Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 5193 views
  • Users 0 members are here
Options
Suggested

[9.065][ANSWERED] SMTP Failed To Expand ACL String on DNS ptr failure

Billybob
Hi, I have a few emails that are getting temporarily rejected due to ACL string error. Here are a few log snippets...
/var/log/smtp/2013/02/smtp-2013-02-10.log.gz:2013:02:10-06:15:54 gatekeeper exim-in[4648]: 2013-02-10 06:15:54 H=([36.73.64.11]) [36.73.64.11]:18546 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=36.73.64.11" gave DEFER:


gatekeeper exim-in[24914]: 2013-02-13 03:11:53 H=([180.245.209.110]) [180.245.209.110]:15930 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=180.245.209.110" gave DEFER:


gatekeeper exim-in[20166]: 2013-02-14 10:16:33 H=(mta27.agedpr.com) [192.69.94.222]:37556 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.222" gave DEFER:

and DNS query......... 
gatekeeper:/var/log # dig ptr 222.94.69.192.in-addr.arpa



; <>> DiG 9.6-ESV-R7-P4 <>> ptr 222.94.69.192.in-addr.arpa

;; global options: +cmd

;; Got answer:

;; ->>HEADER

and DNS log... 
2013:02:18-21:10:40 gatekeeper named[4207]: error (unexpected RCODE SERVFAIL) resolving '222.94.69.192.in-addr.arpa/PTR/IN': 199.19.111.7#53

2013:02:18-21:10:40 gatekeeper named[4207]: error (unexpected RCODE SERVFAIL) resolving '222.94.69.192.in-addr.arpa/PTR/IN': 204.124.182.253#53

Regards
Bill
Parents
  • 0
    Hi,
    i managed to check this with v9.003 and v8.306 and found the same behaviour: the UTM rejects the mails temporarily.
    If these emails were legitimate, i'm sure the provider would fix his DNS. Though I could not build a suitable setup yet I'm pretty sure that a properly configured mailserver would give up after a while and send a notification to the sender.
    You're right, it's extra logging, communication and DNS queries for the UTM, but no mailqueue (mails are rejected before even queued). Even a heavy loaded system should handle this without problems.

    For now there won't be any changes concerning this issue.
    Thanks anyway for your input!

    Regards,
    bulirich
  • 0 in reply to bulirich_01
    Though I could not build a suitable setup yet I'm pretty sure that a properly configured mailserver would give up after a while and send a notification to the sender.

    gatekeeper:/var/log # grep -c "failed to expand" smtp.log
    140

    /var/log/smtp/2013/02/smtp-2013-02-21.log.gz:2013:02:21-19:21:40 gatekeeper exim-in[15948]: 2013-02-21 19:21:40 H=(mta16.agedpr.com) [192.69.94.211]:33787 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    /var/log/smtp/2013/02/smtp-2013-02-21.log.gz:2013:02:21-19:22:45 gatekeeper exim-in[15963]: 2013-02-21 19:22:45 H=(mta16.agedpr.com) [192.69.94.211]:37330 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:

    SNIP............

    /var/log/smtp.log:2013:02:28-08:50:15 gatekeeper exim-in[21735]: 2013-02-28 08:50:15 H=(mta16.agedpr.com) [192.69.94.211]:33475 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    /var/log/smtp.log:2013:02:28-08:52:55 gatekeeper exim-in[21770]: 2013-02-28 08:52:55 H=(mta16.agedpr.com) [192.69.94.211]:36294 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    /var/log/smtp.log:2013:02:28-08:54:07 gatekeeper exim-in[21790]: 2013-02-28 08:54:07 H=(mta16.agedpr.com) [192.69.94.211]:54721 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    The same mails are in my original post from the 14th but I don't have any logging since I rebuilt my box. I have been temporarily rejecting the same mail since the 21st of Feb on my rebuilt system and still waiting for someone to fix the PTR on the authoritative DNS to this day[8-)] and this is on my home system with
    SMTP Proxy is active, 39 emails processed, 33 emails blocked

    You're right, it's extra logging, communication and DNS queries for the UTM, but no mailqueue (mails are rejected before even queued). Even a heavy loaded system should handle this without problems.
    You think so.... obviously you haven't followed threads like http://www.astaro.org/gateway-products/hardware-installation-up2date-licensing/45221-9-0044-33-spikes-high-cpu-memory.html which surely don't need additional load from bogus emails.
    And by the way if the behavior was the same in earilier versions, that doesn't make it right. In any case, I am just beta testing and stating my opinion and if you think this doesn't need fixing, then the final decision is yours. 

    Regards
    Bill
Reply
  • 0 in reply to bulirich_01
    Though I could not build a suitable setup yet I'm pretty sure that a properly configured mailserver would give up after a while and send a notification to the sender.

    gatekeeper:/var/log # grep -c "failed to expand" smtp.log
    140

    /var/log/smtp/2013/02/smtp-2013-02-21.log.gz:2013:02:21-19:21:40 gatekeeper exim-in[15948]: 2013-02-21 19:21:40 H=(mta16.agedpr.com) [192.69.94.211]:33787 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    /var/log/smtp/2013/02/smtp-2013-02-21.log.gz:2013:02:21-19:22:45 gatekeeper exim-in[15963]: 2013-02-21 19:22:45 H=(mta16.agedpr.com) [192.69.94.211]:37330 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:

    SNIP............

    /var/log/smtp.log:2013:02:28-08:50:15 gatekeeper exim-in[21735]: 2013-02-28 08:50:15 H=(mta16.agedpr.com) [192.69.94.211]:33475 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    /var/log/smtp.log:2013:02:28-08:52:55 gatekeeper exim-in[21770]: 2013-02-28 08:52:55 H=(mta16.agedpr.com) [192.69.94.211]:36294 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    /var/log/smtp.log:2013:02:28-08:54:07 gatekeeper exim-in[21790]: 2013-02-28 08:54:07 H=(mta16.agedpr.com) [192.69.94.211]:54721 F= temporarily rejected RCPT : failed to expand ACL string "${lookup dnsdb{ptr=$sender_host_address}{0}{1}}": lookup of "ptr=192.69.94.211" gave DEFER:
    The same mails are in my original post from the 14th but I don't have any logging since I rebuilt my box. I have been temporarily rejecting the same mail since the 21st of Feb on my rebuilt system and still waiting for someone to fix the PTR on the authoritative DNS to this day[8-)] and this is on my home system with
    SMTP Proxy is active, 39 emails processed, 33 emails blocked

    You're right, it's extra logging, communication and DNS queries for the UTM, but no mailqueue (mails are rejected before even queued). Even a heavy loaded system should handle this without problems.
    You think so.... obviously you haven't followed threads like http://www.astaro.org/gateway-products/hardware-installation-up2date-licensing/45221-9-0044-33-spikes-high-cpu-memory.html which surely don't need additional load from bogus emails.
    And by the way if the behavior was the same in earilier versions, that doesn't make it right. In any case, I am just beta testing and stating my opinion and if you think this doesn't need fixing, then the final decision is yours. 

    Regards
    Bill
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?