¿Se está volviendo imposible ser un pequeño proveedor de correo?

41

Opero un pequeño servidor de correo para mis correos privados, algunos amigos que tienen sitios web y dos ONG. En total, mi servidor envía entre 60 y 400 mensajes por día. Ahora muchos de estos correos electrónicos son correos personales , entre dos o más personas que se conocen entre sí. Ocasionalmente (generalmente una o dos veces por semana) se enviará un correo a los "miembros" de una ONG, informándoles qué hay de nuevo, etc.

Ahora ya me mudé de los "correos masivos" (alrededor de 100 destinatarios, todos personalmente conocidos y suscritos manualmente a través de un formulario en papel) a mailgun.org.

Todavía recibo (y cada vez más) mensajes rechazados. Especialmente los grandes proveedores de correo electrónico como Gmail, Yahoo o Microsoft (hotmail, live.com, ...) simplemente deciden rechazar con un 550 o enviar mensajes personales a la carpeta de correo no deseado de los destinatarios. A veces esto sucede:

  • el usuario de gmail envía un correo electrónico al usuario en mi sistema
  • usuario en mi sistema responde
  • la respuesta se rechaza o se envía a spam

Cosas que he hecho:

  • configurar DKIM (firma por dominio de todos los correos electrónicos salientes)
  • configurar SPF, los dominios suelen tener ~all, algunos-all
  • Tengo un PTR correcto para la IP de mi servidor de correo
  • obviamente no hay retransmisión abierta, los usuarios solo pueden enviar desde su propia dirección de correo electrónico después de la autenticación
  • Tengo políticas DMARC para la mayoría de los dominios.
  • Califico el límite de mensajes salientes, para algunos servidores de correo, hasta 1 por minuto
  • los servicios de prueba por correo informan puntajes "perfectos" (todos los pases) para todo lo anterior
  • Compruebo regularmente mi IP para la lista negra usando http://www.dnsbl.info , siempre está todo verde

Ahora viene la paradoja: para la mayoría de los grandes proveedores de correo, hay una manera de registrarse para monitorear las tasas de rechazo y la reputación de IP:

pero no lo clasifico como remitente masivo, debido al bajo volumen. Así que me inscribo para controlar mis tarifas de reputación y de rechazo, sino porque yo no enviar grandes cantidades, no hay informes.

¿Hay algo más que pueda hacer para mejorar las tarifas de envío de correo? ¿O debería rendirme y dejar de intentar operar mi propio servidor de correo?

En caso de que sea relevante: uso postfix y tengo reglas muy estrictas sobre el correo entrante (es decir, sin dominios desconocidos / nombres de host o registros SPF no válidos, uso spamassassin, etc.)

Actualizar

Aquí hay un ejemplo, enviado por mí a mis suegros y llegó a su carpeta de SPAM: http://pastebin.com/BC6YgjpQ (reemplacé el dominio de la dirección de envío example.comy la dirección del receptor con [email protected])

Desde que surgió la pregunta: las conexiones a Gmail están Untrusted TLS connection established to gmail-smtp-in.l.google.com[2a00:1450:400c:c0b::1b]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)encriptadas.

Stefan Seidel
fuente
3
Me di por vencido hace bastante tiempo. Ahora envío incluso mi correo electrónico personal a través de SendGrid.
Michael Hampton
2
Tuve problemas similares, pero tengo aún menos tráfico de correo. En mi caso, agregué un registro DNS SPF, y Google permitió mis correos nuevamente. Para mí este tema es muy importante. Ejecutar un servidor de correo propio es para mí un derecho humano fundamental. Tal vez puedas hablar con el EFF que manejan grandes temas como este.
guettli
Noté que agregaste un encabezado de autenticación al mensaje saliente. Google puede tratar esto como un intento de falsificar la autenticación. Mi lectura del encabezado de autenticación es que está destinado a ser agregado por MX (servidores fronterizos) a los mensajes entrantes. Se permite / recomienda que el MX elimine los encabezados de autenticación existentes.
BillThor

Respuestas:

20

No debería haber problemas para convertirse en un pequeño proveedor de correo. Parece que estás haciendo lo correcto. Muchos proveedores grandes no hacen las cosas bien y, con suerte, reciben la mayor parte de su correo.

Si se envía correo a la carpeta SPAM, es probable que haya perdido algo. Debe haber un registro de por qué tiene problemas de entrega:

  • Para los mensajes devueltos, lea la respuesta. Debe especificar por qué se rechazó el correo. Si puede, asegúrese de que los mensajes de rebote estén registrados.
  • Para los mensajes que se envían a la carpeta Spam, examine los encabezados del mensaje entregado. Esto debería (lo hará para GMail o Yahoo) contener detalles de algunos de los controles que se realizaron. Esto le ayuda a determinar cuál es el problema.

Algunas cosas que no especificó, aunque algunas deberían ser captadas por el informe de validación:

  • La validación de rDNS de la dirección de sus servidores de correo tiene éxito. (Su registro PTR debe devolver solo una dirección).
  • Su servidor usó el nombre en el registro PTR en su mensaje EHLO o HELO.
  • Configure un registro SPF para el dominio de su servidor de correo ("v = spf1 a -all").
  • Te has registrado en dnswl.org.
  • Se han publicado las claves públicas de DKIM en la ubicación correcta. Puede usar la misma clave para múltiples dominios. Puede ser útil que otras organizaciones usen los registros CNAME para los registros DNS que usted controla.
  • Ha utilizado una clave DKIM grande 1024 o más grande.
  • Procese el correo saliente a través de un filtro de correo no deseado (al menos problemas de registro).

Si tiene DMARC, puede configurar informes de estado de entrega e informes de devolución. Esto le permitirá recibir informes de entrega. Recibo informes de Google, Microsoft y Yahoo. Tenga en cuenta que la disposición "ninguno" indica que se entregó el correo.

BillThor
fuente
2
Aquí hay un 550: host aspmx.l.google.com[2a00:1450:4013:c01::1a] said: 550-5.7.1 [2a02:c200:0:10:3:0:4018:cafe 18] Our system has detected that this message is likely suspicious due to the very low reputation of the sending IP address. To best protect our users from spam, the message has been blocked. Please visit https://support.google.com/mail/answer/188131 for more information. n123si21866589wmb.41 - gsmtp (in reply to end of DATA command) eso no me dice nada.
Stefan Seidel
¿Quién es el dueño de la ip? ¿Es un proveedor residencial o comercial? ¿Sería una opción transmitir su tráfico smtp saliente a través de los servidores smtp de su proveedor de internet? Por lo tanto, todavía tendría el control del tráfico entrante (lo sé, no exactamente lo que quiere, pero aún así, tener que explicarle cada vez a sus suegros por qué sus mensajes se marcan como spam o rechazados podría volverse incómodo pronto-ish ;-) )
natxo asenjo
@StefanSeidel Le han proporcionado un enlace a un sitio donde puede confiar. Deberá hacerlo como un registro CNAME o TXT para cada dominio de firma. Es un proceso bastante rápido e indoloro.
BillThor
44
@BillThor, ¿estás hablando sobre el registro para postmaster.google.com? Eso no tiene nada que ver con "ser confiable". Le permite ver las tasas de informes de spam para dominios verificados. Lo he hecho y conduce exactamente a la situación que describo anteriormente: dado que el volumen de envío es muy bajo, no hay datos. He verificado mis 4 dominios principales y ninguno muestra ningún dato.
Stefan Seidel
@StefanSeidel ¿también ha registrado el nombre de dominio de su servidor de correo?
BillThor
10

Una cosa que falta en las respuestas (excelentes) anteriores es configurar TLS saliente. Gmail ha comenzado a castigar a los remitentes que no usan TLS, y otros proveedores no dicen nada, pero estoy seguro de que harán lo mismo.

Matt Sergeant
fuente
Gracias. Postfix prefiere TLS por defecto, y puedo ver que se está utilizando.
Stefan Seidel
1
¿Estás utilizando un certificado autofirmado? No lo sé con certeza, pero sospecho que usar un certificado verificado por un tercero mejora aún más las cosas, y se están volviendo muy baratos.
MadHatter apoya a Monica el
No, StartCom Nivel 2 validado. Además, esto no es relevante para el correo saliente, ¿verdad?
Stefan Seidel
@StefanSeidel ¿por qué no se aplicaría al correo electrónico saliente? La validación del certificado TLS se aplica a todas las transacciones TLS, y el correo electrónico saliente de un MTA moderno, a un servidor que anuncia STARTTLS, se enviará bajo TLS.
MadHatter apoya a Monica
1
@StefanSeidel Estás equivocado. Aquí hay una línea muy típica del registro de mi servidor de correo en modo de servidor TLS (es decir, recibir una conexión entrante de otro servidor) que muestra la validación del certificado del servidor remoto ( verify=OK):May 10 08:01:34 lory sendmail[5884]: STARTTLS=server, relay=mail-bn1bhn0245.outbound.protection.outlook.com [157.56.111.245], version=TLSv1/SSLv3, verify=OK, cipher=AES256-SHA256, bits=256/256
MadHatter admite a Monica
4

Hoy en día, las actividades de spam son un verdadero dolor de cabeza. Los grandes como Gmail, Microsoft, Yahoo, etc., intentan proteger a sus usuarios de los spam. Por lo tanto, deben mejorar sus técnicas para filtrar los spam. Y debido a la razón de seguridad, nunca divulgan sus políticas de spam también. Por lo tanto, no pudimos encontrar una guía para configurar un servidor de correo de tal manera que podamos enviar correos a los grandes proveedores de servicios.

No hay reglas específicas que no figuren en su libro incorrecto, pero debe mantener su servidor actualizado con las nuevas pautas. Éstos son algunos de ellos.

1) Verifique la causa raíz del correo devuelto devuelto. ¿Se relaciona con la reputación de IP del servidor O los registros DNS incorrectos del dominio?

2) No use un registro SPF con un valor predeterminado como ~ all. Cree un registro SPF específico como un MX -todos

3) Evite el reenvío de correo de su servidor a Gmail / Yahoo / Microsoft / Comcast. Si detectan algún correo no deseado en sus correos reenviados, no se molestarán en verificar desde dónde se originó el correo. Simplemente consideran su servidor de correo como un origen de correo no deseado y es posible que lo agreguen a la lista negra.

4) Instale un SSL en su servidor y use Outbound con conexión TLS.

5) Mantenga la lista Double Opt In en todos los boletines. Y muchos más...

mohemmadAli
fuente
2
Untrusted TLS connection established to gmail-smtp-in.l.google.com

Creo que tienes un error en la cadena de certificados aquí. Asegúrese de enviar el certificado intermedio junto con su certificado.

cuello largo
fuente
1
Eso solo significa que mi servidor no confía en el SMTP de Gmail. He agregado smtp_tls_CApatha mi conf de postfix, así que eso es un Trusted TLS connectionahora. Pero dado que esa verificación solo es local para mi servidor de correo, creo que no puede ser relevante para ninguna puntuación.
Stefan Seidel
2

@Stefan

Pareces muy bien informado, lo cual es increíble, revisé tus encabezados, sin tu nombre de dominio hace que sea muy difícil ayudar a solucionar problemas. Lo único que noté en sus encabezados es que está usando "Simple / Simple" para firmar su DKIM, realmente debería cambiarlo a "Relajado / Relajado". Muchos servidores de correo tienen problemas con simples.

También dejó el nombre del servidor de correo en su pastebin, que aparece en una lista negra . Dudo que esto esté causando su problema, pero esta herramienta escanea mucho más que la que estaba usando.

Envíe un correo electrónico para [email protected]ver cuántas críticas tiene. Puede que tengas algunas pistas.

Enrique
fuente
Ese sitio es un poco difícil de leer para mis ojos. Solo veo rectángulos verdes. Envié este correo electrónico, y supuestamente hay 5 advertencias y 3 críticas, pero todo lo que puedo ver entre los Email Authentication Pro Feature - Learn Moreenlaces es "pasar" y "éxito".
Stefan Seidel
Sí, debes haber salido de esa lista negra. La mayoría de las listas negras públicas lo eliminan si no detectan spam durante un cierto período de tiempo, generalmente uno o dos días.
Henry
1

La respuesta es no.

Digo esto principalmente porque soy consciente de que hay muchas personas con más experiencia en todos los aspectos de ser administrador de ESP que yo, y aún así ejecuto una docena de sistemas de correo electrónico de producción que califican como "pequeños" sin problemas.

Según lo que ha publicado, parece que ha enseñado todo y, suponiendo que haya implementado correctamente lo que se enumera, solo queda una opción: que su dirección IP haya hecho cosas malas en su vida pasada.

Me refiero a (muy) mala. Su dirección IP puede ser extraída de las listas negras públicas por iniciativa del ISP (que es mucho más eficiente) pero antes de eso sirvió el tráfico de virus y phishing repetidamente durante un período prolongado de tiempo.

Si ese es el caso, desafortunadamente hay poco que se pueda hacer, que yo sepa. Una opción es permanecer en el intento de mantener un servidor de correo electrónico legítimo durante mucho tiempo, pagando el precio de muchos correos electrónicos rechazados antes de que se establezca lentamente la reputación del remitente , algo completamente diferente a estar presente o no en las listas negras públicas .

Por favor manténganos informados sobre su caso.

Miloš Đakonović
fuente
Gracias, y creo que sí, el gran problema después de todo lo demás puede ser la reputación de IP. Recientemente agregué un segundo servidor de correo y obtuve algunos rechazos a las direcciones de Microsoft. Resulta que mi proveedor de alojamiento me puso en un "barrio malo". Sin embargo, pude abrir un ticket con Microsoft y sacaron mi IP del rango de IP defectuosas, sujeto a un buen comportamiento continuo (que planeo mostrar, obviamente).
Stefan Seidel