Welche Greylistingparameter sind per Default gesetzt?

1. offizieller Beitrag

    Guten Tag sehr geehrtes Hustelteam,


    die Version 7.4.x.x ist auf dem Markt inkl. vieler neuer Features unter anderem Greylisting.


    Ich habe eine Frage zu dieser Implementation. Dieses Feature ist mit entsprechenden Defaultparametern implemntiert worden, ich kann diese Parameter nur nicht lokalisieren bzw. in der Dokumentation noch nicht finden. Einige erste Test auf einem produktiv System mit Greylisting verliefen nicht so spannend. Als Symthome wurde festgestellt das nur noch wenige EMail`s in die Postfächer finden, jedoch im Logging deutlich sichtbar ist, dass das Greylisting aktiviert ist und zuschlägt. Klar ist der Prozessablauf von Greylisting, aber das EMail`s nun eine Laufzeit von mehreren Tagen haben bzw. permanent in die Greylistingfunktion vom Server laufen od. dadurch nicht zugestellt werden können ist einfach unschön und auch wenig praktikabel für den User.


    Welche Defaultparameter werden beim Serverstart für die Greylistingfunktion mitgegeben?
    Wo kann ich diese Parameter einsehen bzw. anpassen?
    Gibt es eine Dokumentation dazu?


    Eine Anregung wäre folgende Parameter transparent in der GUI od. CLI konfigurieren zu lassen:


    Einschalten: Ja/Nein
    Mindestverzögerung nach erstem Zustellversuch:
    Maximale Wartezeit bis zum nächsten Zustellversuch:
    Gültigkeitsdauer nach einer erfolgreichen Bestätigung:
    ausführliche Protokollierung ggf. Chart


    Alle technischen Werte sind dann in Sekunden anzugeben.


    MfG

    • Offizieller Beitrag

    Aufgrund der erst kürzlichen Veröffentlichung von AXIGEN 7.4 können wir keine genauen Antworten hierzu liefern - da auch uns die Erfahrungswerte fehlen. Hierzu ist es sicher sinnvoll, den Hersteller direkt zu befragen: support -at- axigen.com
    Wie mit jeder anderen Software empfiehlt es sich auch hier nicht direkt die neueste Version auf einem Livesystem einzuspielen.


    Das Greylisting lässt sich im Webadmin unter SMTP-Receiving aktivieren - das ist im Moment alles, was an Funktionalität vorhanden ist. Das Greylisting sollte beim zweiten Zustellversuch - unabhängig von der verstrichenen Laufzeit - nicht mehr greifen.
    "When receiving a message from an unrecognized recipient, the server rejects the first attempt with a temporary error and caches the sender's IP, the sender's address and the recipient address(es). The message will only be accepted when the sender's server attempts to resend it for the first time."


    Von daher sollte das von Ihnen beschriebene Verhalten nicht auftreten - eine Mail, die das zweite Mal eingeliefert wird, geht auch durch.
    Ein Logging findet sich hierzu im SMTP-Log.

    Hallo zusammen,


    ich hatte auf euer Anraten eine EMail an den Support von Axigen geschrieben und folgende Antwort dazu erhalten.


    Hello,


    Please know that the only configurable parameter of Greylisting is the amount of time the email sender is kept in the greylist caching (defaults to 10 minutes and a maximum of 60 minutes is configurable). Please find this option under the Axigen configuration file as greylistingCache. Additionally please know that the improvements suggested are scheduled for inclusion in the next Axigen Mail Server version.


    Die Greylistingkonfiguration kann in der axigen.cfg angepasst werden.


    processing = {
    greylistingCache = min. 10min (Default) bis max. 60min
    }


    @Huestelteam
    Die von Ihnen beschrieben erweiterte Loggingeinträge über den Greylistingprozess werden nicht generiert bzw. ich kann Sie nicht auffinden. Als Loglevel ist erweiteres Logging gesetzt. Folgende Informationen kann ich in meinem Logfile darüber finden:


    Jun 11 00:15:19 06-11 00:15:19 +0200 08 SMTP-IN:000000AD: Greylist enabled
    Jun 11 00:15:20 06-11 00:15:20 +0200 08 SMTP-IN:000000AD: Greylisting mail 003AF54F
    Jun 11 00:15:20 06-11 00:15:20 +0200 16 SMTP-IN:000000AD: >> 451 Temporary rejected by greylisting
    Jun 11 00:15:20 06-11 00:15:20 +0200 16 SMTP-IN:000000AD: << RSET
    Jun 11 00:15:20 06-11 00:15:20 +0200 16 SMTP-IN:000000AD: >> 250 Reset done
    Jun 11 00:15:20 06-11 00:15:20 +0200 16 SMTP-IN:000000AD: << QUIT
    Jun 11 00:15:20 06-11 00:15:20 +0200 16 SMTP-IN:000000AD: >> 221-hostname.domäne.tld Axigen ESMTP is closing connection
    Jun 11 00:15:20 06-11 00:15:20 +0200 16 SMTP-IN:000000AD: >> 221 Good bye
    Jun 11 00:15:20 06-11 00:15:20 +0200 08 SMTP-IN:000000AD: closing session from [Socket]


    Bei einem erneuten Zustellversuch durch den MTA der Gegenseite läuft a) bei verkürzter IP-Cachingphase (10min) der Greylistingprozess erneut an und kann unter Umständen ein Loop bilden = Mail kommt nicht im Postfach an oder b) die Mail kommt sehr weit zeitversetzt im Postfach des Users an. Erste Test nach Veröffentlichung der Firmware ergaben hier Werte >1Std. bzw. es wurde ein Loop gebildet.


    Wenn ich jedoch die reine Funktion Greylisting teste dann klappt alles wunderbar. D.h. schicke ich eine Testmail nach ca. 2-3 Minuten hinterher (händisch) dann passt alles, das muss/sollte aber auch im erneuten Transferprozess automatisch geschehen. Deswegen an dieser Stelle die Anregungen/Vorschläge welche Parameter sinnvoll erscheinen für den MTA auf der Empfängerseite. Es bleibt abzuwarten was die Zukunft für diese doch sehr nützliche Funktion bringt, die Version ist ja noch sehr frisch.


    MfG


    Hawk

    • Offizieller Beitrag

    Die von Ihnen festgestellten Ergebnisse sind nicht AXIGEN spezifisch. Prinzipiell eignet sich Greylisting nicht für zeitkritische Kommunikation - in der Praxis sind teilweise Verzögerungen bis zu 12 Stunden möglich. Es hängt immer davon ab, wie die anderen MTAs konfiguriert sind - insbesondere ältere Software erkennt das Greylisting nicht und wertet stattdessen die Abweisung als temporären Fehler, dass der Mailserver gar nicht erreichbar ist. Spätestens nach dem dritten oder vierten Zustellversuch sollte es klappen - es ist möglich, dass nämlich ein anderer MTA nach 9 Minuten einliefert und somit wieder im Greylisting landet.


    Ich würde persönlich empfehlen, den Wert kürzer zu Stellen als 10 Minuten (ein Spammer wird es nie wieder versuchen, eine Mail nochmal einzuliefern, soviel Zeit hat er nicht) und auf einen "krummen" Wert - wie z.B. 3 oder 6 Minuten. Damit sollten sich bessere Ergebnisse erzielen lassen.


    Was fehlt im Log an Information?

    @Hustelteam


    also mal langsam mit den Pferden. Es geht hier nicht darum das Produkt AXIGEN schlecht zu machen bzw. zu reden, sondern um die Aussschöpfung technischer Möglichenkeiten einer Implentation. Die gemachten Beobachtungen sind eindeutig nachvollziehbar. Das sollte die Gesprächsebene sein.


    Wenn eine Firewall, dass Verhalten, welches Sie im zweiten Satz ihres Statments erwähnen würde jeder Kunde eines solchen IT-System sein Recht auf eine Nachfrage beim Hersteller nutzen. Es ist doch klar für IT-Administratoren, dass die Konfiguration des Gegenüberliegenden MTA`s eine Fehlerquelle ist aber darum geht es hier auch nicht, es geht darum dem MTA welcher der Empfänger ist, konfigurierbare und passende Parameter mitzugeben damit es eben nicht zu den bereits gennanten Effekten kommt. Die von mir genannten und dargestellten Effekte sind bekannt unter Administratoren die Greylisting als SPAM-Abwehr unabhängig vom System einsetzen (Appliance oder Server oder oder...). Das ist das Ziel und das ist bereits möglich ohne lange Wartezeiten auf eine Mail in der Funktion Greylisting, dass zeigen bereits viele viele auf dem Markt befindliche Firewallsysteme die z. Bsp. mit dem qmaildaemon arbeiten und und und was es da nicht alles gibt. Das Problem der Zeitverzögerung haben eben auch die Firewallhersteller gehabt und auch gelöst bekommen, es geht also - es braucht Zeit und Entwicklerpower.


    Es gibt Firewallsystem die schon sehr lange mit solchen Mechanismen arbeiten, von daher ist das was Sie schildern nur rudimentär. Auch das ist erkennbar. Ich schilderte bereits Eingangs das die Greylistingfunktion nicht erläutert werden braucht. Das ist mehr als bekannt. Den Rest was Sie sagen ist auch richtig, ist aber ein alter Hut. Es werden die rudimentären Funktionen von Ihnen beschrieben, nicht die Features um das nutzbare Hauptfeature herum, sprich die Borke eines Baumes. Viele Firewallsysteme ob ASTARO, LiSS series, gateprotecd, Watchguard, Secure Point, Juniper, CheckPoint und Palo Alto und und und, wobei die Palo Alto ein System der Next Gerneration Firewall ist, etc. arbeiten bereits erfolgreich damit.


    In diesem Sinne freue ich mich auf eine sachliche fachliche Disskusion auf Administratorenebene.


    Im übrigen gibt es dazu noch eine sehr nützliche ergänzende Funktion die da wäre http://www.tecchannel.de/siche…m_mail_server/index8.html .
    Ebenso ein bereits alter Hut aber ein sehr nützliche Feature für einen Mailserver.


    In diesem Sinne


    MfG


    Hawk

    • Offizieller Beitrag

    Den Ansatz, den AXIGEN hier verfolgt ist ein anderer. AXIGEN ist primär ein Mailserver - die Funktionalität im Bezug auf Spam und Greylisting sind und bleiben rudimentär und ist vor allem für den Enterprise-Einsatz gedacht. Gedacht für den Admin, der eben keine weitere Lösung installieren möchte. Wer mehr Leistungen möchte, muss auf andere Lösungen ausweichen. AXIGEN will sich auf diesem Markt auch nicht positionieren.


    AXIGEN kann man damit sicher nicht an anderen Lösungen hierzu messen, deren Hauptaufgabe z.B. in der Spamabwehr liegt.