Zarządzanie serwerami e-mail – podstawy

Artykuł jest przeznaczony dla pracowników I linii wsparcia IT. Ma na celu przedstawienie teorii i praktyki w zarządzaniu serwerami poczty.

Nie jest przeznaczony dla: administratorów serwerów poczty, użytkowników poczty, programistów.

Omawiane technologie

• hostingi oparte o Direct Admin
• Google G Suite
• Emaillabs

Słownik

alias	To druga alternatywna nazwa konta pocztowego, jeżeli konto pocztowe ma swój alias, to wysłanie e-maila na alias powoduje dostarczenie go do głównej skrzynki. Alias może także oznaczać możliwość zarówno odbierania jak i wysyłania e-maili z adresu który jest aliasem (np w G Suite).
DKIM	DomainKeys Identified Mail. Metoda uwierzytelniająca wiadomości e-mail poprzez dodanie rekordu TXT w domenie nadawcy. Serwer odbiorczy weryfikuje autentyczność wiadomości na podstawie wpisu DKIM.
DMARC	Domain-based Message Authentication, Reporting & Conformance. Mechanizm informujący serwery odbiorcze jak traktować nieprawidłowo uwierzytelnione wiadomości e-mail z danej domeny.
Rekordy DNS	Wpis konfiguracyjny domeny. Za ich pomocą konfigurujemy zachowanie domeny. Na potrzeby serwerów e-mail potrzebne są zwykle rekordy MX oraz TXT.
IMAP	Internet Message Access Protocol. Protokół pozwalający na odbiór wiadomości z serwera. Pozwala na synchronizację tylko części wiadomości, zmiany w wiadomości (np usunięcie) na kliencie powoduje usunięcie na serwerze.
klient pocztowy	Oprogramowanie służące do odbierania i wysyłania poczty e-mail. Oprogramowanie może mieć różne formy – w chmurze: Gmail – instalowane na komputerze lokalnie: Thunderbird – instalowane na urządzeniu mobilnym: Blue Mail
MX	Typ rekordu DNS określającego serwer obsługujący pocztę przychodzącą
odbicie	Informacja o niedostarczeniu wiadomości e-mail do adresata. Zawiera szczegółowe informacje o przyczynie.
POP3	Post Office Protocol. Protokół pozwalajacy na odbiór wiadomości z serwera. POP3 pobiera wszystkie wiadomości i nie ma możliwości zaawansowanej synchronizacji (pobieranie tylko wybranych wiadomości lub wyłącznie najnowszych).
SMTP	Simple Mail Transfer Protocol. protokół komunikacyjny związany z wysyłaniem wiadomości e-mail.
SPF	Sender Policy Framework. Metoda uwierzytelniania serwerów SMTP do wysyłki wiadomości e-mail w imieniu danej domeny. Za pomocą rekordu TXT definiowane są serwery które mogą wysyłać wiadomości z przedstawiając się jako dana domena.

Więcej materiałów na EmailLabs oraz Wikipedii.

Zarządzanie serwerami e-mail

Uwaga! Wszystkie nazwy domen należy zastąpić swoimi.

W tej części omówię prace na przykładzie serwerów opartych na Direct Admin – to najbardziej popularne rozwiązanie stosowane w firmach. Wszystkie inne rozwiązania będą posiadały możliwości które zostaną przedstawione.

Konfiguracja serwera

Do konfiguracji serwera potrzebujemy dostępu do możliwości edycji rekordów domeny oraz adresy serwerów DNS naszego serwera poczty.

Jeżeli po przeczytaniu tego dodawanie rekordów DNS byłoby zbyt dużym wyzwaniem. Odsyłam do materiałów uzupełniających.

Rekordy MX

Jeżeli mamy już wpisany jakiś rekord MX to możemy go edytować lub zrobić wpisy oparte o tym schemacie i skasować stare wpisy. Ważne, aby zwrócić uwagę na składnie zapisu.

Przykład składni

Jest to bardzo drobna różnica, ale nie zastosowanie się dokładnie do składni spowoduje, że serwer nie odczyta właściwie rekordu i usługa nie będzie działać.

Konfigurując serwer e-mail dodajemy rekordy MX (tyle ile mamy adresów serwerów poczty).

Jako nazwę podajemy domenę którą konfigurujemy, wartość to adres serwera oraz ustalamy priorytet: im niższa wartość tym ważniejszy.

Nazwa (name): acme-corp.com.
Wartość (content): mx1.senbox.pl
Priorytet (Priority): 10
Typ: MX

Rekord SPF

Rekord SPF określi kto może wysyłać wiadomości w imieniu danej domeny. Podstawą jest wskazanie własnego serwera, zwykle rekord SPF jest ustawiony domyślnie w ten sposób, że zmieniając rekord MX nadal SPF będzie obejmował serwer MX.

Podstawowy wpis który powinien być prawidłowy do większości konfiguracji.

v=spf1 a mx -all

Ważnym parametrem często używanym jest include, pozwala uwzględnić dodatkowe hosty które także mają mieć możliwość wysyłania maili. Np. integracja EmailLabs potrzebuje tego parametru:

include:_spf.emaillabs.net.pl

Należy pamiętać, że we wpisie dyrektywa all musi być na końcu (po niej wszystko jest ignorowane), dlatego nasz wpis z include będzie wyglądał tak:

v=spf1 a mx include:_spf.emaillabs.net.pl -all

Jak więc wpisać to jako rekord DNS?

Nazwa (name): acme-corp.com.
Wartość (content): v=spf1 a mx include:_spf.emaillabs.net.pl -all
Typ: TXT

Więcej o konfiguracji rekordu SPF.

Rekord DKIM

DKIM pomaga serwerom odbiorczym zweryfikować czy wiadomość nie została zmodyfikowana po drodze. Konfigurujemy go podobnie jak SPF przez dodanie rekordu TXT.

Aby móc dodać DKIM musisz posiadać go, otrzymasz go od dostawcy serwera poczty. Składnia wpisu wygląda tak:

v=DKIM1; k=rsa; p=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

Dodając rekord nazwa wpisu powinna być x._domainkey

Jak więc wpisać to jako rekord DNS?

Nazwa (name): x._domainkey
Wartość (content): v=DKIM1; k=rsa; p=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Typ: TXT

Rekord DMARC

DMARC daje wytyczne serwerowi odbiorczemu co robić z mailami błędnie uwierzytelnionymi. Do prawidłowego działania DMARC wymagana jest prawidłowa konfiguracja SPF i DKIM.

Podstawowym wpisem DMARC jest:

v=DMARC1; p=none

Taki wpis nic nie daje poza teoretycznym skonfigurowaniu DMARC.

Parametry oddzielane są średnikiem i spacją. Są 2 wymagane parametry

v= – określa wersje DMARC

p= – informuje serwer odbiorcy co ma zrobić z nieprawidłowo uwierzytelnionymi e-mailami

Jeżeli chcemy informować aby odrzucać wszystkie źle uwierzytelnione e-maile i informować nas o tych mailach, możemy wpisać:

 v=DMARC1; p=reject; rua=mailto:[email protected]

Jak więc wpisać to jako rekord DNS?

Nazwa (name): _dmarc
Wartość (content): v=DMARC1; p=reject; rua=mailto:[email protected]
Typ: TXT

Więcej o konfiguracji rekordu DMARC.

Dodawanie skrzynek pocztowych

Jednym z oczywistych względów konfiguracji serwera jest tworzenie kont. Dostawcy mają różne panele, jednak zwykle odbywa się to w podobny sposób.

• nazwa konta
• hasło
• ograniczenie pojemności

Ważne jest zachowanie spójnej polityki zakładania kont. Jeżeli zakładamy konta imienne, warto ustalić sobie schemat [email protected] lub [email protected] Lepiej nie mieszać dwóch sposobów – to ma później negatywne konsekwencje w obszarze zarządzania i bezpieczeństwa.

Konfiguracja klienta pocztowego

Jeżeli użytkownicy pracują przez klienta przeglądarkowego to zwykle nie wymaga to żadnej konfiguracji, przekazujemy użytkownikowi login, hasło i adres panelu logowania. Jednak zwykle należy skonfigurować klienta poczty takiego jak Thunderbird lub podobny.

Standardowe porty

Protokół	Port
IMAP	993
SMTP	465

Celowo pominąłem protokół POP3 oraz nieszyfrowane porty. Protokołu POP3 nie powinniśmy stosować ze względu na brak wymaganych funkcji. Braku szyfrowania ze względów bezpieczeństwa.

Przed konfiguracją najlepiej jest sprawdzić w dokumentacji dostawcy serwera w jaki sposób konfigurować klientów (ważne jest ustalenie adresu serwerów IMAP i SMTP).

Do konfiguracji potrzebujemy:

• login użytkownika
• hasło użytkownika
• port IMAP
• port SMTP
• adres serwera IMAP
• adres serwera SMTP

Jeżeli sprawdzając adresy serwerów mamy odwołanie się do serwera w naszej domenie np. mail.acme-corp.com oraz serwer dostawcy mail.senbox.pl ten drugi praktycznie zawsze będzie miał wgrany certyfikat domeny. Naszą domenę musimy sami uwierzytelnić instalując certyfikat. Dlatego jeżeli nie mamy certyfikatu to lepiej jest użyć domeny dostawcy. Dzięki temu klient e-mail nie będzie wyświetlał ostrzeżeń o błędnym certyfikacie.

Sama konfiguracja polega na wpisaniu w/w danych w odpowiednie pola i nie wymaga szczegółowego komentarza. W przypadku użycia adresu serwera bez certyfikatu, niektórzy klienci poczty wymagają specjalnych ustawień ignorujących błędy w certyfikacie.

Przekierowania

Przekierowanie poczty może być wykonane na kilka sposobów. Omówię kilka często używanych metod.

Zdarza się, że przekierowanie poczty nazywane jest aliasem. Warto o tym wiedzieć, jednak różni dostawcy mogą traktować te rzeczy jako odrębne mechanizmy, tak jest w G Suite. W sekcji poświęconej G Suite wyjaśnię różnice.

Przekierowanie z nieistniejącego adresu

Właśnie ta metoda jest nazywana aliasem. Wszystkie wiadomości e-mail wysyłane na ten adres zostaną dostarczone, na adres wskazany w przekierowaniu (lub adresy bo może ich być wiele).

Przekierowanie z istniejącego adresu

Możemy też przekierowywać wiadomości ze skrzynki która istnieje. Standardowo wiadomości będą docierały na wszystkie adresy e-mail.

Przekierowanie catch-all

Możemy skonfigurować serwer w ten sposób, że wszystkie wiadomości przesłane na adres w naszej domenie zostaną przesłane na jeden konkretny adres e-mail.

Wskaźnik domeny

Wskaźnik domeny to funkcjonowanie poczty w wielu domenach jednocześnie. Każda osoba mająca konto, ma je dostępne w obu domenach i jest tam ta sama zawartość. Oznacza to, że użytkownicy mogą odbierać i wysyłać wiadomości e-mail z różnych domen.

Lista mailingowa

Listy mailingowe to adres e-mail który rozsyła wiadomość do wszystkich adresów e-mail które ma na swojej liście.

Przykład

Nazwa listy	Zawartość
[email protected]	[email protected]
	[email protected]
	[email protected]

Wysłanie wiadomości na [email protected] spowoduje dostarczenie wiadomości na wszystkie adresy z listy.

Zwykle mechanizm tworzenia list dostępny jest dla kont z uprawnieniami administratora na hostingu dlatego ten mechanizm jest często mało użyteczny.

Automatyczne odpowiedzi

Mamy 2 typy automatycznych odpowiedzi, pierwszy to autoresponder, drugi to wiadomość urlopowa.

Autoresponder

Automatycznie odpowiada na każdą wiadomość zdefiniowaną odpowiedzią. Umożliwia przesłanie kopii na inny adres. Autoresponder można ustawić na nieistniejący adres.

Wiadomość urlopowa

Automatyczna odpowiedź na każdą wiadomość zdefiniowaną odpowiedzią. Ma ustalony czas rozpoczęcia i zakończenia. Nie ma możliwości przesyłania kopii wiadomości na inny adres. Wiadomości urlopowe mogą ustawiać użytkownicy (jedynie na swój adres).

Spamassasin

To narzędzie do wykrywania SPAMu na podstawie wielu czynników. Można skonfigurować jego czułość, sposób postępowania z wiadomościami uznanymi za SPAM oraz czarne i białe listy odbiorców.

Więcej o tym w rozdziale SPAM metody analizy.

Zarządzanie serwerem e-mail w usłudze Google Workspace

Google Workspace czyli G Suite to znacznie więcej niż serwer poczty e-mail. Dlatego skupie się tu tylko na kilku specyficznych aspektach.

Jednostki organizacyjne

Tak jak już napisałem, G Suite to coś znacznie więcej niż serwer poczty. Dlatego różne jednostki organizacyjne mogą mieć inne ustawienia dla swoich kont pocztowych (np. brak obsługi IMAP/POP3). Dlatego ważne, jest zakładanie kont w odpowiednich jednostkach organizacyjnych. Jeżeli ich nie mamy to wszystkich użytkowników obowiązują ustawienia globalne.

Aliasy

Aliasy są czymś więcej niż przekierowaniem. Jeżeli konto ma alias, może nie tylko odbierać maile z adresu aliasu ale także w z takim adresem wysyłać pocztę. Użytkownik może samodzielnie definiować jak i kiedy wysyła wiadomości ze skrzynki podstawowej, a kiedy z aliasu.

Przekierowania

Za pomocą konfiguracji Trasy domyślnej można uzyskać wszystkie efekty związane z przekierowaniami, można także zmodyfikować wiadomości „w locie”, a także wyłączyć antyspam.

Konfiguracja domyślna

Z racji, że usługa poczty G Suite jest mocno powiązana z Gmail, mamy ogromne możliwości sterowania zakresem funkcji Gmaila użytkowników.

Konfiguracje serwera e-mail realizujemy przez zakładkę: Ustawienia aplikacji Gmail. Tam możemy zmienić domyślne ustawienie Gmaila naszych użytkownikom a także włączyć lub wyłączyć określone funkcje.

Logi

Logi znajdziesz w:

Raporty > Przeszukanie dzienników poczty e-mail

EmailLabs czyli SMTP w chmurze

Najkrócej o EmailLabs można powiedzieć, że jest to SMTP w chmurze. Jednak ma on znacznie więcej cech dla których warto korzystać z niego zamiast standardowego SMTP naszego serwera pocztowego.

Czym się wyróżnia EmailLabs

• Praktycznie nielimitowana przepustowość serwerów – do ogromnych wysyłek
• Dostarczalność na wysokim poziomie i zestaw narzędzi do analizy ewentualnych problemów z dostarczeniem
• Wysoki autorytet serwerów które za pomocą posiadanych mechanizmów dbają aby nie trafić na czarne listy (automatyczna reakcja na odbicia)
• Zaawansowane możliwości konfiguracyjne w zakresie uwierzytelnienia, tagowania i śledzenia
• Dostateczny system raportów statystycznych

Jak to skonfigurować

Na szczęście narzędzie ma dobrą dokumentacje w języku Polskim i nie ma potrzeby powielania tutaj tych informacji. Odsyłam do ABC EmailLabs. Sama konfiguracja to głównie modyfikacja SPF i DKIM. Po konfiguracji otrzymujemy konto (login, hasło i adres serwera SMTP) możemy go używać w dowolnym miejscu gdzie można użyć serwera SMTP.

Ważne! EmailLabs ma 2 rodzaje e-maili transakcyjne i marketingowe. Jeżeli wysyłamy oba typy wiadomości powinniśmy mieć 2 konta lub nie definiować nagłówka typu wiadomości.

Logi i raporty

Logi wiadomości możemy sprawdzić w zakładce: Raporty.

Więcej opiszę w analizie dostarczalności.

Analiza SPAMu

Wiadomości z naszych serwerów są uznawane jako SPAM

Sposób wysłania e-maila

Sprawdźmy w jaki sposób e-mail został wysłany, czy jest to klient poczty czy system informatyczny. Następnie jak to ustalimy to zweryfikujmy jakich ustawień SMTP używa – czy te ustawienia są zgodne z konfiguracją domeny. Klient webowy także może być błędnie skonfigurowany np. wysyła maile z innego adresu na jakim jest faktycznie zalogowany.

Konfiguracja domeny

Wszystko co zostało omówione w sekcji Konfiguracja serwera.

Treść e-maila

Kolejną sprawą jest to co znajduje się w treści wiadomości. Czasami rozbudowany szablon graficzny powoduje uznanie wiadomości za podejrzane, czasami określone słowa związane z branżą w jakiej aktualnie działają spamerzy. Polecam skorzystania z jednego z tych narzędzi, analizują całą wiadomość pod kątem treści i pokazują które elementy mogą powodować trafienie wiadomości na SPAM. Dodatkowo poza treścią analizowany jest też sposób uwierzytelnienia z punktu wcześniejszego.

• analyze.email
• MailChecker

Serwer na czarnej liście

Zazwyczaj ma to miejsce w sytuacji, gdy doszło do wysyłki SPAMu z naszych serwerów, albo poprzez wyciek dostępu do serwera, albo przez podszycie się pod nasz serwer (błędna konfiguracja serwera). W takiej sytuacji należy znaleźć listy na których jesteśmy uznani za spamerów i wysłać zgłoszenie z prośbą o odblokowanie.

Przydatnym narzędziem do monitorowania naszych serwerów w zakresie SPAMu jest MXToolBox.

Wiadomości od innych są uznawane jako SPAM

Musimy najpierw dowiedzieć się jak nasz serwer zapisuje informacje o SPAMie w wiadomości. Czasami jest to wklejenie raportu przed wiadomością. Czasami jest to ukryte w nagłówku wiadomości, zwykle da się to konfigurować.

Mając taki raport np. z narzędzia Spamassasin możemy dowiedzieć się, czy wiadomość jest właściwie uwierzytelniona (konfiguracja serwera). Drugą istotną informacją jest też to jak ocenił wiadomość filtr antyspamowy.

Przykładowy raport

From [email protected]al.gooble.net.pl Thu Oct 07 11:41:37 2021
Return-path: <[email protected]al.gooble.net.pl>
Envelope-to: [email protected]
Delivery-date: Thu, 07 Oct 2021 11:41:37 +0200
Received: from mail by mpro1.windowspl.com with spam-scanned (Exim 4.94.2)
    (envelope-from <[email protected]al.gooble.net.pl>)
    id 1mYPu6-0007lT-I2
    for [email protected]; Thu, 07 Oct 2021 11:41:37 +0200
Received: from localhost by mpro1.windowspl.com
    with SpamAssassin (version 3.4.2);
    Thu, 07 Oct 2021 11:41:37 +0200
From: Fabian Nowak <[email protected]>
To: Realizacja <[email protected]>,
    =?UTF-8?B?WmVzcMOzxYIgUHJlemVudG1hcnplxYQ=?= <[email protected]>
Subject: Fwd: Fwd: Realizacja usług
Date: Thu, 7 Oct 2021 11:41:24 +0200
Message-Id: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on mpro1.windowspl.com
X-Spam-Flag: YES
X-Spam-Level: ***********
X-Spam-Status: Yes, score=11.5 required=7.5 tests=AC_HTML_NONSENSE_TAGS,
    BAYES_99,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,
    HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,RCVD_IN_MSPIKE_H2,
    SPF_HELO_NONE,SPF_SOFTFAIL autolearn=no autolearn_force=no
    version=3.4.2
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_615EC0D1.1F694260"

Mamy tu wiele interesujących informacji. Np. kto jest nadawcą i kto jest odbiorcą. Jednak największą uwagę powinien przykuć fragment:

X-Spam-Status: Yes, score=11.5 required=7.5 tests=AC_HTML_NONSENSE_TAGS,
    BAYES_99,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_AU,
    HEADER_FROM_DIFFERENT_DOMAINS,HTML_MESSAGE,RCVD_IN_MSPIKE_H2,
    SPF_HELO_NONE,SPF_SOFTFAIL autolearn=no autolearn_force=no
    version=3.4.2

Mamy tutaj informacje, że wiadomość została oznaczona jako SPAM ponieważ otrzymała 11,5 pkt z wymaganych 7,5. Po czym zostały wymienione czynniki które wpłynęły na wynik. Powinniśmy otrzymać dodatkowo analizę wyglądającą w ten sposób:

Szczegó³y analizy zawarto¶ci: (11.5 zaliczonych, 7.5 wymaganych)

pkt  nazwa regu³y           krótki opis
---- ---------------------- -------------------------------------------
 3.4 BAYES_99               BODY: Bayesowskie prawdopodobieñstwo spamu wynosi 99 do
                             100%
                            [score: 1.0000]
-0.0 RCVD_IN_MSPIKE_H2      RBL: Average reputation (+2)
                            [209.85.167.70 listed in wl.mailspike.net]
 0.0 SPF_HELO_NONE          SPF: HELO does not publish an SPF Record
 6.0 SPF_SOFTFAIL           SPF: sender does not match SPF record (softfail)
 0.2 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level
                            mail domains are different
 0.0 HTML_MESSAGE           BODY: Wiadomo¶æ zawiera kod HTML
 2.0 AC_HTML_NONSENSE_TAGS  RAW: Many consecutive multi-letter HTML
                            tags, likely nonsense/spam
-0.1 DKIM_VALID_AU          Message has a valid DKIM or DK signature from
                            author's domain
-0.1 DKIM_VALID             Message has at least one valid DKIM or DK signature
 0.1 DKIM_SIGNED            Message has a DKIM or DK signature, not necessarily
                            valid

Oryginalna wiadomo¶æ nie by³a w ca³o¶ci  tekstowa, w zwi±zku z tym otwarcie
jej za  pomoc± niektórych  programów pocztowych   mo¿e  nie  byæ ca³kowicie
bezpieczne; w  szczególno¶ci,   przesy³ka  mo¿e   zawieraæ  wirusa  lub kod
informuj±cy spamera, ¿e twój adres pocztowy jest  prawid³owy    i mo¿na  na
niego przysy³aæ wiêcej spamu.  Je¿eli  chcesz    j± przejrzeæ, bezpieczniej
bêdzie zapisaæ j± najpierw na dysk, a nastêpnie otworzyæ edytorem tekstu.

Pomijając błędy w kodowaniu znaków mamy tu ilość punktów, nazwę reguły i opis. Sprawdzamy reguły które mają najwięcej punktów. Czyli: BAYES_99, SPF_SOFTFAIL, AC_HTML_NONSENSE_TAGS.

Badając co oznaczają wymienione reguły okazuje się, że mamy 2 problemy. Pierwszy to błędna konfiguracja rekordu SPF. Drugi to treść e-maila.

Czułość filtra antyspam

Wartość z raportów powyżej na poziomie 7,5 określa próg po przekroczeniu którego wiadomość zostaje uznana jako SPAM. Ten współczynnik można swobodnie skonfigurować wg uznania.

Analiza dostarczalności

Pomimo szczerej chęci czasami wiadomość nie zostaje dostarczona. Jest to kolejne zagadnienie które ma wiele powodów. Jednak pewnym elementem wspólnym jest jakość uwierzytelnienia naszych wiadomości, dlatego warto upewnić się, że nie ma z tym problemu. Niektóre serwery odrzucają wiadomości które uznają za SPAM (nie trafiają w ogóle do folderu SPAM) lub mają 2 progi, jeden który do określonej punktacji przyjmuje wiadomości ale traktuje jako spam, a drugi gdzie odrzuca wiadomości.

Z perspektywy tego artykułu muszę wskazać kilka źródeł informacji

• Mailer Daemon
  To wiadomość e-mail którą otrzyma nadawca jeżeli nie udało się dostarczyć wiadomości. Jest to najczęstsza sytuacja i zwykle najłatwiejsza do analizy.
• Logi serwera opartego na Direct Admin
  Logi znajdziemy na liście kont w kolumnie SMTP Log, przy każdym koncie będzie link oznaczony In i Out. In oznacza wiadomości przychodzące, Out oznacza wiadomości wychodzące z serwera. Dodatkowo w tym samym miejscu znajdziemy narzędzie o nazwie Statystyki wykorzystania poczty które również może być przydatne.
• Logi serwera G Suite
  Logi znajdziemy w: Raporty > Przeszukanie dzienników poczty e-mail
• Logi EmailLabs
  Logi znajdziemy w: Raporty

Odbicia czyli Mailer Daemon

Jeśli nasz serwer nie mógł dostarczyć wiadomości to prawie zawsze odeśle wiadomość z informacją o tym i możliwych przyczynach. Jest to odbicie.

Zwykle w tych wiadomościach znajdziemy kod odpowiedzi i na tej podstawie możemy wszystko zrozumieć.

Przykład odbicia:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  [email protected]
    all hosts for 'wwp.pl' have been failing for a long time (and retry time not reached)
Reporting-MTA: dns; smrt1.windowspl.com

Action: failed
Final-Recipient: rfc822;[email protected]
Status: 5.0.0

Posiadamy tutaj 2 informacje: Status 5.0.0 który niestety oznacza nieznany błąd, brak odpowiedzi serwerów hosta wwp.pl. Po sprawdzeniu rekordów MX tej domeny wskazują na blackhole.aftermarket.pl. Możemy się domyślić, że pod tym adresem nie ma obsługi poczty, prawdopodobnie ktoś pomylił adres przy wpisywaniu lub nie chciał podać adresu.

Kolejny przykład:

Odpowiedź otrzymana z serwera zdalnego:
550 "[email protected]": Podane konto nie istnieje / No mailbox here by that name (#5.1.1)

Tu mamy sytuacje oczywistą bo już w wiadomości mamy napisane, że podane konto nie istnieje, prawdopodobnie użytkownik pomylił się przy wpisywaniu pierwszego członu adresu przed @. Status 5.1.1 mówi dokładnie o tym że konto nie istnieje.

Możemy też natrafić sporadycznie na kod 5.2.2 który oznacza, że skrzynka adresata jest pełna i wiadomość nie została przyjęta.

Opracowanie kodów odbić przez EmailLabs.

Opracowanie kodów odbić przez FreshMail.

Narzędzie do analizy odbić od cyber_Folks.

Co warto wiedzieć przy analizie logów serwera opartego o Direct Admin

Logi per konto e-mail są logami tylko z obecnego dnia.

Statystyki wykorzystania poczty są danymi z bieżącego miesiąca, lecz zawierają mniej szczegółowe informacje. Można je filtrować za pomocą opcji Zaawansowane szukanie.

Logi serwera mają zawsze swoją składnie, musimy zrozumieć jej logikę aby umieć wyciągnąć wnioski. Przykładowo jeżeli mamy początek:

2021-10-07 08:00:05.746 [23142] 1mYMRt-00061G-Nx DKIM TEST: 

Możemy się zorientować, że pierwszy ciąg to data, następnie godzina (choć mamy tu .746, co nie pasuje do zapisu godzin – z szerszego kontekstu można wywnioskować, że jest to część sekundy). Natomiast 1mYMRt-00061G-Nx to ID wiadomości. Więc mając te informacje jesteśmy w stanie znaleźć istotne nas informacje (co się stało z danym mailem).

Krótkie wprowadzenie do analizowania logów serwerów na stronie HARDS.

Co warto widzieć przy analizie logów G Suite?

G Suite ma bardziej zaawansowane możliwości odnośnie logów. Możemy wyszukać wiadomość po

• adresie e-mail nadawcy,
• adresie IP nadawcy,
• adresie e-mail odbiorcy,
• adresie IP odbiorcy,
• dacie,
• temacie,
• ID wiadomości

Przykład wiadomości odrzuconej przez serwer:

W takiej sytuacji użytkownik nie zobaczy tej wiadomości w skrzynce.

Zewnętrzne SMTP a logi

Jeżeli wysyłamy za pomocą zewnętrznego serwera SMTP to wiadomość będzie w logach, lecz nie będzie oznaczona jako dostarczona. Ostatnie 2 wpisy w logach to będzie:

4 paź 2021, 13:09:03
Dostarczono do serwera SMTP
No Error

4 paź 2021, 13:09:03
Dostarczono przez uwierzytelnioną bramę poczty wychodzącej

Jeżeli wiadomość zostanie wysłana z klienta poczty otrzymamy informacje o IP komputera (adres zmieniony):

Odebrano od klienta SMTP pod adresem IP: 8.8.8.8 (Przy użyciu TLS)

Co warto wiedzieć przy analizie logów EmailLabs

EmailLabs ma dość dobry system do analizy odbić. W zakładce Raporty > Mail po wpisaniu adresu e-mail (lub ID wiadomości) możemy znaleźć konkretną wiadomość. Po kliknięciu więcej, zobaczymy szczegóły wiadomości. Najciekawsze informacje z naszej perspektywy to:

• Status wiadomości
• Szczegóły statusu
• Czas wysłania
• Od
• Log

Mając te informacje jesteśmy w stanie dość precyzyjnie określić co się dzieje z wiadomością.

Dodatkowe materiały na stronie pomocy EmailLabs.

Statusy

• ok oznacza, że wiadomość została dostarczona
• injected oznacza, że czeka w kolejce do wysyłki
• hardbounce oznacza twarde odbicie, wiadomość nie zostanie dostarczona z powodu błędu (należy przeanalizować rodzaj błędu)
• softbounce oznacza miękkie odbicie, być może tymczasowy problem techniczny
• spambounce oznacza niedostarczenie ze względu na oznaczenie naszej wiadomości jako spam
• dropped oznacza porzucenie wiadomości bez próby wysłania, ma to miejsce jeżeli dodamy adres lub domenę na czarną listę, lub skonfigurujemy tak EmailLabs, że po kilku odbiciach automatycznie adres trafi na czarną listę.

Więcej informacji o statusach EmailLabs.

Zakończenie

Artykuł ten, jest wstępem pomagającym rozeznać się, o co chodzi w administracji pocztą na podstawowym poziomie.