Está se tornando impossível ser um pequeno provedor de correio?

41

Eu opero um pequeno servidor de email para meus emails particulares, alguns amigos que têm sites e duas ONGs. No total, meu servidor envia entre 60 e 400 mensagens por dia. Agora, muitos desses emails são emails pessoais , entre duas ou mais pessoas que se conhecem. Ocasionalmente (geralmente uma ou duas vezes por semana), haverá uma correspondência enviada aos "membros" de uma ONG, informando-lhes as novidades etc.

Agora eu já mudei as "correspondências em massa" (cerca de 100 destinatários, todos conhecidos pessoalmente e manualmente assinados através de um formulário em papel) para mailgun.org.

Ainda recebo (e cada vez mais) mensagens rejeitadas. Especialmente grandes provedores de e-mail como Gmail, Yahoo ou Microsoft (hotmail, live.com, ...) decidem rejeitar o 550 ou enviar mensagens pessoais para a pasta Spam dos destinatários. Às vezes isso acontece:

  • usuário do gmail envia e-mail para o usuário no meu sistema
  • usuário no meu sistema responde
  • a resposta está sendo rejeitada ou enviada para spam

Coisas que eu fiz:

  • configurar o DKIM (assinatura por domínio de todos os emails de saída)
  • configurar o SPF, os domínios geralmente têm ~all, alguns-all
  • Eu tenho um PTR correto para o IP do meu servidor de email
  • obviamente, sem retransmissão aberta, os usuários só podem enviar de seu próprio endereço de email após a autenticação
  • Eu tenho políticas DMARC para a maioria dos domínios
  • Classifico o limite de mensagens enviadas, para alguns servidores de correio, até 1 por minuto
  • os serviços de teste de correio relatam pontuações "perfeitas" (todas aprovadas) para todas as opções acima
  • Verifico regularmente meu IP quanto à lista negra usando http://www.dnsbl.info - é sempre tudo verde

Agora, o paradoxo está aqui: para a maioria dos grandes provedores de e-mail, existe uma maneira de se registrar para monitorar as taxas de rejeição e a reputação de IP:

mas não classifico como remetente em massa, devido ao baixo volume. Então eu me registrar para monitorar a minha reputação e rejeição taxas, mas porque eu não enviar e-mails em massa, não há relatos.

Há mais alguma coisa que eu possa fazer para melhorar as taxas de entrega de correio? Ou devo desistir e parar de tentar operar meu próprio servidor de correio?

Caso seja relevante: eu uso o postfix e tenho regras muito rígidas sobre mensagens recebidas (ou seja, nenhum domínio / nome de host desconhecido ou registro SPF inválido, uso spamassassin etc.)

Atualizar

Aqui está um exemplo, enviado de mim para meus sogros e ele chegou na pasta SPAM: http://pastebin.com/BC6YgjpQ (substituí o domínio do endereço de envio por example.come o endereço dos destinatários por example@gmail.com)

Desde que surgiu a pergunta: as conexões com o Gmail são Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)criptografadas.

email  email-server  spam  spf  dkim 
Stefan Seidel
fonte
3
Eu desisti por um tempo atrás. Agora eu envio até meu email pessoal através do SendGrid.
Michael Hampton
2
Eu tive problemas semelhantes, mas tenho ainda menos tráfego de mensagens. No meu caso, adicionei um registro DNS SPF e o google permitiu meus e-mails novamente. Para mim, este tópico é muito importante. Administrar um servidor de correio próprio é para mim um direito humano fundamental. Talvez você possa conversar com a EFF, que lida com grandes tópicos como este.
guettli
1
MadHatter apoia Monica
Notei que você adicionou um cabeçalho de autenticação à mensagem de saída. O Google pode tratar isso como uma tentativa de falsificar a autenticação. Minha leitura do cabeçalho de autenticação é que ele deve ser adicionado pelo MX (servidores de borda) às mensagens recebidas. É permitido / recomendado que o MX remova os cabeçalhos de autenticação existentes.
BillThor

Respostas:

20

Não deve haver problemas para se tornar um pequeno provedor de correio. Você parece estar fazendo as coisas certas. Muitos grandes fornecedores não acertam as coisas e esperamos que a maioria de seus e-mails seja entregue.

Se o correio estiver sendo enviado para a pasta SPAM, é provável que você tenha perdido algo. Deve haver um registro do motivo pelo qual você tem problemas de entrega:

  • Para mensagens devolvidas, leia a resposta. Deve especificar por que o email foi devolvido. Se puder, verifique se as mensagens de devolução estão registradas.
  • Para mensagens enviadas para a pasta Spam, examine os cabeçalhos da mensagem entregue. Isso deve conter (para GMail ou Yahoo) detalhes de algumas das verificações realizadas. Isso ajuda a determinar qual é o problema.

Algumas coisas que você não especificou, embora algumas devam ser capturadas pelo relatório de validação:

  • A validação do rDNS do endereço do seu servidor de email foi bem-sucedida. (Seu registro PTR deve retornar apenas um endereço.)
  • Seu servidor usou o nome no registro PTR na mensagem EHLO ou HELO.
  • Configure um registro SPF para o domínio do seu servidor de email ("v = spf1 a -all").
  • Você se registrou no dnswl.org.
  • Você teve as chaves públicas de DKIM publicadas no local correto. Você pode usar a mesma chave para vários domínios. Pode ajudar outras organizações a usar registros CNAME nos registros DNS que você controla.
  • Você usou uma chave DKIM grande 1024 ou maior.
  • Processe as mensagens enviadas através de um filtro de spam (pelo menos, problemas de log).

Se você possui o DMARC, pode configurar relatórios de status de entrega e relatórios de devolução. Isso permitirá que você receba relatórios de entrega. Eu recebo relatórios do Google, Microsoft e Yahoo. Observe que a disposição "none" indica que a correspondência foi entregue.

BillThor
fonte
2
Aqui está um 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command) Isso não me diz nada.
Stefan Seidel
Quem é o dono do ip? É um provedor residencial ou comercial? Seria uma opção para retransmitir o tráfego smtp de saída através dos servidores smtp do seu provedor de internet? Então, você ainda teria o controle do tráfego recebido (eu sei, não exatamente o que você deseja, mas ainda assim, ter que explicar sempre às leis) por que suas mensagens são sinalizadas como spam ou rejeitadas podem ficar estranhas em breve ;-) )
Natxo asenjo
@StefanSeidel Eles forneceram um link para um site em que você pode ser confiável. Você precisará como um registro CNAME ou TXT para cada domínio de assinatura. É um processo bastante rápido e indolor.
BillThor
4
@ BillThor você está falando sobre o registro no postmaster.google.com? Isso não tem nada a ver com "obter confiança". Permite visualizar as taxas de relatórios de spam para domínios verificados. Eu fiz isso e isso leva exatamente à situação descrita acima: como o volume de envio é tão baixo, não há dados. Tenho verificado meus domínios top 4 e nenhum mostrar quaisquer dados.
Stefan Seidel
@StefanSeidel você também registrou o nome de domínio do seu host de correio?
BillThor
10

Uma coisa que falta nas respostas (excelentes) acima é configurar o TLS de saída. O Gmail começou a punir os remetentes que não usam TLS, e outros provedores não estão dizendo nada, mas tenho certeza que eles seguirão o exemplo.

Matt Sergeant
fonte
Obrigado. O Postfix prefere o TLS por padrão, e posso ver que está sendo usado.
Stefan Seidel
1
Você está usando um certificado autoassinado? Não sei ao certo, mas desconfio que o uso de um certificado verificado por terceiros melhore ainda mais as coisas, e elas estão ficando terrivelmente baratas.
MadHatter apoia Monica
Não, o StartCom Nível 2 foi validado. Além disso, isso não é relevante para mensagens enviadas, certo?
Stefan Seidel
@StefanSeidel por que não se aplica a e-mails enviados? A validação do certificado TLS se aplica a todas as transações TLS, e os e-mails enviados de um MTA moderno, para um servidor que anuncia STARTTLS, serão enviados sob TLS.
suportes MadHatter Monica
1
@StefanSeidel Você está errado. Aqui é uma linha muito típico de log do meu servidor de correio em TLS servidor modo (ou seja, recebendo uma conexão de entrada de outro servidor) que mostra a validação do certificado do servidor remoto ( verify=OK):May 10 08:01:34 lory sendmail[5884]: STARTTLS=server, relay=mail-bn1bhn0245.outbound.protection.outlook.com [157.56.111.245], version=TLSv1/SSLv3, verify=OK, cipher=AES256-SHA256, bits=256/256
MadHatter suporta Monica
4

Atualmente, as atividades de spam são uma verdadeira dor de cabeça. Os caras grandes, como Gmail, Microsoft, Yahoo etc., tentam proteger seus usuários contra spam. Portanto, eles devem melhorar suas técnicas para filtrar os spams. E, por motivos de segurança, eles nunca divulgam suas políticas de spam também. Portanto, não conseguimos encontrar uma diretriz para configurar um servidor de correio de forma que possamos enviar e-mails para os grandes provedores de serviços.

Não há regras específicas para não serem listadas no livro incorreto, mas você deve manter seu servidor atualizado com as novas diretrizes. Aqui estão alguns deles.

1) Verifique a causa raiz do e-mail devolvido. Está relacionado à reputação IP do servidor OU aos registros DNS incorretos do domínio.

2) Não use um registro SPF com um valor padrão como ~ all. Crie um registro SPF específico como um MX - todos

3) Evite o encaminhamento de mensagens do seu servidor para o Gmail / Yahoo / Microsoft / Comcast. Se eles detectarem algum email de spam em seus emails encaminhados, não se preocuparão em verificar de onde o email foi originado. Eles simplesmente consideram seu servidor de email como uma origem de spam e você pode ser adicionado à lista negra.

4) Instale um SSL em seu servidor e use Saída com conexão TLS.

5) Mantenha a lista Double Opt In em todos os boletins. E muitos mais...

mohemmadAli
fonte
2 
Untrusted TLS connection established to gmail-smtp-in.l.google.com

Acho que você tem um erro na cadeia de certificados aqui. Verifique se você está enviando o certificado intermediário junto com o seu certificado.

pescoço longo
fonte
1
Isso significa apenas que meu servidor não confia no SMTP do gmail. Eu adicionei smtp_tls_CApathao meu postfix conf, então esse é um Trusted TLS connectionagora. Mas como essa verificação é apenas local no meu servidor de email, acho que não pode ser relevante para nenhuma pontuação.
Stefan Seidel
2

@Stefan

Você parece muito experiente, o que é incrível. Examinei seus cabeçalhos. Sem o nome de domínio, fica muito difícil ajudar a solucionar problemas. A única coisa que notei nos seus cabeçalhos é que você está usando "Simples / Simples" para assinar seu DKIM. Você realmente deve mudar isso para "Relaxado / Relaxado". Muitos servidores de correio têm problemas com o simples.

Você também deixou o nome do servidor de correio na pasta paste, que aparece em uma lista negra . Duvido que isso esteja causando o problema, mas essa ferramenta verifica muito mais do que a que você estava usando.

Envie um email para mailtest@unlocktheinbox.comver quantos pontos críticos você possui. Você pode obter algumas pistas.

Henry
fonte
Esse site é um pouco difícil de ler para os meus olhos. Eu só vejo retângulos verdes. Enviei este e-mail e, supostamente, existem 5 avisos e 3 críticas, mas tudo o que posso ver entre os Email Authentication Pro Feature - Learn Morelinks é "aprovado" e "bem-sucedido".
Stefan Seidel
Sim, você deve ter tirado essa lista negra. A maioria das listas negras públicas remove você se não detectar spam por um determinado período de tempo, geralmente um dia ou dois.
Henry
1

A resposta é não.

Afirmo isso principalmente porque estou ciente de que é difícil imaginar o número de pessoas com mais experiência em todos os aspectos de ser administrador de ESP do que eu e, no entanto, corro dezenas de sistemas de email de produção que se qualificam como "pequenos" sem problemas apresentados.

Pelo que você postou, parece que você ensinou tudo e, presumidamente, implementou corretamente o que está listado, resta apenas uma opção: o seu endereço IP fez coisas ruins na vida passada.

Quero dizer (muito) ruim. Seu endereço IP pode ser obtido de listas negras públicas por iniciativa do ISP (que é muito mais eficiente), mas antes disso atendia tráfego de vírus e phishing repetidamente por um período prolongado.

Se for esse o caso, infelizmente há pouco que possa ser feito, até onde sei. Uma opção é permanecer na tentativa de manter o servidor de email legítimo por um longo tempo, pagando o preço de muitos emails rejeitados antes que a reputação do remetente - coisa completamente diferente de estar presente ou não nas listas negras públicas - seja estabelecida lentamente.

Mantenha-nos informados sobre o seu caso.

Miloš Đakonović
fonte
Obrigado, e acho que sim, o grande problema depois de todas as outras coisas pode ser a reputação de IP. Recentemente, adicionei um segundo servidor de email e recebi algumas rejeições nos endereços da Microsoft. Acontece que meu provedor de hospedagem me colocou em um "bairro ruim". Consegui abrir um ticket com a Microsoft e eles tiraram meu IP da faixa de IPs ruins - sujeitos a um bom comportamento contínuo (o que pretendo mostrar, obviamente).
Stefan Seidel
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.