ver todos os emails que estão pendentes e liberar caso seja viavel, para cuidadar de blacklist e whitelist, junto com isso fizemos uma solução que quando for a primeira vez que o usuário mandou o email pra empresa ele precisa entrar em um link digitar o código de confirmação pra só então o email dele ser cadastrado na whitelist. O que me prende é não conseguir portar esta funcionalidade que deu tanto trabalho para fazer.

marcelloc

E porque não incluir estas funcionalidades no pacote?  ;)

Assim como eu evolui um pacote que só repassava smtp para um servidor interno, você pode ajudar agora a incrementar mais ainda a solução de antispam.

leandruco

Opa e como eu posso ajudar mais?
Quer que eu mande o fonte?

E explique como nós fizemos?

marcelloc

Me manda em private a explicação. Se não for algo muito fora do padrão do pfsense, é possível sim incluir.

Ou se preferir faz aqui no forum mesmo.

leandruco

Blz vou prepara o material.
Você saberia adiantar se é possível usar o tmda no pfsense?

marcelloc

Tem no ports e é em python, a chance de funcionar é grande.

Pelo o que entendi da ferramenta, o tmda implementa o mesmo esquema de antispam do uol, baseado em listas.

leandruco

Ele cuida das whitelists e das blacklists.
Caso for a primeira vez que o individuo enviou o email, vai voltar um email de confirmação para o mesmo. Assim que ele der um reply no email é cadastrado na whitelist.

Porem esse método é muito falho pois um reply no email qualquer spammer faz.

Sendo assim desenvolvemos uma forma de ser enviado para o individuo um link onde após clicar nele ele é redirecionado para uma página com um capicha, só aopós ele digitar o código corretamente que ele entrega todos os emails do mesmo que estão parados e cadastra o endereço dele na whitelist.

Se quiser ver como funciona me manda um email.

leandro [dot] andrade @ aldo [dot] com [dot] br

JackL

leandruco,

Sem dúvida alguma é uma metodologia válida e, como bem explicou o marcelloc, deve ser relativamente simples de ser portada para o FreeBSD (pfSense). Contudo, apenas a título de compartilhamento de experiências, já vi cases assim que precisaram ser revistos (abandonados).

Claro, quando você tem isso numa empresa única, com um certo volume de mensagens, isso pode ser viável. Mas num grande provedor, com milhares de contas e um fluxo de mensagens na casa dos milhões por dia (caso do Terra e UOL, por exemplo), isso pode se tornar um grande problema… Afinal, um eventual/futuro cliente seu, não tem "paciência" de ficar dando replys manualmente para que uma determinada mensagem seja aceita. Já vi casos em que empresas perderam cotações e até mesmo o cliente pra sempre por causa disso (mesmo o reply sendo necessário uma única vez)!

Por favor, não me entenda mal, não é uma crítica a metodologia é apenas uma observação que julgo ser pertinente! ;)

Abraços!
Jack

marcelloc

Se quiser ver como funciona me manda um email.

Testei e achei bem funcional quando se lida com humanos  :)

Particularmente sempre detestei este tipo de solução e endosso as considerações do Jack.

Por outro lado, dependendo da politica aplicada na empresa, esta pode ser uma solução de baixo custo e baixo processamento.

O postfix já rejeita mais de 80% do lixo se bem configurado, e esta politica de confirmação pode ser integrada como uma ferramente a parte para regras específicas.

Se a sua implementação de captcha não quebrar a gui do pfsense(por conta de dependencias), acredito que podemos colocar o tmda la lista de pacotes do pfsense.

leandruco

Bom dia Pessoal obrigado pelas sugestões.

Pensando nisso que o Jackl falou que montamos uma interface para o meu usuario acessar a sua "caixa de emails pendentes" desta forma ele pode olhar todo dia pra ver se não tem nada importante parado. Alem disso ele mesmo pode cadastrar o remetente na whitelist antes mesmo do email chegar desta forma creio que diminui esses tipos de incidentes. Em contra partida isso é ruim pois um funcionário revoltado pode liberar todos os spams parados para o email dele fazendo com que esses emails sejam cadastrados na whitelist automaticamente, mas nada é perfeito =/.

Não que seja a melhor solução do mundo porem ela diminuiu bastante o numero de spam e não gastamos nada. Talvez para um grande provedor não seja viavel mas eles tem orçamento para  investir em soluções mais robustas. Acho que essa solução junto com as outras já existentes como consultas a listas rbl spamassasin e outras ajudariam bastante a combater os spam´s

Em relação ao que foi utilizado para fazer a ferramenta não teve nada demais. Pra fazer o página de consulta e liberação de emails parados foi utilizado o banco de dados do próprio TMDA e dai é só "insert e update" + Java Script para a ferramenta de capicha eu desabilitei a opção de cadastrar somente com o reply e usei o awk + grep para filtrar as informações enviadas para gerar o capicha e liberar os emails da pessoa certa.
Desta forma é enviado um link no email e neste link tem as informações que eu preciso para que seja feita a liberação. A página do capicha é feita em Java.

Vale lembrar que eu não fiz isso sozinho pois sou péssimo em programação. O pessoal do desenvolvimento me ajudou nesta parte.

marcelloc

A página do capicha é feita em Java.

Talvez o Java será a limitação. Voce sabe dizer como você roda este Java? via script? Com o Tomcat?

JackL

@leandruco:

Não que seja a melhor solução do mundo porem ela diminuiu bastante o numero de spam e não gastamos nada. Talvez para um grande provedor não seja viavel mas eles tem orçamento para  investir em soluções mais robustas. Acho que essa solução junto com as outras já existentes como consultas a listas rbl spamassasin e outras ajudariam bastante a combater os spam´s

Certamente leandruco…

Conforme mencionei anteriormente, estou certo de que é uma metodologia válida (provavelmente não em 100% dos cases, mas mesmo assim muito válida). Se a ferramenta for portada para trabalhar junto do  mailscannner no pfSense, por exemplo, não tenho dúvidas que vai ajudar muita gente/empresa/cenário!

Podem contar comigo no que se refere a testes, parametrizações, configurações, homologações, etc...

Quanto a programação, o marcelloc certamente pode ajudar mais do que eu! ;)

Abraços!
Jack