Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 1087 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible bug in ASG mail security 7.5 and 8

JanKovar
Hello.

I think that there is a bug in Astaro mail security. I have had the same problem on version 7.5, now on 8.003 I was digging deeper.

I was using conference with address win@list.vyvojar.cz
When I send an e-mail it is stuck for a long time in spool. If I look at the mail, I can see this:
Message ID 13z5eq-0008Ve-01  
 
Message Delivery Log:
2011-01-19 17:05:02 list.vyvojar.cz [199.27.135.100]:25 Connection timed out
2011-01-19 17:05:23 list.vyvojar.cz [199.27.134.100]:25 Connection timed out
2011-01-19 17:05:23 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out
2011-01-19 17:08:21 list.vyvojar.cz [199.27.134.100]:25 Connection timed out
2011-01-19 17:08:42 list.vyvojar.cz [199.27.135.100]:25 Connection timed out
2011-01-19 17:08:42 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out
2011-01-19 17:11:21 list.vyvojar.cz [199.27.134.100]:25 Connection timed out
2011-01-19 17:11:42 list.vyvojar.cz [199.27.135.100]:25 Connection timed out
... etc ...
2011-01-19 18:19:21 list.vyvojar.cz [194.212.229.231]:25 Connection timed out
2011-01-19 18:19:21 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out
2011-01-19 18:22:21 list.vyvojar.cz [194.212.229.231]:25 Connection timed out
2011-01-19 18:22:21 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out

Please note the addresses. MX records for both list.vyvojar.cz and vyvojar.cz are:
10 mail.vyvojar.cz
100 dm2.devmasters.cz

A records for this servers are:
mail.vyvojar.cz 77.93.208.15
dm2.devmasters.cz 89.185.242.249

These addresses are not the same as addresses where Astaro is trying to deliver e-mail. The addresses that Astaro is trying to use for delivery are in fact A records for: list.vyvojar.cz and vyvojar.cz.
Why is Astaro trying to use A records instead of MX record?

I am using Home edition.
Version information   
Firmware version:  8.003 
Pattern version:  21130 
 
If you need more information or test, feel free to contact me here or directly on honza@tnx.cz

Best regards
Jan Kovar


This thread was automatically locked due to age.
  • 0
    Something wrong with your dns setup for your domains. Everything looks fine till you do reverse lookups for where astaro is trying to deliver.

    This is what I get from dns stuff  

    IP Information - 194.212.229.231
    IP address:                     194.212.229.231
    Reverse DNS:                    mail.vyvojar.cz.
    Reverse DNS authenticity:       [Verified]
    ASN:                            2819
    ASN Name:                       GTSCZ (GTS NOVERA (GTS CZ))
    IP range connectivity:          2
    Registrar (per ASN):            RIPE
    Country (per IP registrar):     CZ [Czech Republic]
    Country Currency:               CZK [Czech Republic Koruny]
  • 0
    Hi.
    vyvojar.cz/list.vyvojar.cz is not my domain. It is the target domain, where I have trouble sending e-mails. I have no possibility to change their DNS records. :-(
    I can see the missconfiguration of their DNS records, but I do not understand why should this bother smtp in Astaro. Usually shoud smtp server use DNS to find MX records of the domain part of the e-mail address. In this case the address is win@list.vyvojar.cz so it should look for MX records of list.vyvojar.cz. Smtp will find two records, uses the record with lower weight. It is mail.vyvojar.cz. Then it should use DNS for finding A record of mail.vyvojar.cz and receive IP address that should be used for connection. DNS will return 77.93.208.15. Smtp should connect to this address for mail delivery. If ASG's smtp is doing other steps before sending e-mail, can you describe it, please? I have already sent the e-mail to the admin of the conference to fix their DNS records. But I am curious, how in fact this smtp works.
    Thank you
    BR
    Jan
  • 0 in reply to JanKovar
    It's not the recipient's domain which is misconfigured, it is yours: something has messed with is and is returning the wrong IP for the MX.

    Now, 199.27.135.100 belongs to a company call cloudflare which offers web site geo-caching and web app protection (I gather using a reverse proxy network, a large cache and a web IPS).

    Are you, perhaps, using that company services ? Or are you using their DNS service as a forwarder target in Astaro ?
  • 0
    Hi.
    I have nothing to do with that cloudflare company. I am not using any service from them. I have also checked the results manualy. This is setting from ASG:

    Test result from the computer behind ASG using same DNS server:
    nslookup - 212.111.0.10
    Default Server:  inext.inext.cz
    Address:  212.111.0.10

    > set type=MX
    > list.vyvojar.cz
    Server:  inext.inext.cz
    Address:  212.111.0.10

    Non-authoritative answer:
    list.vyvojar.cz MX preference = 100, mail exchanger = dm2.devmasters.cz
    list.vyvojar.cz MX preference = 10, mail exchanger = mail.vyvojar.cz

    vyvojar.cz      nameserver = ns1.vyvojar.cz
    vyvojar.cz      nameserver = ns2.ignum.cz
    mail.vyvojar.cz internet address = 77.93.208.15
    dm2.devmasters.cz       internet address = 89.185.242.249
    ns2.ignum.cz    internet address = 213.235.133.138

    And the result when I use ASG as DNS server:
    nslookup - 192.168.2.1
    Default Server:  UnKnown
    Address:  192.168.2.1

    > set type=MX
    > list.vyvojar.cz
    Server:  UnKnown
    Address:  192.168.2.1

    Non-authoritative answer:
    list.vyvojar.cz MX preference = 10, mail exchanger = mail.vyvojar.cz
    list.vyvojar.cz MX preference = 100, mail exchanger = dm2.devmasters.cz

    vyvojar.cz      nameserver = ns2.ignum.cz
    vyvojar.cz      nameserver = ns1.vyvojar.cz
    mail.vyvojar.cz internet address = 77.93.208.15
    dm2.devmasters.cz       internet address = 89.185.242.249
    ns1.vyvojar.cz  internet address = 89.185.242.249
    ns2.ignum.cz    internet address = 213.235.133.138

    The returned IP addresses are correct. MX records are correct and their addresses are correct.
  • 0
    Additional info. The mail was delivered after 9 hours. And now I am able to send messages to that address. I will keep it in sight. If the error appears again, I will check the DNS result immediatelly. 
    ...
    2011-01-19 21:31:21 list.vyvojar.cz [199.27.134.100]:25 Connection timed out
    2011-01-19 21:31:42 list.vyvojar.cz [199.27.135.100]:25 Connection timed out
    2011-01-19 21:31:42 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out
    2011-01-19 21:59:21 list.vyvojar.cz [194.212.229.231]:25 Connection timed out
    2011-01-19 21:59:21 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out
    2011-01-20 00:15:21 list.vyvojar.cz [194.212.229.231]:25 Connection timed out
    2011-01-20 00:15:21 win@list.vyvojar.cz R=dnslookup T=remote_smtp defer (110): Connection timed out
    2011-01-20 02:05:24 win@list.vyvojar.cz: remote_smtp transport succeeded to 77.93.208.15 (mail.vyvojar.cz)

    BTW: mxtoolbox also fails with 77.93.208.15 smtp test
  • 0
    I was going to suggest that this might be the result of a DNS change that was rolled back but, by looking at the SOA of the vyvojar.cz zone, it seems unlikely (the serial reads "2004161").

    So I don't know. I gather that the smtpd process got an incorrect answer initially and kept it in cache until the entry expired.
Cookie Information Banner