Czy staje się niemożliwe być małym dostawcą poczty?

41

Prowadzę mały serwer pocztowy dla moich prywatnych e-maili, niektórych przyjaciół, którzy mają strony internetowe i dwie organizacje pozarządowe. W sumie mój serwer wysyła od 60 do 400 wiadomości dziennie. Teraz wiele z tych e-maili to wiadomości osobiste między dwiema lub więcej osobami, które się znają. Czasami (zwykle raz lub dwa razy w tygodniu) wysyłana jest wiadomość do „członków” jednej organizacji pozarządowej, informująca ich o nowościach itp.

Teraz wyprowadziłem się już z „masowych wysyłek” (około 100 adresatów, wszyscy osobiście znani i ręcznie subskrybowani za pośrednictwem formularza papierowego) na mailgun.org.

Nadal otrzymuję (i coraz częściej) odrzucone wiadomości. Szczególnie duzi dostawcy poczty e-mail, tacy jak Gmail, Yahoo lub Microsoft (hotmail, live.com, ...), po prostu decydują się na odrzucenie za pomocą 550 lub wysyłanie osobistych wiadomości do folderu Spam adresatów. Czasami tak się dzieje:

  • użytkownik gmail wysyła wiadomość e-mail do użytkownika w moim systemie
  • użytkownik w moim systemie odpowiada
  • odpowiedź jest odrzucana lub wysyłana na spam

Rzeczy, które zrobiłem:

  • skonfiguruj DKIM (podpisywanie wszystkich wychodzących wiadomości e-mail w domenie)
  • skonfigurować SPF, domeny zazwyczaj mają ~all, niektóre-all
  • Mam prawidłowy PTR dla adresu IP mojego serwera pocztowego
  • oczywiście nie ma otwartego przekaźnika, użytkownicy mogą wysyłać tylko z własnego adresu e-mail po uwierzytelnieniu
  • Mam zasady DMARC dla większości domen
  • Oceniam limit wychodzących wiadomości, dla niektórych serwerów pocztowych do 1 na minutę
  • Usługi testów pocztowych zgłaszają „doskonałe” wyniki (wszystkie zaliczone) dla wszystkich powyższych
  • Regularnie sprawdzam mój adres IP pod kątem czarnej listy za pomocą http://www.dnsbl.info - zawsze jest zielony

Teraz pojawia się paradoks: dla większości dużych dostawców poczty istnieje sposób na zarejestrowanie się w celu monitorowania współczynników odrzucania i reputacji adresu IP:

ale nie klasyfikuję się jako nadawca masowy ze względu na niewielką objętość. Więc nie zarejestrować do monitorowania mojej reputacji i odrzucenie ceny, ale ponieważ ja nie wysyłać e-maile luzem, nie ma doniesień.

Czy mogę coś jeszcze zrobić, aby poprawić szybkość dostarczania poczty? A może powinienem się poddać i przestać próbować obsługiwać własny serwer pocztowy?

W przypadku, gdy jest to istotne: używam Postfiksa i mam bardzo surowe zasady dotyczące poczty przychodzącej (tj. Żadnych nieznanych domen / nazw hostów lub nieprawidłowych rekordów SPF, używam spamassassin itp.)

Aktualizacja

Oto przykład wysłany ode mnie do moich teściów i dotarł do folderu SPAM: http://pastebin.com/BC6YgjpQ (zastąpiłem domenę adresu wysyłającego example.comi adres odbiorcy na example@gmail.com)

Ponieważ pojawiło się pytanie: połączenia z Gmailem są Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)szyfrowane.

email  email-server  spam  spf  dkim 
Stefan Seidel
źródło
3
Dawno się poddałem. Teraz wysyłam nawet mój osobisty e-mail za pośrednictwem SendGrid.
Michael Hampton
2
Miałem podobne problemy, ale mam jeszcze mniej ruchu pocztowego. W moim przypadku dodałem rekord SPF DNS i Google ponownie zezwolił na wysyłanie moich e-maili. Dla mnie ten temat jest bardzo ważny. Prowadzenie własnego serwera pocztowego jest dla mnie podstawowym prawem człowieka. Może porozmawiasz z EFF, zajmują się takimi dużymi tematami.
guettli 21.04.16
1
MadHatter obsługuje Monikę
Zauważyłem, że dodałeś nagłówek uwierzytelnienia do wiadomości wychodzącej. Google może potraktować to jako próbę sfałszowania uwierzytelnienia. Mój odczyt nagłówka uwierzytelnienia polega na tym, że ma on być dodawany przez MX (serwery graniczne) do wiadomości przychodzących. Jest dozwolone / zalecane, aby MX usunął istniejące nagłówki uwierzytelniania.
BillThor

Odpowiedzi:

20

Nie powinno być problemów ze stawaniem się małym dostawcą poczty. Wygląda na to, że robisz właściwe rzeczy. Wielu dużych dostawców nie ma racji i mam nadzieję, że większość ich poczty zostanie dostarczona.

Jeśli poczta jest wysyłana do folderu SPAM, prawdopodobnie coś przegapiłeś. Powinien zostać odnotowany powód problemów z dostawą:

  • W przypadku odesłanych wiadomości przeczytaj odpowiedź. Należy określić, dlaczego poczta została odesłana. Jeśli możesz, upewnij się, że odesłane wiadomości są rejestrowane.
  • W przypadku wiadomości wysyłanych do folderu Spam sprawdź nagłówki dostarczonej wiadomości. Powinno to (będzie dotyczyć Gmaila lub Yahoo) zawierać szczegóły niektórych z przeprowadzonych kontroli. Pomoże to ustalić, na czym polega problem.

Kilka rzeczy, których nie określiłeś, chociaż niektóre powinny zostać złapane przez raport sprawdzania poprawności:

  • Sprawdzanie poprawności rDNS adresu serwera pocztowego zakończyło się powodzeniem. (Twój rekord PTR powinien zwracać tylko jeden adres.)
  • Twój serwer użył nazwy z rekordu PTR w komunikacie EHLO lub HELO.
  • Skonfiguruj rekord SPF dla domeny serwera pocztowego („v = spf1 a -all”).
  • Zarejestrowałeś się na dnswl.org.
  • Udało ci się opublikować klucze publiczne DKIM we właściwej lokalizacji. Możesz użyć tego samego klucza dla wielu domen. Może pomóc w tym, aby inne organizacje korzystały z rekordów CNAME do rekordów DNS, które kontrolujesz.
  • Użyłeś dużego klucza DKIM 1024 lub większego.
  • Przetwarzaj pocztę wychodzącą przez filtr antyspamowy (przynajmniej problemy z logami).

Jeśli masz DMARC, możesz skonfigurować raporty o stanie dostawy i raporty o odrzuceniu. Umożliwi to otrzymywanie raportów doręczenia. Otrzymuję raporty od Google, Microsoft i Yahoo. Uwaga: dyspozycja „brak” oznacza, że ​​poczta została dostarczona.

BillThor
źródło
2
Oto 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command) To nic mi nie mówi.
Stefan Seidel
Kto jest właścicielem ip? Czy to dostawca usług mieszkaniowych czy biznesowych? Czy byłoby możliwe przekazanie wychodzącego ruchu smtp przez serwery smtp twojego dostawcy Internetu? Nadal będziesz mieć kontrolę nad ruchem przychodzącym (wiem, nie dokładnie, czego chcesz, ale wciąż za każdym razem musisz wyjaśniać swoim ustawom, dlaczego twoje wiadomości są oznaczane jako spam lub odrzucane, może wkrótce stać się niezręczne ;-) )
natxo asenjo
@StefanSeidel Udostępnili ci link do strony, na której możesz zaufać. Będziesz musiał jako rekord CNAME lub TXT do każdej domeny podpisującej. Jest to dość szybki i bezbolesny proces.
BillThor
4
@BillThor mówisz o rejestracji na postmaster.google.com? To nie ma nic wspólnego z „zaufaniem”. Umożliwia przeglądanie wskaźników zgłaszania spamu dla zweryfikowanych domen. Zrobiłem to i prowadzi to dokładnie do opisanej powyżej sytuacji: ponieważ wolumen wysyłania jest tak niski, nie ma danych. Zweryfikowałem 4 najlepsze domeny i żadna z nich nie pokazuje żadnych danych.
Stefan Seidel
@StefanSeidel czy zarejestrowałeś również nazwę domeny swojego hosta poczty?
BillThor 24.04.16
10

W powyższych (doskonałych) odpowiedziach brakuje tylko ustawienia wychodzącego TLS. Gmail zaczął karać nadawców, którzy nie korzystają z TLS, a inni dostawcy nic nie mówią, ale jestem pewien, że pójdą w ich ślady.

Matt Sierżant
źródło
Dzięki. Postfix domyślnie woli TLS i widzę, że jest używany.
Stefan Seidel
1
Czy używasz certyfikatu z podpisem własnym? Nie wiem tego na pewno, ale raczej podejrzewam, że korzystanie z certyfikatu zweryfikowanego przez inną firmę dodatkowo poprawia sytuację i stają się one strasznie tanie.
MadHatter obsługuje Monikę
Nie, zatwierdzono StartCom Poziom 2. Nie dotyczy to również poczty wychodzącej, prawda?
Stefan Seidel
@StefanSeidel, dlaczego nie miałoby to dotyczyć wychodzących wiadomości e-mail? Sprawdzanie poprawności certyfikatu TLS dotyczy wszystkich transakcji TLS, a wychodzące wiadomości e-mail z nowoczesnego MTA na serwer, który reklamuje STARTTLS, będą wysyłane w ramach TLS.
MadHatter obsługuje Monikę
1
@StefanSeidel Mylisz się. Oto bardzo typowa linia z logu mojego serwera pocztowego w trybie serwera TLS (tj. Odbieranie połączenia przychodzącego z innego serwera) pokazująca walidację certyfikatu zdalnego serwera ( verify=OK):May 10 08:01:34 lory sendmail[5884]: STARTTLS=server, relay=mail-bn1bhn0245.outbound.protection.outlook.com [157.56.111.245], version=TLSv1/SSLv3, verify=OK, cipher=AES256-SHA256, bits=256/256
MadHatter obsługuje Monikę
4

W dzisiejszych czasach działania związane ze spamem to prawdziwy ból głowy. Wielcy faceci, tacy jak Gmail, Microsoft, Yahoo itp., Próbują zabezpieczyć swoich użytkowników przed spamem. Dlatego muszą poprawić swoje techniki filtrowania spamu. Ze względów bezpieczeństwa nigdy nie ujawniają również swoich zasad dotyczących spamu. Dlatego nie mogliśmy znaleźć wytycznych do skonfigurowania serwera poczty w taki sposób, abyśmy mogli wysyłać wiadomości e-mail do dużych dostawców usług.

Nie ma konkretnych zasad, których nie ma na liście w złej książce, ale powinieneś aktualizować swój serwer o nowe wytyczne. Tutaj jest kilka z nich.

1) Sprawdź główną przyczynę odesłanej poczty zwrotnej. Czy dotyczy to reputacji IP serwera LUB niepoprawnych rekordów DNS domeny.

2) Nie używaj rekordu SPF o wartości domyślnej takiej jak ~ all. Utwórz określony rekord SPF, taki jak all-MX

3) Unikaj przekazywania poczty z serwera do Gmaila / Yahoo / Microsoft / Comcast. Jeśli wykryją jakąkolwiek pocztę spamową w przesłanych dalej wiadomościach, nie zawracają sobie głowy sprawdzaniem, skąd pochodzi ta poczta. Po prostu uważają twój serwer pocztowy za źródło spamu i możesz zostać dodany do czarnej listy.

4) Zainstaluj protokół SSL na swoim serwerze i użyj połączenia wychodzącego z połączeniem TLS.

5) Zachowaj listę Double Opt In we wszystkich newsletterach. I wiele więcej...

mohemmadAli
źródło
2 
Untrusted TLS connection established to gmail-smtp-in.l.google.com

Myślę, że masz tutaj błąd łańcucha certyfikatów. Upewnij się, że wysyłasz certyfikat pośredni wraz z certyfikatem.

długa szyja
źródło
1
To tylko oznacza, że mój serwer nie ufa SMTP Gmaila. Dodałem smtp_tls_CApathdo mojego postfiksowego conf, więc jest to Trusted TLS connectionteraz. Ale ponieważ ta weryfikacja jest lokalna tylko dla mojego serwera pocztowego, myślę, że nie może być istotna dla żadnej punktacji.
Stefan Seidel
2

@Stefan

Wyglądasz na bardzo kompetentnego, co jest niesamowite, przejrzałem twoje nagłówki, bez twojej nazwy domeny bardzo utrudnia to rozwiązywanie problemów. Jedną z rzeczy, które zauważyłem w twoich nagłówkach, jest to, że używasz „Simple / Simple” do podpisywania DKIM, powinieneś naprawdę zmienić to na „Relaxed / Relaxed”. Wiele serwerów pocztowych ma problemy z prostymi.

W serwerze pastebin pozostawiłeś także nazwę serwera pocztowego, która pojawia się na czarnej liście . Wątpię, aby to spowodowało problem, ale to narzędzie skanuje znacznie więcej niż to, z którego korzystałeś.

Wyślij wiadomość e-mail, aby mailtest@unlocktheinbox.comzobaczyć, ile masz krytycznych uwag. Możesz zdobyć kilka wskazówek.

Henz
źródło
Ta strona jest dla mnie trochę trudna do odczytania. Widzę tylko zielone prostokąty. Wysłałem tego e-maila i podobno jest tam 5 ostrzeżeń i 3 krytyczne, ale między Email Authentication Pro Feature - Learn Morelinkami widzę tylko „pozytywny ” i „sukces”.
Stefan Seidel
Tak, musisz zrzucić tę jedną czarną listę. Większość publicznych czarnych list usuwa Cię, jeśli nie wykrywa spamu przez określony czas, zwykle dzień lub dwa.
Henry
1

Odpowiedź brzmi nie.

Podaję to głównie dlatego, że zdaję sobie sprawę, że trudno sobie wyobrazić liczbę osób z większym doświadczeniem we wszystkich aspektach bycia administratorem ESP niż ja, a jednak prowadzę kilkanaście produkcyjnych systemów e-mail, które można zakwalifikować jako „małe” bez przedstawianych problemów.

Z tego, co opublikowałeś, wygląda na to, że nauczyłeś wszystkiego i, zakładając, że właściwie wdrożyłeś to, co jest na liście, pozostała tylko jedna opcja - że twój adres IP zrobił złe rzeczy w swoim poprzednim życiu.

Mam na myśli (naprawdę) źle. Twój adres IP może zostać pobrany z publicznych czarnych list z inicjatywy ISP (co jest znacznie bardziej wydajne), ale wcześniej służył wielokrotnie wirusowi i phishingowi przez dłuższy czas.

Jeśli tak jest, niestety niewiele można zrobić, o ile mi wiadomo. Jedną z opcji jest pozostawanie przez długi czas w celu utrzymania legalnego serwera e-mail, płacąc cenę za odrzucenie wielu e-maili, zanim reputacja nadawcy - zupełnie inna rzecz niż obecność na publicznych czarnych listach - jest powoli ustalana.

Informuj nas o swojej sprawie.

Miloš Đakonović
źródło
Dzięki i myślę, że tak, wielka sprawa po tych wszystkich innych rzeczach może być reputacją własności intelektualnej. Niedawno dodałem drugi serwer pocztowy i otrzymałem pewne odrzucenia adresów Microsoft. Okazuje się, że mój dostawca hostingu umieścił mnie w „złym sąsiedztwie”. Udało mi się jednak otworzyć bilet z Microsoftem, który wyciągnął moje IP z zakresu złych adresów IP - pod warunkiem zachowania dobrego zachowania (które oczywiście zamierzam pokazać).
Stefan Seidel
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.