none
не обнаружены DNS для почтового сервера RRS feed

  • Вопрос

  • Добрый день. Exchange Server 2016 Std CU 20 У меня постоянно блочится исходящая почта. 

    Полез проверять на mxtoolbox. Выдало что для моего почтового домена нет DNS-записей. Хотя для самого домена находит записи DNS. 

    домен encorefitness.ru запись DNS присутствует

    домен mail.encorefitness.ru запись DNS отсутствует. mx записи есть. ptr есть. spf есть. 

    На хостинге все как было. ничего не менял. 

    Единственное я недавно обновил Exchange до CU20. 

    Подскажите пожалуйста куда копать?

    23 марта 2021 г. 12:55

Все ответы

  • Вы и сейчас заблочены. Отправляли запрос почему?

    Возможно дело не в ваших почтовых настройках, а в том, что вы осуществляете массовые рассылки (предположил исходя из вашего домена). Поэтому вас и помещают в blacklist dnsbl.

    23 марта 2021 г. 13:45
  • мы не делаем массовые рассылки. почтовый домен работает уже 5 лет.
    23 марта 2021 г. 14:03
  • мне все пишут что не видят наш DNS.
    23 марта 2021 г. 14:04
  • а блочат потому что не видят DNS
    23 марта 2021 г. 14:04
  • раз 5 лет уже работает, то значит это не проблема
    23 марта 2021 г. 14:29
  • а что значит не видят dns?  
    23 марта 2021 г. 14:30
  • Он как бы есть, но при этом его как бы нет?
    23 марта 2021 г. 14:30
  • вот ваши MX:

    encorefitness.ru        MX preference = 10, mail exchanger = mail.encorefitness.ru
    encorefitness.ru        MX preference = 5, mail exchanger = mail2.encorefitness.ru

    mail2.encorefitness.ru  internet address = 85.30.199.22
    mail.encorefitness.ru   internet address = 85.30.199.22
    mail.encorefitness.ru   internet address = 194.186.250.226

    mxtoolbox сообщает, что не может подключиться к mail.encorefitness.ru.

    Кроме того для вашего домена отсутствуют DMARC. Это все, чего нет в DNS.

    Также имеется предупреждение о том, что транзакция с mail2 заняла более 6 секунд.

    И еще не понятно как вы обнаруживаете что исходящая почта заблокирована? (копится очередь или еще какие-то признаки?)

    Какие при этом сообщения в журналах Exchange?

    Также я припоминаю, что у вас были какие-то замутки с основным доменным именем, т.к. имя используется и внутри и снаружи. И вы что-то там делали в GPO, чтобы AD не регистрировал имя домена в локальном DNS. 

    Может отсюда какие-то уши проросли?

    23 марта 2021 г. 17:50
  • "И еще не понятно как вы обнаруживаете что исходящая почта заблокирована? (копится очередь или еще какие-то признаки?)"

    отбивки ndr приходят.

    "Также я припоминаю, что у вас были какие-то замутки с основным доменным именем, т.к. имя используется и внутри и снаружи. И вы что-то там делали в GPO, чтобы AD не регистрировал имя домена в локальном DNS."

    Это я для сайта делал. И это не повлияло тогда на почту.

    Я пока общался с хостингом, dns стали определяться.

    Странно.

    23 марта 2021 г. 18:56
  • вот ваши MX:

    encorefitness.ru        MX preference = 10, mail exchanger = mail.encorefitness.ru
    encorefitness.ru        MX preference = 5, mail exchanger = mail2.encorefitness.ru

    mail2.encorefitness.ru  internet address = 85.30.199.22
    mail.encorefitness.ru   internet address = 85.30.199.22
    mail.encorefitness.ru   internet address = 194.186.250.226

    mxtoolbox сообщает, что не может подключиться к mail.encorefitness.ru.

    Кроме того для вашего домена отсутствуют DMARC. Это все, чего нет в DNS.

    Нет, там в DNS бардак. Надо убрать запись типа A mail.encorefitness.ru   85.30.199.22 - на этом адресе реально сидит mail2.encorefitness.ru. А для 194.186.250.226  - разобраться, во-первых, с входящим подключением на 25 порт - оно, похоже, заблокировано, а, во-вторых - с обратной зоной: там, кажется, куча записей PTR: для mail.encorefitness.ru, Mail.ankor-spa.ru, Mail.ankor-siti.ru, TNK-gw.Tula.gldn.net (это только то, что видел, к сожалению, nslookup показывает PTR только по одной).

    Как на такой бардак реагируют разнообразные антиспам-фильтры - это я не скажу, но отлупы исходящих по этому поводу вполне возможны. А что до проблем с входящими, то их как-то сложновато принимать при заблокированном 25 порте.

      

    Слава России!

    24 марта 2021 г. 1:34
  • это я специально сделал такие записи. Чтобы при обращении на mail.encorefitness.ru запрос шел на оба сервера. на 85.30.199.22 и на 194.186.250.226

    Или я неправильно сделал?

    а сервер на 194.186.250.226 пока отключен. я его делаю.

    24 марта 2021 г. 14:38
  • Да, вы сделали неправильно.

    Балансировка и отказоустойчивость SMTP делаются двумя методами: либо указанием нескольких MX записей (для балансировки им надо выставить одинаковые приоритеты) - по одной для каждого сервера со своим именем в DNS, либо созданием одной записи MX указывающей на одно имя записи типа A, и балансировкой для этого имени (в принципе, DNS RR - несколько записей A с разными IP для одного имени - годится, но внешний балансировщик, скрывающий  несколько серверов за одним IP лучше).

    Вы же смешали и то, и другое.

    В любом случае, чтобы не иметь проблем со всяким антиспамом крайне желательно:

    1. 1. В настройках сервера сделать так, чтобы объявляемый им FQDN (в баннере на приеме и в EHLO/HELO при отправке) совпадал с FQDN из записи MX для него
    2. 2. В обратной зоне DNS для IP сервера должна быть ровно одна запись PTR, разрешающаяся в FQDN, используемый сервером.

    Выбирайте вариант обеспечения отказоустойчивости с балансировкой и настраивайте сервер(ы) в соответствии с ним.


    Слава России!


    • Изменено M.V.V. _ 24 марта 2021 г. 16:39
    24 марта 2021 г. 16:37
  • т.е. мне надо выставить для mx-записей одинаковый приоритет и все? 
    25 марта 2021 г. 9:37
  • А насколько критично отсутствие DMARC и DKIM? Это нужно обязательно настроить?
    25 марта 2021 г. 9:43
  • т.е. мне надо выставить для mx-записей одинаковый приоритет и все? 

    Если вы заметили, я там несколько больше написал - про то, что надо устранить ошибки. Если в этом что-то непонятно - могу пояснить.

    А после устранения ошибок - да.


    Слава России!


    • Изменено M.V.V. _ 25 марта 2021 г. 12:44
    25 марта 2021 г. 12:38
  • А насколько критично отсутствие DMARC и DKIM? Это нужно обязательно настроить?

    Работать будет и так - разве что какие-нибудь параноики вашу почту принимать не будут.

    Но если вы не хотите, чтобы от имени вашей организации рассылали спам, фишинг и прочую гадость - лучше настройте (впрочем, по моему личному мнению, тут можно обойтись малой кровью в виде SPF, для которого ничего кроме DNS не надо).


    Слава России!

    25 марта 2021 г. 12:43
    1. 1. В настройках сервера сделать так, чтобы объявляемый им FQDN (в баннере на приеме и в EHLO/HELO при отправке) совпадал с FQDN из записи MX для него
    2. 2. В обратной зоне DNS для IP сервера должна быть ровно одна запись PTR, разрешающаяся в FQDN, используемый сервером.

    1 пункт у меня сделан.

    а со вторым стопарнулся. Надо в обратной зоне сделать новую зону и в нее сделать запись типа mail2.encorefitness.ru с адресом 22.199.30.85

    Я правильно понял?

    25 марта 2021 г. 13:42
  • Хорошо
    25 марта 2021 г. 13:42
    1. 1. В настройках сервера сделать так, чтобы объявляемый им FQDN (в баннере на приеме и в EHLO/HELO при отправке) совпадал с FQDN из записи MX для него
    2. 2. В обратной зоне DNS для IP сервера должна быть ровно одна запись PTR, разрешающаяся в FQDN, используемый сервером.

    1 пункт у меня сделан.

    а со вторым стопарнулся. Надо в обратной зоне сделать новую зону и в нее сделать запись типа mail2.encorefitness.ru с адресом 22.199.30.85

    Я правильно понял?

    1. Точно сделали? А то сейчас я вижу, что  вас ещё есть запись mail.encorefitness.ru  с internet address = 85.30.199.22. Если на этом IP сидит сервер mail2.encorefitness.ru (то есть, он показывает это имя в баннере после подключения к нему и в EHLO/HELO, когда подключается сам), то этой записи быть там не должно.

    2. 22.199.30.85 - это в реальности 85.30.199.22? Тогда во-первых пишите либо IP как есть, либо FQDN записи PTR для него - 22.199.30.85.IN-ADDR.ARPA, а то я, например, целую минуту думал, что это у вас за адрес и откуда он взялся. А, во-вторых, с записью PTR для этого адреса у вас все нормально. А бардак - с 194.186.250.226.

     

    Слава России!


    • Изменено M.V.V. _ 25 марта 2021 г. 16:35
    25 марта 2021 г. 16:32
  • 1 я вчера убрал в зоне запись типа А, в которой было прописано mail.encorefitness.ru 85.30.199.22 и у меня перестала работать OWA и на почта на телефонах. Я вернул ее и все заработало. У меня все обращения к виртуальным каталогам идут на mail.encorefitness.ru. Но этот сервер пока не работает. А даже если бы и работал, то в случае его отключения, у меня опять отвалилась бы OWA и почта на телефонах. так как мне сделать чтобы обращения падали на оба сервера?

    при обращении к серверу по адресу 85.30.199.22 он выдает правильный FQDN

    2 у меня ptr запись для обоих серверов нормальная.

    значит в Зоне обратного просмотра я делаю зону encorefitness.ru В ней я делаю запись А mail2.encorefitness.ru c адресом 85.30.199.22 Верно?

    26 марта 2021 г. 8:55
  • кажется меня взломали.

    вот сообщение от SpamhouseЖ

    Устройство (компьютер, сервер, мобильный телефон и т. Д.) Или приложение на устройстве, использующем ваш IP-адрес, заражены, небезопасны или скомпрометированы. Он устанавливает SMTP-соединения с поддельными значениями HELO на порту 25.

    На устройстве, использующем ваш IP-адрес, установлен прокси-сервер для прямой рассылки спама в Интернет через порт 25. Это чаще всего встречается на мобильных телефонах на базе Android, потоковых устройствах, умных дверных звонках и т. Д .; и мы также иногда видим это на устройствах Windows. Подумайте о последствиях использования прокси-сервера в вашей сети, который запускает SMTP-реле без вашего ведома: Spamhaus видит исходящий от него спам, но прокси-серверы могут использоваться для всех видов вредоносных действий, и они находятся внутри вашего брандмауэра .

    Если у вас есть собственный почтовый сервер: это НЕ ваш почтовый сервер!

    Наблюдаемое значение подделки HELO составляло keqakku.comПоследнее обнаружение произошло: 26 марта 2021 г., 05:48 (часовой пояс UTC, +/- 1 минута)

    Я посмотрел этот keqakku.com и мне до боли знаком его IP. Кажется он постоянно пытался щемиться на мои роутеры.

    И вот еще сообщение от Spamhouse:

    Машина, использующая этот IP-адрес, заражена (или использует свое соединение с зараженным компьютером) вредоносным ПО, которое рассылает спам.

    IP-адрес 85.30.199.22 олицетворяет (через команду SMTP HELO) домен, который, как мы знаем, не может быть. Ни один законный почтовый сервер не делает этого ни при каких обстоятельствах.

    Это обнаружение соответствует соединению примерно 26 марта 2021 года, 05:45:00 UTC (+/- 5 минут) .

    попробую покопать как в статье написано:

    https://docs.microsoft.com/ru-ru/archive/blogs/office365security/how-to-fix-a-compromised-hacked-microsoft-office-365-account

    Может дадите какие0нибудь советы как почистить?

    29 марта 2021 г. 9:14