Soluções para servidores de email com problemas na entrega

Marcado: , , ,

Este tópico contém respostas, possui 6 vozes e foi atualizado pela última vez por  Luis FatorBinario 1 ano, 4 meses atrás.

  • Autor
    Posts
  • #10694
     Luis FatorBinario 
    Administrador

    Tentar solucionar todos os problemas de um servidor de emails não é uma tarefa fácil. Para aumentar o percentual de mensagens aceitas pelo Hotmail (é o que mais dá problemas) publiquei alguns tutoriais que ensinam como autenticar o envio, e se for o caso, como usar serviços externos para garantir a entrega.

    A história da Microsoft barrar emails no Hotmail é no mínimo engraçada, domínios legítimos têm as mensagens marcadas como Spam pela política deles, isso quando são entregues. Porém eu recebo diariamente um relatório DMARC sobre os emails que envio, e o relatório da Microsoft ([email protected]) é sempre marcado como Spam pelo Gmail. E ainda mais interessante é ver que a maioria dos ataques de Spoofing/Backscatter têm origem a partir do cloudapp.net que é da Microsoft.

    Verifique nos tutoriais abaixo algumas opções para configurar o Servidor de Email:

    O nome do VPS (Droplet) é muito importante e tem que ser FQDN, veja como renomeá-lo:
    https://fatorbinario.com/comunidade/topico/renomeando-um-droplet-na-digitalocean/

    Como autenticar emails com DKIM (Edit: O tutorial foi alterado para configurar subdomínios):
    https://fatorbinario.com/linux-como-autenticar-emails-com-dkim-e-postfix/

    Instale o plugin no WordPress para enviar emails via SMTP:
    https://fatorbinario.com/comunidade/topico/como-enviar-email-pelo-wordpress-via-smtp/

    SMTP relay externo com Mandrill:
    https://fatorbinario.com/servidor-de-emails-configurando-um-relay-smtp-externo/

    Zoho Mail: Serviço de email corporativo gratuito:
    https://fatorbinario.com/como-configurar-o-zoho-mail-servico-de-email-corporativo-gratuito/
    https://fatorbinario.com/configurando-o-zoho-mail-como-smtp-relay-no-postfix-via-stunnel/

    Novidade: O Gmail está lançando um serviço de emails corporativos por apenas 2 dólares:
    https://fatorbinario.com/comunidade/topico/gmail-permitira-enderecos-corporativos-personalizados-por-apenas-2-dolares/

    Configurando o Postmaster Tools do Google para acompanhar a entrega dos emails:
    https://fatorbinario.com/postmaster-tools-a-ferramenta-do-google-que-ajuda-a-proteger-emails-corporativos/

    Verifique também o DNS do servidor em Configurando a tabela DNS de um VPS:
    https://fatorbinario.com/comunidade/topico/como-configurar-a-tabela-dns-de-um-vps/

    Monitore os arquivos de log para verificar se existem ataques ao Servidor de Email. Um spammer pode conseguir “spoofar” o seu domínio e enviar spam “sujando” o seu IP que será enviado às BlackLists:
    https://fatorbinario.com/comunidade/topico/analisando-arquivos-de-log-no-vps/

    Se forem detectadas ameaças nos arquivos de log aprenda como se defender configurando o Firewall:
    https://fatorbinario.com/firewall-tutorial-de-seguranca-no-servidor-de-email-do-vps/


    E se mesmo após finalizar as configurações os emails enviados ainda estão chegando como Spam ou até mesmo nem sendo entregues verifique com as ferramentas abaixo as possíveis causas.

    Threat Intelligence da McAFee Labs (se qualquer uma das 3 medições estiver em vermelho o seu email provavelmente irá para SPAM).
    >> Compare o seu resultado com o do Fator Binário.

    IntoDNS.com (Faz uma varredura nos registros DNS do seu servidor, aguarde até a tela carregar completamente).
    >> Compare com nossos resultados

    Mail-Tester.com (Mais importante que a nota dada ao email é checar todas as seções e procurar por erros). Envie um email do seu servidor para o endereço que aparece no site e em seguida clique em “Verifique sua Pontuação”. Também é possível ver se o servidor não está em nenhuma blacklist por essa ferramenta.
    >> Acesse o Mail-Tester.com

    *Se forem encontrados erros nos relatórios do seu servidor comente neste tópico que poderei ajudar a resolvê-los.

    #10827
     herus02 
    Participante

    Pra todo domínio adicionado no ISPConfig, é necessário fazer esse processo para autenticar com DKIM? E as entradas de DNS podem ser incluídas pelo painel do ISPConfig ou todos os domínios eu preciso incluir no DNS da Digital Ocean?

    #10829
     Luis FatorBinario 
    Administrador

    A assinatura DKIM é própria para cada domínio (incluindo subdomínios). Uma vez que você adquira prática na configuração torna-se um processo fácil de executar.

    Quanto aos registros na tabela DNS eu prefiro usar o painel da DigitalOcean pra isso, por algum motivo as alterações feitas por lá refletem muito rapidamente pela internet. Alguns leitores aqui do Fator reportaram estar usando o painel do ISPConfig para configurar o DNS mas se você tiver poucos sites/domínios use o da Digital.

    Uma outra maneira de configurar DNS é usar o CloudFlare e adicionar todos lá.

    #10831
     herus02 
    Participante

    Sugiro esse tutorial para anexar as configurações no ISPConfig: http://blog.schaal-24.de/ispconfig/dkim-patch-1-0/?lang=en

    #10832
     Luis FatorBinario 
    Administrador

    Estou lendo sobre alguns bugs reportados nas respostas, mas o Florian diz que vai integrar a sugestão no próximo Release do ISPConfig. Isso é bom, eu troquei email com os desenvolvedores algumas semanas atrás e eles me disseram que a nova versão será lançada no segundo semestre deste ano.

    Parece que vem coisa boa por ai. E pra quem não tem conhecimento, o ISPConfig é uma das melhores opções em painel de controle porque a ferramenta é só um conjunto de scripts e não fica ocupando memória para funcionar como acontece com a maioria dos outros painéis.

    Assim que eles liberarem a versão farei um novo tutorial com Debian 8. E note que eles indicam o Debian como SO para usar o ISPConfig.

     

    #10833
     herus02 
    Participante

    Como faço para gerenciar um domínio pelo painel de DNS do ISPConfig? Por exemplo: para funcionar corretamente agora, eu coloquei o NS da DigitalOcean no Registrar do domínio e gerencio o DNS pelo painel da DO. Eu teria que ter um NS do meu domínio que hospeda o ISPConfig e incluir no Registrar desse outro domínio?

    #10834
     Luis FatorBinario 
    Administrador

    A maior parte da galera prefere o gerenciador DNS da DigitalOcean por ser mais rápido de propagar e configurar. Para usar NS customizados lá você proceder da seguinte forma:

    Quando adicionar um novo domínio ao painel 3 entradas NS da Digital serão criadas automaticamente.

    Adicione novas entradas do Tipo A apontando para os IPs da DigitalOcean, exemplo:
    ns1.seudominio.com.br  173.245.58.51
    ns2.seudominio.com.br 173.245.59.41
    ns3.seudominio.com.br 198.41.222.173

    Mas se você quiser configurar pelo ISPConfig siga estes passos pelo DNS Wizard:

    Creating Web Sites

     

    #10923
     Luis FatorBinario 
    Administrador

    O tutorial de DKIM foi alterado para configurações com subdomínios e múltiplos domínios com a mesma chave.

    #10960
     dalaz 
    Participante

    Estou com uma dúvida.

    Ao fazer as configurações de segurança do servidor de email, eu parei de enviar emails através do webmail.

    Verifiquei a seguinte mensagem no log:

    Aug 6 09:51:08 wr01 postfix/smtpd[17476]: fatal: Invalid TLS level “may smtp_sasl_auth_enable = yes smtp_sasl_security_options = noanonymous”

    Ao comentar as linhas abaixo, voltou a funcionar.

    smtpd_tls_security_level = may
    smtp_sasl_auth_enable = yes
    smtp_sasl_security_options = noanonymous

    O que posso fazer para que essa configuração que eu comentei acima funcione normalmente?

    Obrigado,
    Excelente tutorial! Está de parabéns!

    #10961
     Luis FatorBinario 
    Administrador

    Olá @dalaz,

    Primeiro verifique se você escreveu as linhas de código corretamente no arquivo.

    Se estiver ok me diga se para configurar o VPS você seguiu algum dos meus tutoriais, porque eu tenho as linhas ativadas aqui e uso os mesmos parâmetros passados no tutorial Debian 7 + ISPConfig. E pergunto isso porque naquele tutorial é usado segurança TLS/SASL para o servidor de email, então se você não tiver isso configurado pode dar problema mesmo.

    É só um módulo a mais de segurança, se você não instalou em seu servidor não precisa habilitar as linhas.

    *Você fez o procedimento correto e testou a configuração observando que o servidor parou de enviar email, e ainda verificou os logs para encontrar o motivo, parabéns.

     

    #10962
     dalaz 
    Participante

    Olá Luis,

    Eu fiz passo a passo como está no tutorial Debian 7 + ISPConfig. Acompanhei o vídeo todo e pelo site.

    A principio eu copiei tudo certo, inclusive fiz mais de uma vez. A única parte que eu pulei foi a configuração do relay externo. Pretendo enviar emails pelo próprio servidor.

    Como configuro o TLS/SASL para o servidor de email?

    Obrigado pela ajuda.

    #10963
     Luis FatorBinario 
    Administrador

    Se você seguiu o tutorial Debian + ISPConfig o TLS já deve estar configurado.

    Aguarde até o final da tarde porque estou configurando um servidor para uma empresa de desenvolvimento de sites exatamente com este tutorial, repassando todos os artigos do site.

    Estou no aguardo do cliente para confirmar uma configuração e em seguida vou acertar a segurança do servidor seguindo este último artigo. Darei uma resposta ainda hoje sobre isso, fique tranquilo.

    #10964
     dalaz 
    Participante

    Eu voltei um snapshot que fiz no passo Instalando o WordPress em um VPS com ISPConfig. Vou refazer a configuração a partir desse passo.

    Acabei de seguir novamente o tutorial e encontrei uma falha no meu DNS.

    O mail._domainkey e o @ estavam com erro! O primeiro estava com o “v=DKIM1 faltando as ” no inicio da chave e o segundo estava com o include: errado.

    Vou aguardar a propagação do dns e fazer novos testes!

    #10965
     Luis FatorBinario 
    Administrador

    Boa tarde @dalaz, testei aqui no servidor do cliente.

    Você não precisa daquelas linhas “smtp_sasl”, deixe somente a “smtpd_tls”.

    Desta forma:

    smtpd_tls_security_level = may
    #smtp_sasl_auth_enable = yes
    #smtp_sasl_security_options = noanonymous

    Se quiser manter o SASL habilitado tem que incluir ainda uma linha:

    smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

    E ainda criar o arquivo “/etc/postfix/sasl_passwd” e gerar o mapa pra ela com:

    > postmap /etc/postfix/sasl_passwd

     

    Eu utilizei o SASL para conectar num SMTP externo. Muito obrigado por me avisar do problema.

     

    #10968
     Luis FatorBinario 
    Administrador

    Modifiquei também a configuração do Fail2Ban no tutorial com 2 outras opções, o ignoreip no jail.local e o backend no jail.conf:

    Arquivo: /etc/fail2ban/jail.local

    [DEFAULT]
    # Adicione alguns IPs internos e o DNS do Google a lista de redes que nao podem ser banidas
    ignoreip = 127.0.0.0/8 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 8.8.8.8
    # Digite o seu email abaixo para ser avisado quando o Fail2Ban parar/iniciar e ainda, opcionalmente, quando uma ameaca for detectada
    destemail = [email protected]

     

    Arquivo: /etc/fail2ban/jail.conf

    # O Debian 7 tem um problema com o metodo "auto" (gamin) para modificar arquivos, altere para polling
    backend = polling

     

    Reinicie o Fail2Ban.

Visualizando 15 posts - 1 até 15 (de 39 do total)

Você deve fazer login para responder a este tópico.

©2014-2018 Fator Binário - Todos os direitos reservados

Fazer login com suas credenciais

ou    

Esqueceu sua senha?

Create Account