[Решено] письма с вложением (не уходят, без вложения — улетают)

[FreeOwl]

прошу помощи со следующей проблемой - не уходят письма с вложением, могут висеть очень долго, пол-часа, час. В конце-концов могут уйти. Thunderbird - может выдать ошибку типа истекло время ожидания. Outlook "0x800CCC08 - неизвестная ошибка". Без вложения — улетают. С сервера, mutt отправил без проблем.

Так как офис "удалённый", попробовал создать аналог сети в VirtualBox с аналогичными настройками сети (сервера и т.д.) - письма уходят как положено.
Конфиги сервера привожу:
Сеть:
ifconfig

Spoiler

# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0d:88:4f:fe:5f
inet addr:1.22.333.190 Bcast:1.22.333.191 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5674205 errors:0 dropped:0 overruns:0 frame:0
TX packets:4841089 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:5971139604 (5.5 GiB) TX bytes:1955736558 (1.8 GiB)
Interrupt:17 Base address:0xe800

eth1 Link encap:Ethernet HWaddr bc:ae:c5:ae:85:30
inet addr:192.168.111.1 Bcast:192.168.111.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4904110 errors:0 dropped:1 overruns:0 frame:0
TX packets:7658493 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:1982519382 (1.8 GiB) TX bytes:8427524323 (7.8 GiB)
Interrupt:41 Base address:0xe000

Сервер: Linux ics 3.2.0-4-amd64 #1 SMP Debian 3.2.60-1+deb7u1 x86_64 GNU/Linu
DHCP

Spoiler

option domain-name "suboffice.local";

# dns сервера выдаваемые клиентам
option domain-name-servers 192.168.111.1;

# Основной шлюз
option routers 192.168.111.1;

# broadcast адрес — не меняйте, если не знаете что это такое.
option broadcast-address 192.168.111.255;

# ntp серверы для dhcp клиентов.Указывать при необходимости
option ntp-servers 192.168.111.1;

#На сколько выдаём адрес
default-lease-time 86400;
max-lease-time 86400;

#Делаем сервер авторитативным
authoritative;
log-facility local7;

#option custom-proxy-server "http://ics.suboffice.local/wpad.dat";
#option wpad code 252;
#"http://ics.suboffice.local/wpad.dat";
#option wpad code 252 = text;
#"http://ics.suboffice.local/wpad.dat";

option local-pac-server code 252 = text;
option local-pac-server "http://ics.suboffice.local/wpad.dat";
# - See more at: http://agix.com.au/blog/?p=912#sthash.QnrSkORU.dpuf

# указываем подсеть, из которой будут выдаваться IP адреса.
subnet 192.168.111.0 netmask 255.255.255.0
{
range 192.168.111.100 192.168.111.150;
}

#для хостов которым требуются постоянные ip адреса создаем следующие записи
host admin_notebook { # имя хоста
hardware ethernet 00:16:d4:b2:78:42; # MAC адрес сетевой карты хоста
fixed-address 192.168.111.7; # ip адрес для этого хоста
}

DNS
named.conf.local

Spoiler

//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "suboffice.local" {
type master;
file "/etc/bind/db.suboffice.local";
};

zone "111.168.192.in-addr.arpa" {
type master;
file "/etc/bind/111.168.192.in-addr.arpa.zone";
};

named.conf.options

Spoiler

acl suboffice {192.168.111.0/24; 127.0.0.1; };
options {
directory "/var/cache/bind";

//========================================================================
// If BIND logs error messages about the root key being expired,
// you will need to update your keys. See https://www.isc.org/bind-keys
//========================================================================
dnssec-validation auto;

auth-nxdomain no; # conform to RFC1035
listen-on-v6 { none; };
allow-query { suboffice; };
};

db.suboffice.local

Spoiler

$TTL 30
$ORIGIN suboffice.local.

@ IN SOA dns.suboffice.local. admin.suboffice.net. (
2014031804 ;Serial
1d ;Refresh
1h ;Retry
1w ;Expire
2h ) ;Negative Cache TTL
;
@ IN NS dns.suboffice.local.
@ IN A 192.168.111.1

ics IN A 192.168.111.1
dns IN A 192.168.111.1
pma IN A 192.168.111.1
ats IN A 192.168.111.1
nut IN A 192.168.111.1
ups CNAME nut

111.168.192.in-addr.arpa.zone

Spoiler

$TTL 30
$ORIGIN 111.168.192.in-addr.arpa.

@ IN SOA dns.suboffice.local. admin.suboffice.ru. (
2014031804 ;Serial
1d ;Refresh
1h ;Retry
1w ;Expire
2h) ;Negative Cache TTL
;
NS dns.suboffice.local.

1 PTR ics.suboffice.local.

iptables

Spoiler

#!/bin/bash
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

#MProbe=`which modprobe`
#path2ipt=`which iptables`
MProbe='/sbin/modprobe'
path2ipt='/sbin/iptables'

$MProbe iptable_nat
$MProbe ip_conntrack_ftp
$MProbe ip_nat_ftp
$MProbe ip_conntrack

$MProbe nf_nat_pptp
$MProbe nf_conntrack_pptp
$MProbe nf_conntrack_proto_gre
$MProbe nf_nat_proto_gre

$MProbe ipt_LOG

#чистим правила
$path2ipt -F
$path2ipt -F -t nat
$path2ipt -F -t mangle
$path2ipt -X
$path2ipt -t nat -X
$path2ipt -t mangle -X


#extIP1=85.90.101.162
#extIP2=85.90.101.163
extIP1=1.22.333.190
#extIP2=79.98.210.67
extIF=eth0

intIP=192.168.111.1
intIF=eth1

intLAN='192.168.111.1/24'

portSSH=60022


$path2ipt -t nat -A POSTROUTING -s 192.168.111.113 -o $extIF -j MASQUERADE
# выпускаем почту 25,110,587,143,993,995,465
#$path2ipt -t nat -A POSTROUTING -p tcp -m multiport --dports 443,25,110,587,143,993,995,465 -o $extIF -j LOG --log-prefix "IPTables_MAIL: "
#$path2ipt -t nat -A POSTROUTING -p udp -m multiport --dports 443,25,110,587,143,993,995,465 -o $extIF -j LOG --log-prefix "IPTables_MAIL: "
$path2ipt -t nat -A POSTROUTING -p tcp -m multiport --dports 25,443,110,587,143,993,995,465 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -p udp -m multiport --dports 25,443,110,587,143,993,995,465 -o $extIF -j MASQUERADE

# для PPTP
$path2ipt -A INPUT -i $extIF -p gre -j ACCEPT
$path2ipt -A INPUT -i $extIF -m tcp -p tcp --dport 1723 -j ACCEPT
$path2ipt -A FORWARD -p gre -j ACCEPT

# Avira - IP обновления
$path2ipt -t nat -A POSTROUTING -d 87.248.203.0/24 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d 188.43.72.0/24 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d 188.43.73.0/24 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d 68.142.122.0/24 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d 212.30.134.0/24 -o $extIF -j MASQUERADE

# обновления ClamAV (QNAP TS-220)
$path2ipt -t nat -A POSTROUTING -s 192.168.111.205 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d 194.109.142.194 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d ds049.xs4all.nl -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d 84.17.12.94 -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d obelix.schaal-24.de -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d ost.citrin.ru -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d clamav-mirror.co.ru -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d shergin.ru -o $extIF -j MASQUERADE
$path2ipt -t nat -A POSTROUTING -d clamav-mirror.unix.su -o $extIF -j MASQUERADE

# в Центарльный офис - всегда без пароля
#$path2ipt -t nat -A POSTROUTING -d 44.33.22.66/29 -o $extIF -j LOG --log-prefix "myIPTables_BORGES: "
$path2ipt -t nat -A POSTROUTING -d 44.33.22.66/29 -o $extIF -j MASQUERADE

# Банк-Клиент
#nat pass on $ext_if from 192.168.111.13 to 80.254.109.30 -> $ext_if
#nat pass on $ext_if inet proto udp from 192.168.111.13 to any port 87 -> $ext_if
$path2ipt -t nat -A POSTROUTING -s 192.168.111.13 -d 193.169.93.43 -o $extIF -j MASQUERADE

# Выпускаем подключенных по VPN(pptp)
# Диапазон равен значению remoteip (192.168.111.153-158) в файле /etc/pptpd.conf
$path2ipt -t nat -A POSTROUTING -s 192.168.111.152/29 -o $extIF -j MASQUERADE

#пропускаем установленные и запрошенные установленными
$path2ipt -I INPUT -i $extIF -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

#пропускаем 60022 порт SSH
$path2ipt -A INPUT -i $extIF -p tcp --dport $portSSH -j ACCEPT

#разрешаем синхронизацию часов
$path2ipt -A INPUT -p udp -i $intIF -m udp --dport 123 -j ACCEPT

#блокируем пинг на внешнем
$path2ipt -A INPUT -d $extIP1 -p icmp --icmp-type echo-request -j DROP

#логируем всё
#$path2ipt -A INPUT -i $extIF -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options --log-prefix "IPTables: "

#отвергаем всё
$path2ipt -A INPUT -i $extIF -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j REJECT --reject-with icmp-port-unreachable
$path2ipt -A INPUT -i $extIF -p udp -j REJECT

SQUID3 (+SAMS)

Spoiler

# cat squid3/squid.conf |egrep -v '^#|^$'
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/ncsa.sams
auth_param basic children 5
auth_param basic realm =BLOKNOTE Internet Control Server=
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl manager proto cache_object
acl webserver src 192.168.111.1/32
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.111.0/24
acl windowsupdate dstdomain -i "/etc/squid3/freesites.lst"
acl windowsupdate dstdomain 188.43.72.0/24
acl windowsupdate dstdomain 87.248.203.0/24
acl CONNECT method CONNECT
acl wuCONNECT dstdomain www.update.microsoft.com
acl wuCONNECT dstdomain sls.microsoft.com
no_cache deny windowsupdate
acl _sams_default proxy_auth "/etc/squid3/default.sams"
acl _sams_3c3132fb9c9d7 proxy_auth "/etc/squid3/3c3132fb9c9d7.sams"
acl _sams_5355feb1416ee proxy_auth "/etc/squid3/5355feb1416ee.sams"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
http_access allow manager webserver
http_access allow CONNECT wuCONNECT localnet
http_access allow windowsupdate localnet
http_access allow CONNECT wuCONNECT localhost
http_access allow windowsupdate localhost
http_access allow _sams_default
http_access allow _sams_3c3132fb9c9d7
http_access allow _sams_5355feb1416ee
http_access allow manager
http_access allow localhost
http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
redirector_access deny localhost
redirector_access deny webserver
redirector_access deny windowsupdate
http_access deny all
http_access allow _sams_default
http_access allow _sams_3c3132fb9c9d7
http_access allow _sams_5355feb1416ee
http_port 192.168.111.1:3128
cache_mem 256 MB
maximum_object_size_in_memory 512 KB
cache_dir ufs /var/spool/squid3 5000 32 512
maximum_object_size 4096 KB
cache_swap_low 90
cache_swap_high 95
pid_filename /var/run/squid.pid
coredump_dir /var/spool/squid3
url_rewrite_program /usr/local/bin/samsredir
url_rewrite_children 5
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
visible_hostname ics.suboffice.local
delay_pools 3
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_access 1 allow _sams_3c3132fb9c9d7
delay_access 1 deny all
delay_parameters 1 52428800/52428800 52428800/52428800
delay_access 2 allow _sams_5355feb1416ee
delay_access 2 deny all
delay_parameters 2 10000000/10000000 10000000/10000000
delay_access 3 allow _sams_default
delay_access 3 deny all
delay_parameters 3 5242880/5242880 5242880/5242880
error_directory /usr/share/squid3/errors/ru/
error_default_language ru
error_log_languages on
email_err_data on
dns_nameservers 127.0.0.1
forwarded_for off

[McSim]

Интернет к вам как приходит? *DSL?
С другими приложениями есть проблемы?
Попробуйте проверить прохождение пакетов с разным MTU до шлюза провайдера и дальше.

[FreeOwl]

Интернет к вам как приходит? *DSL?

нет. lan 10mb/s + ip телефония этим же каналом. но мой шлюз(сервер) стоит после оборудования(свич) провайдера

С другими приложениями есть проблемы?

нет. и эта проблема появилась недавно. год проработал без проблем

Попробуйте проверить прохождение пакетов с разным MTU до шлюза и дальше.

ping от клиента до сервера.

Spoiler

c:\Users>ping 192.168.111.1 -f -l 1474

Обмен пакетами с 192.168.111.1 по с 1474 байтами данных:
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.
Требуется фрагментация пакета, но установлен запрещающий флаг.

Статистика Ping для 192.168.111.1:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

c:\Users>ping 192.168.111.1 -f -l 1472

Обмен пакетами с 192.168.111.1 по с 1472 байтами данных:
Ответ от 192.168.111.1: число байт=1472 время<1мс TTL=64
Ответ от 192.168.111.1: число байт=1472 время<1мс TTL=64
Ответ от 192.168.111.1: число байт=1472 время<1мс TTL=64
Ответ от 192.168.111.1: число байт=1472 время<1мс TTL=64

Статистика Ping для 192.168.111.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

McSim,а можно немного подроблностей, что из этого следует? (лучше своими словами, но можно и ссылку)
а ещё вот такой косячёк на сервере:

Код: Выделить всё

# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether bc:ae:c5:ae:85:30 brd ff:ff:ff:ff:ff:ff
    inet 192.168.111.1/24 brd 192.168.111.255 scope global eth1
3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:0d:88:4f:fe:5f brd ff:ff:ff:ff:ff:ff
    inet 1.22.333.190/30 brd 1.22.333.191 scope global eth0

state UNKNOWN

ошибка outlook-а

Задача 'user@corpmail.net - отправка' сообщила об ошибке (0x8004210B) : 'Для операции истекло время ожидания отклика отправляющего (SMTP) сервера. Если вы продолжаете получать это сообщение, обратитесь к администратору сервера или поставщику услуг Интернета.'

[McSim]

Для локальной сети размер 1472 - это нормально. + 28 байт заголовков пакета\кадра итого получается 1500.
Проверьте с проблемного компа проходит ли данный пинг до, например, 8.8.8.8?

[FreeOwl]

Для локальной сети размер 1472 - это нормально. + 28 байт заголовков пакета\кадра итого получается 1500.
Проверьте с проблемного компа проходит ли данный пинг до, например, 8.8.8.8?

да проходит и tracert тоже, и до двух корпоративных смтп серверов тоже. почтовые сервера разные, один mastername.ru другой "собственный". вне этого офиса работает замечательно!

[Hephaestus]

не уходят письма с вложением, могут висеть очень долго, пол-часа, час.

А в логах iptables что-нибудь видно по этому поводу?
Я имею в виду записи, касающиеся конкретно вот этих "почтовых" пакетов.


И, кстати, вообще в логах отражается как-нибудь эта проблема?

[FreeOwl]

не уходят письма с вложением, могут висеть очень долго, пол-часа, час.

А в логах iptables что-нибудь видно по этому поводу?
Я имею в виду записи, касающиеся конкретно вот этих "почтовых" пакетов.


И, кстати, вообще в логах отражается как-нибудь эта проблема?

подскажиет как добавить вывод в лог, пожалуйста.

а в выводе tcpdump на внутреннем интерфейсе

Код: Выделить всё

# tcpdump -nvvvpi eth1 tcp and port smtp and src 192.168.111.110
...
11:08:45.570848 IP (tos 0x0, ttl 128, id 22268, offset 0, flags [DF], proto TCP (6), length 2960)
    192.168.111.110.50561 > 11.22.33.68.25: Flags [.], cksum 0x5d40 (incorrect -> 0xdeba), seq 21562:24482, ack 2421, win 63506, length 2920
...

паралельно смотрел на , внешнем никаких incorrect нет

сетевая карта дохнет?

[Hephaestus]

подскажиет как добавить вывод в лог, пожалуйста.

Мда...
Ну, для iptables у Вас в конфиге есть строчка (правда, закомментированная).

#логируем всё
#$path2ipt -A INPUT -i $extIF -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options --log-prefix "IPTables: "

Странно, если Вы этого не знаете.
Или это всё не Ваше хозяйство, не Вы настраивали?

Насчет остальных логов сходу не подскажу - мне пока не ясно, как именно отправляются у Вас эти письма.
Я не вижу среди Ваших конфигов настроек почты.
Если у Вас собственный mail-сервер, то ему и надо настраивать логи.
Если сторонний, то какой именно?

[FreeOwl]

подскажиет как добавить вывод в лог, пожалуйста.

Мда...
Ну, для iptables у Вас в конфиге есть строчка (правда, закомментированная).

#логируем всё
#$path2ipt -A INPUT -i $extIF -p tcp -m tcp --tcp-flags FIN,SYN,ACK SYN -j LOG --log-level 7 --log-tcp-options --log-prefix "IPTables: "

Странно, если Вы этого не знаете.
Или это всё не Ваше хозяйство, не Вы настраивали?

больше года назад настраивал, она закоментирована, а я не доглядел...
вот вывод...весьма интеренсный, с китайскими IP

Код: Выделить всё

Jul 16 11:43:35 ics kernel: [220073.283210] IPTables: IN=eth0 OUT= MAC=00:0d:88:4f:fe:5f:64:87:88:5f:10:80:08:00 SRC=61.174.51.222 DST=1.22.33.190 LEN=40 TOS=0x00 PREC=0x00 TTL=92 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 16 11:47:09 ics kernel: [220287.730390] IPTables: IN=eth0 OUT= MAC=00:0d:88:4f:fe:5f:64:87:88:5f:10:80:08:00 SRC=93.174.93.218 DST=1.22.33.190 LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=54321 PROTO=TCP SPT=37801 DPT=21320 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 16 11:53:08 ics kernel: [220646.189767] IPTables: IN=eth0 OUT= MAC=00:0d:88:4f:fe:5f:64:87:88:5f:10:80:08:00 SRC=222.186.34.143 DST=1.22.33.190 LEN=40 TOS=0x00 PREC=0x00 TTL=93 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 16 11:53:34 ics kernel: [220672.632922] IPTables: IN=eth0 OUT= MAC=00:0d:88:4f:fe:5f:64:87:88:5f:10:80:08:00 SRC=61.174.50.184 DST=1.22.33.190 LEN=40 TOS=0x00 PREC=0x00 TTL=92 ID=256 PROTO=TCP SPT=6000 DPT=22 WINDOW=16384 RES=0x00 SYN URGP=0

мой внешний 1.22.33.190 (изменил в целях конспирации )) )

Насчет остальных логов сходу не подскажу - мне пока не ясно, как именно отправляются у Вас эти письма.
Я не вижу среди Ваших конфигов настроек почты.
Если у Вас собственный mail-сервер, то ему и надо настраивать логи.
Если сторонний, то какой именно?

сторонние (2шт) - один мастермайл(мастерхост), второй в основном офисе на базе ideco. с серверами всё нормально, так как вне этого офиса всё отлично работает.

[Bizdelnick]

Речь об отправке писем через конкретный сервер или через любой?

[FreeOwl]

Речь об отправке писем через конкретный сервер или через любой?

любой.

[Bizdelnick]

А может причина быть на стороне клиентов? Что там за софт стоит? Может, у всех один и тот же антивирус/файрвол, который хулиганит?

Информация для размышления: https://bugzilla.mozilla.org/show_bug.cgi?id=541367 - там упоминается много возможных причин подобного поведения. Ну и http://kb.mozillazine.org/Can_not_send_large_attachments.

[FreeOwl]

А может причина быть на стороне клиентов? Что там за софт стоит? Может, у всех один и тот же антивирус/файрвол, который хулиганит?

Информация для размышления: https://bugzilla.mozilla.org/show_bug.cgi?id=541367 - там упоминается много возможных причин подобного поведения. Ну и http://kb.mozillazine.org/Can_not_send_large_attachments.

антивирус действительно один и тот же - avira.Но! я привёз свой "нубук" на котором почта работала везде, а в этом офисе - увы, без вложения - всё хорошо, с вложением в течении получаса уходят письма. почтовики - Outlook, Thunderbird.

причина видимо в сервере таки. мало вероятно что в свичах (моих, провайдера...) да и потом, письма таки уходят... оутлук покажет раз 5-6 ошибку (например 0x800CCC0F), а в итоге отправит письмо...

дополнение к "загадке":
создал письмо с вложением (нажал кнопку "Вложить файл" ) в виде картинки - не ушло...
создал пиьсмо в тело вставил картинку (нажад кнопку "вставить рисунок из файла") - улетело!

[Hephaestus]

без вложения - всё хорошо, с вложением в течении получаса уходят письма. почтовики - Outlook, Thunderbird.

Размер вложения любой? Попробуйте маленький текстовый файл, буквально в пару слов.

[FreeOwl]

без вложения - всё хорошо, с вложением в течении получаса уходят письма. почтовики - Outlook, Thunderbird.

Размер вложения любой? Попробуйте маленький текстовый файл, буквально в пару слов.

до ~30кб - уходят нормально.


При подключении к этой сети по VPN (pptp), так сказать из внешнего мира, почта уходит

UPD люди добрые, скажите, а чисто в теории, виной может быть "FriendlyNET GX5-424W", в смысле свич?

[stannum]

На то может быть две причины (исключительно из личного опыта)
1. У вас используется CISCO ASA (Файрвол) и на нем включен SMTP Inspector
2. Проблема с ICMP:
Суть MTU Blackhole
А возникает он потому, что у вас закрыты ICMP, в частности ICMP TYPE 3
ICMP TYPEs
лечится так:

Код: Выделить всё

 iptables -I  INPUT -p icmp --icmp-type 3 -j ACCEPT

В обоих случаях в логах Postfix будет писаться для неотправленнных писем что-то вроде Timeout while sending message body

[FreeOwl]

На то может быть две причины (исключительно из личного опыта)
1. У вас используется CISCO ASA (Файрвол) и на нем включен SMTP Inspector
2. Проблема с ICMP:
Суть MTU Blackhole
А возникает он потому, что у вас закрыты ICMP, в частности ICMP TYPE 3
ICMP TYPEs
лечится так:

Код: Выделить всё

 iptables -I  INPUT -p icmp --icmp-type 3 -j ACCEPT

В обоих случаях в логах Postfix будет писаться для неотправленнных писем что-то вроде Timeout while sending message body

CISCO - у меня нет, у провайдера скорее всего есть... но сомневаюсь что они там что-то "мутят"...

в логах постфикса есть "что-то вроде" этого:

Код: Выделить всё

timeout after DATA (40957 bytes) from unknown[внешний.ип]

только не помог "рецепт"

[stannum]

Попробуйте тогда добавить разрешающее правило в самое начало INPUT и OUTPUT
Если письма уйдут, то значит проблема все же с iptables

Shell

# iptables -I INPUT -j ACCEPT # iptables -I OUTPUT -j ACCEPT

[FreeOwl]

Попробуйте тогда добавить разрешающее правило в самое начало INPUT и OUTPUT
Если письма уйдут, то значит проблема все же с iptables

Shell

# iptables -I INPUT -j ACCEPT # iptables -I OUTPUT -j ACCEPT

не похоже

Код: Выделить всё

# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:1723
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:61379
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:123
LOG        tcp  --  0.0.0.0/0            0.0.0.0/0            tcpflags: 0x13/0x02 LOG flags 2 level 7 prefix "IPTables: "

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     47   --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

а воз и ныне там

[stannum]

Давайте выясним все детально:
1. Вы отправляете через Outlook почту на свой linux-mailserver, по SMTP (port 25) и получаете ошибку в клиенте
2. Отправляете (релеите) почту, которая получена от клиентов в интернет через свой linux-mailserver.и получаете ошибку

Если имеет место п.1
настройте Outlook на использование какого нибудь mail.ru/gmail.com ящика, если ошибка повторяется, значит скорее всего проблема на железке, которая стоит между клиенами и mail-server'ами

Всё, что делали до этого относилось к п.2

[FreeOwl]

Давайте выясним все детально:
1. Вы отправляете через Outlook почту на свой linux-mailserver, по SMTP (port 25) и получаете ошибку в клиенте
2. Отправляете (релеите) почту, которая получена от клиентов в интернет через свой linux-mailserver.и получаете ошибку

Если имеет место п.1
настройте Outlook на использование какого нибудь mail.ru/gmail.com ящика, если ошибка повторяется, значит скорее всего проблема на железке, которая стоит между клиенами и mail-server'ами

Всё, что делали до этого относилось к п.2

если схематично, то используется два сервера...

Код: Выделить всё

[оутлук/тандербёрт] \                                                    / -> почтовый сервер1
[оутлук/тандербёрт] | -> через интернет-линукс сервер (иптайбл,сквид) ->|
[оутлук/тандербёрт] /                                                    \ -> почтовый сервер2

[FreeOwl]

решение

Код: Выделить всё

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1440