Загрузка...

Help with the smtp server, why are there timeouts when sending a letter?

Thread in Migrants from Telegram created by Omg228Omg Today at 12:37 AM. 432 views

  1. Omg228Omg
    Omg228Omg Topic starter Today at 12:37 AM 714 Dec 21, 2021
    Apr 1 23:17:23 117804 postfix/smtp[1384004]: EA719462B4: to=<rarekiller777@gmail.com>, relay=none, delay=172, delays=22/0.04/150/0, dsn=4.4.1, status=deferred (connect to alt2.gmail-smtp-in.l.google.com[2404:6800:4000:1025::1a]:25: Connection timed out)
    Apr 1 23:17:26 117804 postfix/pickup[1383969]: 57B07462BC: uid=0 from=<no_reply@radarhack.sbs>
    Apr 1 23:17:26 117804 postfix/cleanup[1384324]: 57B07462BC: message-id=<20260401211726.57B07462BC@mail.radarhack.sbs>
    Apr 1 23:17:26 117804 postfix/qmgr[1383970]: 57B07462BC: from=<no_reply@radarhack.sbs>, size=406, nrcpt=1 (queue active)
    Apr 1 23:17:39 117804 postfix/smtp[1384292]: connect to alt1.gmail-smtp-in.l.google.com[172.253.152.27]:25: Connection timed out
    ^C

    мб хостер заблокал 25 порт?
     
    Today at 12:37 AM
  2. проебали
    проебали Today at 12:38 AM Supercell -> https://lzt.market/user/5573769/items 24,198 Jul 2, 2022
    ты у нас (оффтоперов) это спрашиваешь??
     
    Today at 12:38 AM
    1. Omg228Omg Topic starter
      Today at 12:39 AM
  3. Squirtle
    Squirtle Today at 12:40 AM 450 Apr 3, 2021
    Today at 12:40 AM
    1. View previous comments (14)
    2. ChatGPT
      avatarOmg228Omg да, если swaks завис на

      Code

      
=== Trying mail.radarhack.sbs:587...
      и дальше нет ни
      Code
      Connected
      , ни баннера
      Code
      220
      , то это как раз похоже, что порт теперь фильтруется и соединение ****ается.

      То есть скорее всего да — закрыто.

      Но есть нюанс:


      DROP = клиент обычно просто ждёт timeout
      REJECT = клиент сразу получает отказ


      У тебя стоит именно DROP:
      Code

      
iptables -A INPUT -p tcp --dport 587 -j DROP
      
iptables -A INPUT -p tcp --dport 465 -j DROP
      Поэтому то, что swaks просто висит на
      Code
      Trying
      , — нормально для DROP.

      Как убедиться на 100%:

      С другой машины проверь:
      Code

      
nc -vz -w 5 mail.radarhack.sbs 587
      
nc -vz -w 5 mail.radarhack.sbs 465
      Если порт ****ается, будет что-то типа timeout.

      Если хочешь не ждать таймауты, а чтобы клиентам сразу говорило "закрыто", лучше использовать REJECT вместо DROP:
      Code

      
iptables -R INPUT 1 -p tcp --dport 587 -j REJECT
      
iptables -R INPUT 2 -p tcp --dport 465 -j REJECT
      Тогда проверка будет быстрее и понятнее.

      Но есть ещё важный момент:
      по твоему выводу счётчики у правил нулевые:

      Code

      
pkts bytes target ...
      
0    0 DROP tcp ... dpt:587
      
0    0 DROP tcp ... dpt:465
      Это значит, что через эти правила пока не прошло ни одного IPv4-пакета.
      То есть возможно:


      ты проверяешь не снаружи, а как-то локально
      используется IPv6, а ты закрыл только IPv4
      трафик идёт через другой firewall/backend


      Вот это очень вероятно. Поэтому проверь ещё IPv6:

      Code

      
ip6tables -L -v -n
      
getent ahosts mail.radarhack.sbs
      Если у домена есть AAAA-запись, клиент может ходить по IPv6, а твой
      Code
      iptables
      его не режет.

      Тогда надо ещё:
      [CODE]
      ip6tables -A INPUT -p tcp --dport 587 -j DROP
      ip6tables -A INPUT -p tcp --dport 465 -j DROP
      ip6tables-save > /etc/iptables/rules.v6
      [/CODE]Идеально ещё проверить, слушает ли сам Postfix эти порты:
      [CODE]
      ss -ltnp | egrep ':587|:465'
      [/CODE]Если слушает — сервис живой, просто фаервол режет.
      Если не слушает — значит можно ещё и в [CODE]master.cf[/CODE] отключить submission/smtps.

      Итог:


      по поведению swaks — да, похоже порт закрыт
      то, что он просто висит, — нормально для DROP
      но нулевые счётчики намекают, что надо ещё проверить IPv6


      Если хочешь, я тебе сейчас дам один готовый набор команд, который сразу покажет: 587/465 закрыты по IPv4 и IPv6 или нет.
      Today at 12:58 AM
    3. Omg228Omg Topic starter
      avatarChatGPT, а если я отключу и 25 порт то все ок с отправкой будет или я хуже сделаю
      Today at 12:59 AM
    4. ChatGPT
      avatarOmg228Omg если отключишь входящий 25 порт, то отправлять с твоего сервера наружу ты всё ещё сможешьесли у хостера не заблокирован исходящий 25.

      Но ты сильно ухудшишь приём почты:


      другие почтовые серверы не смогут доставлять письма тебе
      входящая почта на твой домен фактически перестанет работать
      MX-записи станут бесполезны, если никто не может достучаться до 25


      Надо разделять:


      25/tcp — межсерверная почта, SMTP relay между серверами
      587/tcp — submission для клиентов с логином/паролем
      465/tcp — SMTPS, тоже клиентская отправка


      Если твоя задача — чтобы никто левый не отправлял через твой сервер, то обычно делают так:


      25 оставляют открытым, но сервер принимает только почту для своих доменов и не является open relay
      587/465 оставляют только с AUTH, либо вообще закрывают, если не пользуешься


      То есть закрывать 25 ради безопасности от "левых отправок" — не лучший путь.
      Лучше правильно настроить Postfix:

      Code

      
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, defer_unauth_destination
      И проверить, что ты не open relay.

      Но если тебе вообще не нужен приём почты, а сервер только что-то отправляет сам (уведомления, одноразовые письма, формы сайта), тогда:


      входящий 25 можно закрыть
      но исходящий 25 нужен, чтобы твой Postfix доставлял письма на Gmail, Mail.ru и т.д.


      И вот тут у тебя как раз уже была проблема выше: Gmail не отвечал на 25, таймауты.
      Это обычно значит:


      либо исходящий 25 у хостера заблокирован
      либо проблемы с IPv6/маршрутом


      Тогда даже если ты оставишь входящий 25 открытым, отправка всё равно может не работать.

      Коротко:


      закроешь входящий 25приём сломаешь
      исходящую отправку это не обязано сломать
      но твою основную проблему с таймаутами до Gmail это не решит


      Если хочешь, я могу тебе прямо сказать какие порты оставить открытыми в твоём случае, если тебе нужен только сайт и отправка уведомлений, без приёма почты.
      Today at 1:00 AM
    5. View the next comments (2)
  4. Squirtle
    Squirtle Today at 12:41 AM 450 Apr 3, 2021
    А так прозвони 25 порт, у аезы он по умолчанию залокан вроде
     
    Today at 12:41 AM
    1. View previous comments (2)
    2. Omg228Omg Topic starter
      avatarSquirtle,
      IP-адрес
      айпи
      Закрытые порты
      25
      Открытые порты
      Today at 12:46 AM
    3. Squirtle
      avatarOmg228Omg, ну дак порт закрыт пиши в саппорт что бы открыли
      Today at 12:49 AM
    4. Omg228Omg Topic starter
      avatarSquirtle, ок уже написал давно жду значит
      Today at 12:58 AM
  5. ugu
    ugu Today at 12:41 AM https://lolz.live/threads/9579804/ 1,955 Nov 21, 2024
    блокировка порта 25 или сетевые проблемы
     
    Today at 12:41 AM
Loading...