Host lookup problem mit postfix

27/11/2013 - 19:24 von Kai Schaetzl | Report spam
Ich habe hier ein merkwürdiges Problem mit einem fehlschlagenden Host
lookup, das ich umgehen möchte. Postfix 2.3.3, Centos 5.10.

Der Nameserver des Rechenzentrums scheint ein Problem mit der Auflösung
von delivery.mailspamprotection.com zu haben.
Ein host delivery.mailspamprotection.com endet mit
;; Truncated, retrying in TCP mode.
;; connection timed out; trying next origin
;; connection timed out; trying next origin
;; connection timed out; no servers could be reached

dig funktioniert auch nicht, EDNS-Puffer kann damit auch nicht angezeigt
werden.

Mit derselben Abfrage mit demselben Betriebssystem und Resolver-Bibliothek
erhalte ich im lokalen Büronetz eine Antwort, die 68 Hosts listet. Ein dig
@nameserver +short delivery.mailspamprotection.com txt gibt aber auch
keine Ausgabe (zeigt normalerweise den EDNS-Puffer an, falls nötig).

M.E. ist der Nameserver des RZ so konfiguriert, daß der EDNS-Puffer
begrenzt ist o.à., so daß nicht die volle (zugegeben exzessive) Antwort
reinpaßt. Habe dort wegen Änderung angefragt, aber noch keine Antwort.

Nun möchte ich aber das Problem solange umgehen und habe lokal schon alle
möglichen Ausnahmen für Client, Absender oder Empfànger in postfix
ausprobiert, die normalerweise auch wirken. Hier scheint es aber so zu
sein, daß anscheinend die andere Seite nach einer gewissen Zeit auflegt,
so daß gar keine Chance besteht, die Ausnahme wirken zu lassen. Dies fiel
mir erst etwas spàter auf, denn im Log fehlt jeglicher NOQUEUE-Eintrag,
der normalerweise anzeigen würde, daß *wir* das zurückweisen. Die andere
Seite meldet als Fehler "retry timeout exceeded", was wohl von dem System
selbst kommt, keine Meldung von uns.
Folgendes findet sich im Log:

Nov 27 17:31:42 d11 postfix/smtpd[26977]: warning: 184.154.208.38:
hostname delivery.mailspamprotection.com verification failed: Name or
service not known
Nov 27 17:31:42 d11 postfix/smtpd[26977]: connect from unknown
[184.154.208.38]
Nov 27 17:31:42 d11 postfix/smtpd[26977]: lost connection after CONNECT
from unknown[184.154.208.38]
Nov 27 17:31:42 d11 postfix/smtpd[26977]: disconnect from unknown
[184.154.208.38]

Hier fehlt also das übliche "NOQUEUE: reject: ... Client host rejected".

Wenn ich das richtig interpretiere, wird hier die Verbindung von der
anderen Seite getrennt, so daß gar keine Chance besteht, eine Ausnahme
wirken zu lassen. Sehe ich das richtig? Vermutlich dauert der Lookup dem
System auf der anderen Seite zu lange, so daß es zwischenzeitlich
abbricht. Postfix selbst scheint nicht den ersten Verbindungsaufbau zu
loggen, sondern die erste Warnung, der Verbindungsaufbau war vermutlich
schon deutlich (eben die Timeout-Lànge) früher. Und die Meldung über den
Disconnect hat vermutlich auch nur denselben Timestamp, weil Postfix
solange (DNS lookup) geblockt ist und diese Info nur synchron mitloggen
kann?

Mir ist nicht klar, wodurch der Lookup überhaupt ausgelöst wird bzw. ob er
überhaupt unterbunden werden kann. Meine Vermutung war/ist
reject_unknown_client_hostname, habe das inzwischen in
warn_if_reject, reject_unknown_client_hostname
geàndert, um das zu verifizieren, habe aber bisher noch keinen weiteren
Connect gehabt. Es kann aber sein, daß der Hostname lookup grundsàtzlich
stattfindet und erst danach entschieden wird, ob er irgendwie ausgewertet
werden soll. Demnach würde das dann immer in ein timeout laufen.
Ich habe zwischenzeitlich auch /etc/hosts mit allen Hostnamen befüllt, es
gab aber bisher, wie gesagt, noch keinen Connect, um das zu prüfen.

Wenn mir jemand sagen kann, ob der Lookup überhaupt generell unterbunden
werden kann (was ich ungern machen würde) oder ob es doch eine Möglichkeit
gibt, eine Ausnahme zu definieren, wàre mir sehr geholfen.


Kai
 

Lesen sie die antworten

#1 Juergen Ilse
27/11/2013 - 23:42 | Warnen spam
Hallo,

Kai Schaetzl wrote:
Ich habe hier ein merkwürdiges Problem mit einem fehlschlagenden Host
lookup, das ich umgehen möchte. Postfix 2.3.3, Centos 5.10.

Der Nameserver des Rechenzentrums scheint ein Problem mit der Auflösung
von delivery.mailspamprotection.com zu haben.
Ein host delivery.mailspamprotection.com endet mit
;; Truncated, retrying in TCP mode.
;; connection timed out; trying next origin
;; connection timed out; trying next origin
;; connection timed out; no servers could be reached

dig funktioniert auch nicht, EDNS-Puffer kann damit auch nicht angezeigt
werden.



Bist du sicher, dass sowohl resolver als auch befragter DNS-Server
EDNS0 unterstuetzen? Hat bei euch evt. ein unwissender Firewall-
Admin nicht kapiert, dass DNS *immer* UDP *und* TCP umfasst? Ja,
fuer funktionierendes DNS ist wirklich beides noetig, auch wenn es
immer mal wieder Leute nur mit UDP versuchen...

Tschuess,
Juergen Ilse ()
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Ähnliche fragen