Userbase

Normaal is het idee van greylisting:

1e mail: mailserver zegt: ik ben busy, probeer later opnieuw
zendende mailserver wacht dan en probeert opnieuw, vanaf zelfde IP, ontvangende mailserver ziet weer hetzelfde koppel (from, IP) en ziet de eerdere poging, en laat de 2e poging toe

Zo hou je heel wat spams tegen die maar 1x proberen.

Nu breekt Microsoft heel deze logica door steeds vanaf een nieuw IP te proberen sturen:

Sep 17 03:35:34 mx postfix/smtpd[20130]: NOQUEUE: reject: RCPT from mail-eopbgr00085.outbound.protection.outlook.com[40.107.0.85]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR02-AM5-obe.outbound.protection.outlook.com>
Sep 17 04:36:19 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr20074.outbound.protection.outlook.com, client_address=40.107.2.74, sender=[email protected], recipient=[email protected]
Sep 17 04:36:19 mx postfix/smtpd[20716]: NOQUEUE: reject: RCPT from mail-eopbgr20074.outbound.protection.outlook.com[40.107.2.74]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR02-VE1-obe.outbound.protection.outlook.com>
Sep 17 05:37:06 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr130079.outbound.protection.outlook.com, client_address=40.107.13.79, sender=[email protected], recipient=[email protected]
Sep 17 05:37:06 mx postfix/smtpd[20753]: NOQUEUE: reject: RCPT from mail-eopbgr130079.outbound.protection.outlook.com[40.107.13.79]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR01-HE1-obe.outbound.protection.outlook.com>
Sep 17 06:37:52 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr130071.outbound.protection.outlook.com, client_address=40.107.13.71, sender=[email protected], recipient=[email protected]
Sep 17 06:37:52 mx postfix/smtpd[20802]: NOQUEUE: reject: RCPT from mail-eopbgr130071.outbound.protection.outlook.com[40.107.13.71]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR01-HE1-obe.outbound.protection.outlook.com>
Sep 17 07:38:26 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr50046.outbound.protection.outlook.com, client_address=40.107.5.46, sender=[email protected], recipient=[email protected]
Sep 17 07:38:26 mx postfix/smtpd[20849]: NOQUEUE: reject: RCPT from mail-eopbgr50046.outbound.protection.outlook.com[40.107.5.46]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR03-VE1-obe.outbound.protection.outlook.com>
Sep 17 08:37:58 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr60062.outbound.protection.outlook.com, client_address=40.107.6.62, sender=[email protected], recipient=[email protected]
Sep 17 08:37:58 mx postfix/smtpd[20901]: NOQUEUE: reject: RCPT from mail-eopbgr60062.outbound.protection.outlook.com[40.107.6.62]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR04-DB3-obe.outbound.protection.outlook.com>
Sep 17 09:37:12 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr00062.outbound.protection.outlook.com, client_address=40.107.0.62, sender=[email protected], recipient=[email protected]
Sep 17 09:37:12 mx postfix/smtpd[20941]: NOQUEUE: reject: RCPT from mail-eopbgr00062.outbound.protection.outlook.com[40.107.0.62]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR02-AM5-obe.outbound.protection.outlook.com>
Sep 17 10:36:41 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr140072.outbound.protection.outlook.com, client_address=40.107.14.72, sender=[email protected], recipient=[email protected]
Sep 17 10:36:41 mx postfix/smtpd[21053]: NOQUEUE: reject: RCPT from mail-eopbgr140072.outbound.protection.outlook.com[40.107.14.72]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR01-VE1-obe.outbound.protection.outlook.com>
Sep 17 11:36:04 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr50083.outbound.protection.outlook.com, client_address=40.107.5.83, sender=[email protected], recipient=[email protected]
Sep 17 11:36:04 mx postfix/smtpd[21173]: NOQUEUE: reject: RCPT from mail-eopbgr50083.outbound.protection.outlook.com[40.107.5.83]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR03-VE1-obe.outbound.protection.outlook.com>
Sep 17 12:35:35 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr40088.outbound.protection.outlook.com, client_address=40.107.4.88, sender=[email protected], recipient=[email protected]
Sep 17 12:35:35 mx postfix/smtpd[21217]: NOQUEUE: reject: RCPT from mail-eopbgr40088.outbound.protection.outlook.com[40.107.4.88]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR03-DB5-obe.outbound.protection.outlook.com>
Sep 17 13:35:22 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr20075.outbound.protection.outlook.com, client_address=40.107.2.75, sender=[email protected], recipient=[email protected]
Sep 17 13:35:22 mx postfix/smtpd[21455]: NOQUEUE: reject: RCPT from mail-eopbgr20075.outbound.protection.outlook.com[40.107.2.75]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR02-VE1-obe.outbound.protection.outlook.com>
Sep 17 13:46:44 mx postgrey[2118]: action=greylist, reason=new, client_name=mail-eopbgr70049.outbound.protection.outlook.com, client_address=40.107.7.49, sender=[email protected], recipient=[email protected]
Sep 17 13:46:44 mx postfix/smtpd[21471]: NOQUEUE: reject: RCPT from mail-eopbgr70049.outbound.protection.outlook.com[40.107.7.49]: 450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/mijndomain.be.html; from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<EUR04-HE1-obe.outbound.protection.outlook.com>

Ik kan natuurlijk greylisting uitzetten, maar das dan nog meer spam .... waarom stuurt Microsoft telkens vanaf een nieuw IP ipv dat de mail in dezelfde MX met hetzelfde IP opnieuw probeert?

Het bizarre is dat niet alle email addressen hier last van hebben die verlopen via outbound.protection.outlook.com

... omdat dat het hele idee is van een cloud infrastructuur, waar je vele servers hebt die een pool van services gaan aanbieden? Wss zijn dat allemaal nog containers die on the fly worden opgestart om een bepaalde load van mails af te handelen.

devilkin schreef:... omdat dat het hele idee is van een cloud infrastructuur, waar je vele servers hebt die een pool van services gaan aanbieden? Wss zijn dat allemaal nog containers die on the fly worden opgestart om een bepaalde load van mails af te handelen.

Ja maar een mail die in een queu zit op node x, daar hoort node x die opnieuw te proberen sturen na x aantal tijd, niet node y

Nope.

Queue en node zijn onafhankelijk in een degelijke setup.

Berichten zitten op een queue en worden bvb fifo verwerkt. Node 1 pikt er eentje op, node 2, node 3, terug 1,...

Sent from my ONEPLUS A6003 using Tapatalk

Microsoft volgt gewoon de RFC standaarden niet

Postgrey genereert een 450 code:

450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/domein.be.html

de mailserver hoort dan de mail opnieuw te sturen, niet een andere mailserver:

4xx Persistent transient failure
In most cases when receiving a 4xx error the sending mail server will attempt to retry delivery after a delay, and may repeatedly do so for up to a day or two depending on configuration before reporting to their user that the mail could not be delivered.

Er is een nieuwere versie van postgrey die het probleem kan oplossen:

--ipv4cidr=N What cidr to use for the subnet on IPv4 addresses when using lookup-by-subnet (default: 24)
--ipv6cidr=N What cidr to use for the subnet on IPv6 addresses when using lookup-by-subnet (default: 64)

Heb deze net geinstalleerd met de volgende opties:

OPTIONS="--unix=$SOCKET --group=nfsnobody --ipv4cidr=16"

Wat is het nut van greylisting als het principe uitgelegd wordt in een RFC ? Als je als spammer je spam door zo'n filter wil krijgen moet je dus gewoon de standaard volgen...

Ik zou me niks aantrekken van wat microsoft hier doet en gewoon die greylisting op je eigen server uitzetten.

Ook vroeger GL gebruikt, sinds een paar maand gebruik ik continu spamexperts. Sindsdien amper nog spam.

depeje schreef:Wat is het nut van greylisting als het principe uitgelegd wordt in een RFC ? Als je als spammer je spam door zo'n filter wil krijgen moet je dus gewoon de standaard volgen...

Volgens de RFC moet je de mail opnieuw sturen in geval van een 450 foutcode. Spammers doen geen moeite, want om dit te doen, moeten ze alle niet verstuurbare mails in een wachtrij zetten, en dit kost meer effort ipv een one shot oplossing.

depeje schreef:Ik zou me niks aantrekken van wat microsoft hier doet en gewoon die greylisting op je eigen server uitzetten.

Nadat ik het heb uitgezet was er plots een shitload aan spam ....

Nu heb ik de ipv4 match op een /16 range gezet ipv default /24, gezien Microsoft dezelfde mails verstuurd vanaf verschillende nodes in een cluster waarbij de eerste 2 octets idem zijn. Ja 't is een grote cloud daar bij Microsoft

RFC zegt dat de SMTP client de mail opnieuw zou moeten sturen. Het zegt niet dat de client dat ook vanaf hetzelfde IP moet doen.

Los daarvan is het wel vreemd dat een grote mailhoster zoiets in productie zou zetten gezien de prevalentie van greylisting, maar soit, 't is Microsoft dus het kan wel zijn.

ub4b schreef:Microsoft volgt gewoon de RFC standaarden niet

Postgrey genereert een 450 code:

450 4.2.0 <[email protected]>: Recipient address rejected: Greylisted, see http://postgrey.schweikert.ch/help/domein.be.html

de mailserver hoort dan de mail opnieuw te sturen, niet een andere mailserver:

Wel, ik nodig je uit om contact op te nemen met Microsoft om dit te melden. Misschien is het een config fout, maar ik denk dat het eerder works as designed is. En jah, der zijn wel nog mail hosters die zich geen r**t aantrekken van RFC's.

https://talk.plesk.com/threads/greylist ... rs.334180/

depeje schreef:Wat is het nut van greylisting ....

dat de sending server moet wachten en er veel kans is bij spammers dat ze 10min later op blocklists als spamhaus staan.

Voor een spammer maakt het meestal niet uit of mail aankomt of niet, de meesten zelfs niet dus die gaat niet wachten en fouten van mailserver gewoon negeren. Mail bijhouden en opnieuw sturen gaat risico op ontdekt worden vergroten (hoewel ik me ook geen illusies maak over totaal onbeheerde pcs die continu online zijn)