Sta diventando impossibile essere un piccolo fornitore di posta?


41

Gestisco un piccolo server di posta per le mie e-mail private, alcuni amici che hanno siti Web e due ONG. In totale il mio server invia tra 60 e 400 messaggi al giorno. Molte di queste e-mail sono mail personali , tra due o più persone che si conoscono. Occasionalmente (di solito una o due volte a settimana) ci sarà un mailing che verrà inviato ai "membri" di una ONG, informandoli sulle novità, ecc.

Ora sono già passato dalle "mailing di massa" (circa 100 destinatari, tutti conosciuti personalmente e abbonati manualmente tramite un modulo cartaceo) a mailgun.org.

Ricevo ancora (e sempre di più) messaggi rifiutati. Soprattutto i grandi provider di posta elettronica come Gmail, Yahoo o Microsoft (hotmail, live.com, ...) decidono di rifiutare con un 550 o inviare messaggi personali alla cartella Spam dei destinatari. A volte questo succede:

  • utente gmail invia e-mail all'utente sul mio sistema
  • l'utente sul mio sistema risponde
  • la risposta viene rifiutata o inviata allo spam

Cose che ho fatto:

  • configurare DKIM (firma per dominio di tutta la posta elettronica in uscita)
  • impostare SPF, i domini di solito hanno ~all, alcuni-all
  • Ho un PTR corretto per l'IP del mio server di posta
  • ovviamente nessun relay aperto, gli utenti possono inviare dal proprio indirizzo e-mail solo dopo l'autenticazione
  • Ho le politiche DMARC per la maggior parte dei domini
  • Giudico il limite dei messaggi in uscita, per alcuni server di posta fino a 1 al minuto
  • i servizi di test di posta riportano punteggi "perfetti" (tutti i passaggi) per tutto quanto sopra
  • Controllo regolarmente il mio IP per la lista nera usando http://www.dnsbl.info - è sempre tutto verde

Ora il paradosso arriva qui: per la maggior parte dei grandi fornitori di posta, c'è un modo per registrarsi per monitorare i tassi di rifiuto e la reputazione IP:

ma non mi classifico come mittente di massa, a causa del volume ridotto. Quindi mi sono registrato per monitorare la mia reputazione e i tassi di rifiuto, ma poiché non invio e-mail di massa, non ci sono rapporti.

C'è qualcos'altro che posso fare per migliorare le tariffe di consegna della posta? O dovrei arrendermi e smettere di provare a utilizzare il mio server di posta?

Nel caso sia pertinente: utilizzo Postfix e ho regole molto rigide sulla posta in arrivo (ovvero nessun dominio / nome host sconosciuto o record SPF non validi, utilizzo spamassassin ecc.)

Aggiornare

Ecco un esempio, inviato da me ai miei suoceri ed è arrivato nella loro cartella SPAM: http://pastebin.com/BC6YgjpQ (ho sostituito il dominio dell'indirizzo di invio con example.come l'indirizzo del destinatario con example@gmail.com)

Da quando è emersa la domanda: le connessioni a Gmail sono Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)crittografate.


3
Mi sono arreso un po 'di tempo fa. Ora invio anche la mia e-mail personale tramite SendGrid.
Michael Hampton

2
Ho avuto problemi simili, ma ho ancora meno traffico di posta. Nel mio caso ho aggiunto un record DNS SPF e google ha autorizzato nuovamente le mie mail. Per me questo argomento è molto importante. Gestire un proprio server di posta è per me un diritto umano fondamentale. Forse puoi parlare con il FEP che trattano grandi argomenti come questo.
Guettli,


Ho notato che hai aggiunto un'intestazione di autenticazione al messaggio in uscita. Google può considerare questo come un tentativo di falsificare l'autenticazione. La mia lettura dell'intestazione di autenticazione è che deve essere aggiunta da MX (server di confine) ai messaggi in arrivo. È consentito / raccomandato che MX rimuova le intestazioni di autenticazione esistenti.
BillThor,

Risposte:


20

Non dovrebbero esserci problemi a diventare un piccolo fornitore di posta. Sembra che tu stia facendo le cose giuste. Molti grandi fornitori non riescono a fare le cose bene e speriamo che la maggior parte della posta venga recapitata.

Se la posta viene inviata alla cartella SPAM, è probabile che tu abbia perso qualcosa. Dovrebbe esserci un registro dei motivi per cui hai problemi di consegna:

  • Per i messaggi rimbalzati leggi la risposta. Dovrebbe specificare perché la posta è stata rimbalzata. Se puoi, assicurati che i messaggi di rimbalzo siano registrati.
  • Per i messaggi inviati alla cartella Spam, esaminare le intestazioni dei messaggi sul messaggio recapitato. Questo dovrebbe (sarà per GMail o Yahoo) contenere i dettagli di alcuni dei controlli che sono stati effettuati. Questo ti aiuta a determinare qual è il problema.

Alcune cose che non hai specificato sebbene alcune dovrebbero essere colte dal rapporto di validazione:

  • La convalida rDNS dell'indirizzo del server di posta ha esito positivo. (Il tuo record PTR dovrebbe restituire un solo indirizzo.)
  • Il tuo server ha usato il nome sul record PTR nel suo messaggio EHLO o HELO.
  • Imposta un record SPF per il dominio del tuo server di posta ("v = spf1 a -all").
  • Ti sei registrato a dnswl.org.
  • Le chiavi pubbliche DKIM sono state pubblicate nella posizione corretta. Puoi usare la stessa chiave per più domini. Può essere utile che altre organizzazioni utilizzino i record CNAME per i record DNS che controlli.
  • È stata utilizzata una chiave DKIM di grandi dimensioni 1024 o superiore.
  • Elaborazione della posta in uscita tramite un filtro antispam (almeno problemi di registro).

Se si dispone di DMARC, è possibile configurare report sullo stato della consegna e report di rimbalzo. Ciò ti consentirà di ricevere rapporti di consegna. Ricevo rapporti da Google, Microsoft e Yahoo. Si noti che la disposizione "nessuna" indica che la posta è stata recapitata.


2
Ecco un 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command) che non mi dice nulla.
Stefan Seidel,

Chi è il proprietario dell'ip? È un fornitore residenziale o commerciale? Sarebbe un'opzione per inoltrare il tuo traffico smtp in uscita attraverso i server smtp del tuo provider Internet? Quindi avresti ancora il controllo del traffico in entrata (lo so, non esattamente quello che vuoi, ma comunque, devi spiegare ogni volta ai tuoi suoceri perché i tuoi messaggi vengono contrassegnati come spam o rifiutati potrebbero diventare imbarazzanti presto-ish ;-) )
natxo asenjo il

@StefanSeidel Ti hanno fornito un link a un sito di cui puoi fidarti. Sarà necessario come record CNAME o TXT per ciascun dominio di firma. È un processo abbastanza rapido e indolore.
BillThor,

4
@BillThor stai parlando della registrazione per postmaster.google.com? Ciò non ha nulla a che fare con il "fidarsi". Ti consente di visualizzare le tariffe di segnalazione spam per domini verificati. L'ho fatto e questo porta esattamente alla situazione che ho descritto sopra: poiché il volume di invio è così basso, non ci sono dati. Ho verificato i miei 4 domini principali e nessuno mostra alcun dato.
Stefan Seidel,

@StefanSeidel hai anche registrato il nome di dominio del tuo mailhost?
BillThor,

10

Una cosa che manca nelle risposte (eccellenti) sopra è impostare TLS in uscita. Gmail ha iniziato a punire i mittenti che non utilizzano TLS e altri provider non dicono nulla, ma sono sicuro che seguiranno l'esempio.


Grazie. Postfix preferisce TLS per impostazione predefinita e posso vedere che viene utilizzato.
Stefan Seidel,

1
Stai utilizzando un certificato autofirmato? Non lo so per certo, ma sospetto piuttosto che l'uso di un certificato verificato da terze parti migliora ulteriormente le cose e stanno diventando terribilmente economiche.
MadHatter supporta Monica il

No, StartCom Level 2 convalidato. Inoltre, questo non è rilevante per la posta in uscita, giusto?
Stefan Seidel,

@StefanSeidel perché non dovrebbe applicarsi per la posta elettronica in uscita? La convalida del certificato TLS si applica a tutte le transazioni TLS e l'e-mail in uscita da un moderno MTA, a un server che pubblicizza STARTTLS, verrà inviata in TLS.
MadHatter supporta Monica

1
@StefanSeidel Ti sbagli. Ecco una linea molto tipica dal registro del mio server di posta in modalità server TLS (ovvero, ricevere una connessione in entrata da un altro server) che mostra la convalida del certificato del server remoto ( verify=OK):May 10 08:01:34 lory sendmail[5884]: STARTTLS=server, relay=mail-bn1bhn0245.outbound.protection.outlook.com [157.56.111.245], version=TLSv1/SSLv3, verify=OK, cipher=AES256-SHA256, bits=256/256
MadHatter supporta Monica

4

Oggi le attività di spamming sono un vero mal di testa. I grandi come Gmail, Microsoft, Yahoo ecc. Cercano di proteggere i loro utenti dagli spam. Quindi, devono migliorare le loro tecniche per filtrare gli spam. E per motivi di sicurezza, non divulgano mai anche le loro politiche di spam. Pertanto, non siamo riusciti a trovare una linea guida per configurare un server di posta in modo tale da poter inviare posta ai grandi fornitori di servizi.

Non ci sono regole specifiche per non essere elencate nel loro libro cattivo, ma dovresti mantenere il tuo server aggiornato con le nuove linee guida. Qui ce ne sono un po.

1) Controllare la causa principale della posta di ritorno rimbalzata. Si riferisce alla reputazione IP del server o ai record DNS errati del dominio.

2) Non utilizzare un record SPF con un valore predefinito come ~ all. Crea un record SPF specifico come un MX -all

3) Evita l'inoltro della posta dal tuo server a Gmail / Yahoo / Microsoft / Comcast. Se rilevano messaggi di spam nei messaggi inoltrati, non si preoccuperanno di controllare da dove provengono i messaggi. Considerano semplicemente il tuo server di posta come un'origine spam e potresti essere aggiunto alla lista nera.

4) Installa un SSL sul tuo server e usa Outbound con connessione TLS.

5) Conservare l'elenco Double Opt In in tutte le newsletter. E molti altri...


2
Untrusted TLS connection established to gmail-smtp-in.l.google.com

Penso che tu abbia un errore nella catena di certificati qui. Assicurati di inviare il certificato intermedio insieme al certificato.


1
Ciò significa solo che il mio server non si fida dell'SMTP di Gmail. Ho aggiunto smtp_tls_CApathal mio postfix conf, quindi questo è un Trusted TLS connectionora. Ma dal momento che tale verifica è solo locale per il mio server di posta, penso che non possa essere rilevante per alcun punteggio.
Stefan Seidel,

2

@Stefan

Sembri molto ben informato, il che è fantastico, ho guardato oltre le tue intestazioni, senza il tuo nome di dominio rende molto difficile aiutare a risolvere i problemi. L'unica cosa che ho notato nelle intestazioni è che stai usando "Semplice / Semplice" per firmare il tuo DKIM, dovresti davvero passare a "Rilassato / Rilassato". Molti server di posta hanno problemi con semplici.

Hai anche lasciato il nome del server di posta nel tuo pastebin, che appare in una lista nera . Dubito che questo stia causando il tuo problema, ma questo strumento scansiona molto più di quello che stavi usando.

Invia un'e-mail a mailtest@unlocktheinbox.comper vedere quante critiche hai. Potresti avere qualche indizio.


Quel sito è un po 'difficile da leggere per i miei occhi. Vedo solo rettangoli verdi. Ho inviato questa e-mail e presumibilmente ci sono 5 avvertimenti e 3 critici, ma tutto quello che posso vedere tra i Email Authentication Pro Feature - Learn Morecollegamenti è "passa" e "successo".
Stefan Seidel,

Sì, devi aver rotolato via quella lista nera. La maggior parte delle blacklist pubbliche ti rimuovono se non rilevano spam per un certo periodo di tempo, di solito un giorno o due.
Henry,

1

La risposta è no

Lo dico principalmente perché sono consapevole del fatto che è difficile immaginare il numero di persone con più esperienza in tutti gli aspetti dell'amministratore ESP di me eppure eseguo una dozzina di sistemi di posta elettronica di produzione che si qualifica come "piccolo" senza problemi presentati.

Da quello che hai pubblicato sembra che tu abbia insegnato di tutto e, presumendo di aver correttamente implementato ciò che è elencato, rimane solo un'opzione: che il tuo indirizzo IP abbia fatto cose cattive nella sua vita passata.

Voglio dire (davvero) male. Il tuo indirizzo IP può essere estratto dalle blacklist pubbliche su iniziativa dell'ISP (che è di gran lunga più efficiente) ma prima ha servito ripetutamente il traffico di virus e phishing per un periodo di tempo prolungato.

In tal caso, purtroppo c'è poco da fare, per quanto ne so. Un'opzione è quella di rimanere nel tentativo di mantenere il server di posta elettronica legittimo per lungo tempo, pagando il prezzo di molte e-mail che vengono rifiutate prima che la reputazione del mittente - cosa completamente diversa dall'essere presente o meno nelle liste nere pubbliche - venga lentamente stabilita.

Tienici informati sul tuo caso.


Grazie, e penso, sì, il grosso problema dopo tutte le altre cose potrebbe essere la reputazione IP. Di recente ho aggiunto un secondo server di posta e ho ricevuto alcuni rifiuti agli indirizzi Microsoft. Ho scoperto che il mio provider di hosting mi ha messo in un "brutto quartiere". Sono stato in grado di aprire un ticket con Microsoft e hanno portato il mio IP fuori dalla gamma di indirizzi IP non validi - soggetto a continui comportamenti positivi (che ho intenzione di mostrare, ovviamente).
Stefan Seidel,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.