correos rebotan con ip distinta al servidor de correo

Forums: 

Saludos estimados ...

Hace unos días nuestro servidor de correo estuvo en lista negra, ya fue solucionado en gran medida esta situación.
Planteo con el siguiente ejemplo el diagrama de la red del servidor de correo para que me puedan entender mi posterior consulta:

Internet
|
Router ISP (ip LAN ISP pública 20.20.20.1 para acceso a nuestro firewall)
|
Firewall (ip LAN publica 10.10.10.1 - ip WAN publica para acceso al router del ISP 20.20.20.2)
|
Server correo (ip 192.168.1.1)

Ahora bien lo que nos sucede con los correos es que retornan rebotados (actualmente los rebota gmail) con el siguiente mensaje:

The original message was received at Mon, 27 Jun 2011 14:14:10 -0500 from [192.168.1.1]

----- The following addresses had permanent fatal errors -----
(reason: 550-5.7.1 [20.20.20.2 1] Our system has detected an unusual rate of)

----- Transcript of session follows ----- ... while talking to gmail-smtp-in.l.google.com.:
>>> DATA
<<< 550-5.7.1 [20.20.20.2 1] Our system has detected an unusual rate of
<<< 550-5.7.1 unsolicited mail originating from your IP address. To protect our <<< 550-5.7.1 users from spam, mail sent from your IP address has been blocked.
<<< 550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review <<< 550 5.7.1 our Bulk Email Senders Guidelines. q19si1133293qcg.37
554 5.0.0 Service unavailable

Podría de favor alguno explicarme (ya que mi poco saber de esto no me permite entender) porqué si el servidor de correos sale al mundo con la ip pública 10.10.10.1 (ip pública colocada en la LAN de mi server principal), los mensajes que rebotan de gmail cada vez que trato de enviar algo dicen que quien está enviando los correos es la ip 20.20.20.2 (ip pública de la WAN de mi server principal colocada solo para acceso entre dicho equipo y el router del ISP). Aclaro que incluso esa ip tiene un REJECT en el access de sendmail.

Alguno sería tan gentil de ayudarme a entender esto y por qué podría deberse para tratar de ver la manera de solucionarlo ..??

De antemano gracias por su ayuda .!!

Pregunto

Imagen de iknaxio

Pregunto:

  1. Qué dicen las cabeceras de los correos que envias a hosts externos diferentes de gmail?
    Para probar puedes enviarte un correo a una cuenta que tengas en yahoo.

Definitivamente lo de las blacklist's no está superado, como recomendación si aún no lo tienes configura SPF, por aquí en el sitio se enseña en un tutorial, cómo hacerlo.

No entiendo mucho de redes, a veces si, pero no mucho, sin embargo se me ocurre que el FW solo debería tener permiso de acceder a los puertos de correos tu mail server y nadie mas, ya que podrías tener algún cliente infectado que tenga un motor SMTP enviando spam.

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio
floss.iknaxio.net

El servidor de correo tiene

El servidor de correo tiene configurado en el /etc/access del sendmail un RELAY solo a las redes nuestras e incluso tiene un REJECT en la subred del ejemplo 20.20.20.0/30 la cual, como comento antes es una ip pública que sirve solo para enlace entre nuestro servidor y el router del isp.

Con respecto al segundo comentario:
1. Pensaba que los correos a yahoo llegaban sin problemas, pero los envío y se van del servidor (según el log del sendmail) pero demoran en llegar a yahoo y otros no llegan.

Debido a estos problemas hace poco se configuró el registro SPF, ya que antes todos los dominios nos rebotaban, ahora pasa con gmail y, por lo que veo, con yahoo que no llegan.

El registro SPF está en /var/named/chroot/var/named/empresa.com.ec.zone y la línea que se agregó es la siguiente:
;empresa.com.ec IN TXT "v=spf1 ip4:10.10.10.0/24 include:_spf.google.com ~all"

Donde, 10.10.10.0/24 es la red pública de la empresa y include:_spf.google.com es el registro que según una web me permite validar el dominio de la empresa hacia gmail.

Adjunto la salida del encabezado de yahoo:
From Usuario Valido Tue Jun 28 14:48:44 2011
X-Apparently-To: usuariovalido@yahoo.com via 98.137.26.129; Tue, 28 Jun 2011 07:52:40 -0700
Return-Path: < usuariovalido@empresa.com.ec>
Received-SPF: fail (domain of empresa.com.ec does not designate 20.20.20.2 as permitted sender)
X-YMailISG: fy.e9qQWLDs7PawCF18tJnJL.8ROVpfNdUsYrW6DoOkBU11x
V9s.svLcPSEUi1n5pMYlBuOk2VHqJErUVDdgBqEk4Pz5K.5ILwoS.2DLvSrr
4xnG3nSg_FTe.agoXUpQP3biiY5iggRvNnei6dKSzJIvvHzw4OazQbMv4k9D
p34nV8Fe5yF67iNgSIb_bW.DvZw7Gq.FwBI9yDbczJNU0ZVgKHLbfCqtDW4a
RoV.bMrdLFi8MXke2YW_u2ARnSB6UF7RRZ3vDfVttjDNFLYX7n_iL1YSto1Y
Sh3p_enIs0NkTQ.GoXU1yX0QRPZxNnMWuOheffTmF_wKm1hhKlMSY8oiJ.t1
pMxjRe0ohwP5UJ6NHpyVWJwHfgeqalm51bamTXYcoG80BINEKGA2XyB0EerU
p_Ktw_kIiw7rJsSO.aOgBF9bevAdB_f6Kxl6RY8Ffb75C9NGS7goH9_Fa6VM
hKrt17DwLS1HVTtIn6HPnh.NQwmUL6vYyYzm3sB.pX.9fH1Vk2bmTafh.z3t
85Qt8Gh28Rz_wwnZzJtppFHQc5uiuI9czSlSMDG1IO58amtC7avByXkZoz50
G30_IHWXE7MAGMODUKRRRkqC0RhZr71Q8IxQRBb0Op5BlrdMxnK_1FHP05dL
v6rSRfgoWjDZOhqTOA_yEnyYJ5qR2TindSV4yIUheudzC5sJgwg26__ghQkW
ev7LeatPyQvYgXK7bhhatwdyePtjd7UEGetCiUkJl0iuAyUb6_3XvGgdvLNd
mRMsI2ZV1DHPhnN7z7W27vfgM4W6khrWp79NGnybBjOZU7nk.Lmx2dNT9v2l
IHQEUNXCxUquKo4ndydjBYtQVQCAWOmVmoybvLMgFQ_CTqTFdUws_AcE_V7E
A1RbV2sYJp7xOAtDpWl34YnhihrBc9G3OZZXteOzC0oVgRAlGDhNvMjfQQdB
V9uubg8dlota9Eg6qKzVAkhRNRkEbrzAROYjba.QleNLIdTrwSfuyt6Is5YX
vuGZ95Qm3BsalYFfJskUS_8usw--
X-Originating-IP: [20.20.20.2]
Authentication-Results: mta1254.mail.sk1.yahoo.com from=empresa.com.ec; domainkeys=neutral (no sig); from=empresa.com.ec; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO mail.empresa.com.ec) (20.20.20.2)
by mta1254.mail.sk1.yahoo.com with SMTP; Tue, 28 Jun 2011 07:52:40 -0700
Received: from ramonPC ([192.168.105.5])
by mail.empresa.com.ec (8.13.8/8.13.8) with ESMTP id p5SEYRwr001833;
Tue, 28 Jun 2011 09:34:27 -0500
From: "Usuario Valido"
To: < usuariovalido@gmail.com>, < usuariovalido @hotmail.com>, < usuariovalido @yahoo.com>
Subject: prueba 3
Date: Tue, 28 Jun 2011 09:48:44 -0500
Message-ID: <002701cc35a2$7c805120$7580f360$@com.ec>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0028_01CC3578.93AA4920"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: Acw1onjq5y8kBtsMS5SvlSHL6UMHkA==
Content-Language: es
X-Spam-Status: No, score=-1.4 required=5.0 tests=ALL_TRUSTED,HTML_MESSAGE,
MIME_HTML_MOSTLY autolearn=failed version=3.2.5
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on mail.empresa.com.ec
Content-Length: 1915

Lo que entiendo de esto es que: quien está enviando los correos es la ip pública 20.20.20.2 (colocada en la wan de nuestro servidor central) pero mi computadora sale al Internet por la ip pública 10.10.10.2 (la puerta de enlace 10.10.10.1 está configurada en la LAN de nuestro servidor central). A esto me refiero en este post ... por qué pasa esto? si dicha ip (20.20.20.2) no tiene permisos de salir en el sendmail (Connect:20.20.20.2 REJECT).

Tendrá en esto que ver el ISP, alguna reversa mal hecha? o es algún problema de virus, spam, reglas de firewall ... ??
PD.: Gracias por sus comentarios, disculpen si no entiendo algo de los que UDs comentan pues estoy tratando de entender y con su ayuda tratar dar una solución ...

_fR@Nk_

has esta prueba desde el

Imagen de deathUser

has esta prueba desde el servidor de mail:


telnet gmail-smtp-in.l.google.com 25
Trying 74.125.115.27...
Connected to gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP p9si374348vdg.23
ehlo cualquier_verga
250-mx.google.com at your service, [IP_DESDE_LA_CUAL_SE_REALIZA_LA_CONEXION]
250-SIZE 35882577
250-8BITMIME
250-STARTTLS
250 ENHANCEDSTATUSCODES

Ojo con lo que te responde el MX de gmail en la línea:


250-mx.google.com at your service, [IP_DESDE_LA_CUAL_SE_REALIZA_LA_CONEXION]

Ahí vas a ver cual IP es la que genera la conexión ...

bye
;)

Revisando y siguiendo sus

Revisando y siguiendo sus instrucciones, el problema es que la ip del servidor de correos está saliendo enmascarada por la ip pública del ejemplo (20.20.20.2) que está en la wan del servidor central, y no está saliendo por la 10.10.10.1 que está en la eth1 del mismo server central.

Este servidor tiene 3 interfaces de red, una wan eth0 con la ip 20.20.20.2, una eth1 con la ip pública 10.10.10.1 y una eth2 con la ip privada 192.168.1.1 para tener acceso al servidor de correos (ip del server de correos 192.168.1.2).

Hay una regla en el server central que dice:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2/32 -d ! 192.168.1.0/24 -o eth0 -j MASQUERADE

Y todo el tráfico de salida del server de correos lo está enviando por la eth0 del server central, ahora la cuestión es ver como hacer para que ese tráfico salga por la eth1 según entiendo .. !!

Gracias por su ayuda y comentarios, toca seguir revisando para solucionar el problema .. !!

_fR@Nk_