Qmail sistemlerde rblsmtpd ile block list kontrolü yapmak spam mailleri engellemek adına tek başına bile olukça yeterli bir yöntem olsa da bazen false positive durumlar oluşabilmekte ve aslında spam gönderim yapmayan yerlerden gelen maillerin de engellenmesine neden olabilmektedir. Örnek olarak son zamanlarda Google App Engine kullanılarak gönderilen spam mailler nedeni ile google ipleri bazen spamcop, sorbs ya da spamhaus gibi major block listlerine girebiliyorlar ve bunun sonucu olarak da gmail’den gönderilen mailler rblsmtpd’ye takılarak reddedilebiliyor.

İşte bu gibi konuların önüne geçmek için bir whitelist oluşturup bu listeye örneğin google’a ait tüm ip adreslerini eklemek ve bu iplerden gelen smtp bağlantılarını rblsmtpd kontrolünden muaf tutmak yerinde bir tutumdur. Daha önce Rblsmtpd Yapılandırması isimli bir yazı yayınlamıştım; bu yazıda ise rblsmtpd için whitelist ve custom blacklist yapılandırma işlemlerinden bahsetmek istiyorum.

Yazinin devami icin tiklayin.

Bilindiği gibi qmail’de ip tabanlı relaying işleri tcpserver’ın access listi olan tcp.smtp isimli dosyada tanımlanıyor. Tcpserver ile ilgili dökümanlarda ip range için relay tanımlamalarında verilebilecek en küçük ip range, aşağıdaki gibi tüm bir c class’ı ifade ediliyor:

1.1.1.:allow,RELAYCLIENT=""

Ancak tüm bir class’a izin vermek yerine daha küçük bir range’i belirtmek isterseniz, tanımlamayı şu şekilde yapmanız gerekiyor:

1.1.1.1-10:allow,RELAYCLIENT=""

Bu şekilde 1.1.1.1 ile 1.1.1.10 arası relay için izinli oluyor.

qmail’in smtp bağlantılarında reverse dns lookup işlemi yapması, client’ın herhangi bir ptr kaydı olmaması (fail) durumunda bağlantının epey yavaş kurulmasına neden olur.  Özellikle qmail’i sadece on-behalf gönderiler için kullanıyorsanız, client’ın reverse kaydıının olup olmadığı aslında pek önemli olan bir şey değildir. Dolayısı ile bu özelliği disable etmek qmail üzerinden ekstra bir işi almak anlamına geldiğinden dolayı performans anlamında da katkı sağlar.

qmail sistemlerde, reverse dns kontrol işlemini devre dışı bırakmak için qmail-smtpd supervise betiği içerisinden çağırılan tcpserver’a -H parametresini de eklemek yeterlidir ve aşağıdaki şekilde yapılabilir:

Yazinin devami icin tiklayin.

qmail serverlarda giden tüm maillerin başka bir smtp sunucusu üzerinden iletilmesini istemeniz durumunda, maillerin yönlendirileceği smtp serverda relay izninizin olması gerekir.  Bu şekilde, qmail’inizin smtproutes dosyasına giden tüm mailleri ilgili smtp server’a yönlendirmek demek için “:ip-adresi” şeklinde bir ibare girebilir ve yönlendirme işlemini yapabilirsiniz.

Fakat sunucunuzun static ipsi yoksa ya da uzaktaki smtp sunucusu üzerinde herhangi bir tasarrufunuz bulunmuyorsa ip üzerinden relay izni tanımlatma şansınız olmayabilir. Böyle bir durumda, uzaktaki sunucuda tanımlı kullanıcı bilgileriniz ile kimlik doğrulaması yapmayı ve otomatik olarak relay izni almayı düşünebilirsiniz fakat qmail sunucular giden postalar için öntanımlı olarak smtp authentication desteği sağlamadığından, bu işlem için qmail’e bir yama geçmeniz gerekir.

Neyseki qmail-remote’a smtp auth desteği sağlamak için için qmail-smtproute-auth isimli güzel bir yama bulunuyor. Aşağıda yama ile ilgili detaylı bilgi ve qmail’e uygulanarak, yapılandırılması konusunda kurulum notları bulabilirsiniz.
Yazinin devami icin tiklayin.

Gönderdiğiniz maillerin gerçekten sizin tarafınızdan gönderildiğini ispat etmeye yönelik bir kimlik doğrulama metodu olan DKIM konusuna önceki bir yazımda değinmiş ve qmail sunucularda giden maillerin DKIM (DomainKeys Identified Mail) ile imzalanmasının nasıl sağlanabileceğini anlatmıştım. Özellikle toplu mail gönderileri yapıyorsanız maillerinize mutlaka uygulanması gereken DKIM bildiğiniz gibi Domainkeys denilen bir diğer kimlik doğrulama metodunun geliştirilmiş ve yaygın olarak kullanılan versiyonudur.

DKIM ile DomainKeys aynı şeyi amaçlayıp aynı teknolojiyi kullanıyor olsalar ve sadece DKIM kullanmak yeterli gibi görünse de gönderdiğiniz mailleri hem DKIM hem de Domainkeys ile imzalamak elbette daha iyi olacaktır. Zira bazı sistemlerde sadece DKIM doğrulaması yapılırken bazılarında sadece DomainKeys kullanılıyor olabilir. Bu nedenle her iki yöntemi kullanarak yapılan imzalama, iki yöntemden sadece birini kullanan alıcı sistemlerle de iyi geçinmek anlamına gelir. Yazının devamında, daha önceki yazıma ek olarak qmail sistemlerde giden maillerin DKIM’in yanı sıra DomainKeys kullanılarak da imzalanmasından bahsedeceğim.

Yazinin devami icin tiklayin.

Bülten, duyuru ya da marketing gönderileri için mailer olarak kullanılan qmail posta sunucularında domain bazlı hız limiti tanımlayabilmek total gönderim hızını efektif olarak kullanmak için gerekli yöntemlerden birisidir. Bildiğiniz üzere Hotmail ve Yahoo gibi büyük e-posta sağlayıcıları, kendilerine gönderilebilecek postalar için hız ve adet bazında filtreleme yapmaktadır. Örnek olarak (özellikle) Yahoo ya da Hotmail, size ait IP’ler için (çeşitli hesaplama yöntemleri kullanarak) belirledikleri limitten daha hızlı bir şekilde gönderim yapmanız halinde gönderdiğiniz postaları belirli bir süreliğine redderek bir nevi gri liste uygulamasında bulunurlar. Böylece sizin için tanımlanan eşiğin üzerine çıkmanızı engelleyerek sistem kaynaklarını tüketmenize engel olurlar.

Böyle bir durum, size limit uygulayan domainler dışında kalan yerlere gidecek maillerin de gecikmesine ve total gönderimin yavaşlamasına neden olur. Çünkü bu tip mailler gönderilemiyor olsalar da qmail kuyruğunda beklemekte ve her bir gönderim denemesi için kendilerine bir thread (dolayısı ile kaynak) ayırılmaktadır.

Bu problemi ortadan kaldırmak üzere qmail-channels isimli güzel bir patch bulunuyor. Bu yama ile qmail’e farklı domainler için farklı kuyruk’lar (queue) ekleyebiliyor ve her bir kuyruk için farklı concurrency değeri (eş zamanlı gönderim adedi) belirleyebiliyorsunuz. Yazının devamında, qmail-channels yamasının bir qmail sunucusuna (netqmail-1.06) geçilmesinden ve belirli domainler için yapılandırılmasından bahsedeceğim.
Yazinin devami icin tiklayin.

Bundan iki sene önce, temel bileşenleri ile hızlıca qmail kurulumu yapabilmek için küçük bir shell scripti hazırlamış ve burada yayınlamıştım.  Şimdi de  o scriptin eli yüzü biraz daha düzgün ikinci versiyonunu hazırladım.

Eğer, CentOS5 üzerinde gateway, smarthost ya da mailer olarak çalışacak LWQ önergelerine göre yapılandırılmış bir qmail’e ihtiyacınız bulunuyorsa scripti aşağıdaki linkten indirip kurulumu kolayca yapabilirsiniz.

Yazinin devami icin tiklayin.

Geçenlerde Endersys, qmail-remote log dosyasına ip adresine ek olarak From ve To bilgilerinin eklenmesini sağlayan güzel bir qmail yaması yayınladı. qmail kullanıyorsanız bu yamayı geçerek, qmail-remote sürecine ait loglamaların daha detaylı ve anlaşılır olmasını sağlayabilirsiniz.

Yazının devamında, yamanın uygulanmasıyla ilgili notlar bulabilirsiniz:

Yazinin devami icin tiklayin.