Re: [opensuse-es]Error con envio correo postfix
Active el log en mi ASA 5510 y encontré esto: Dropping TCP packet from metrointer:192.168.16.1/10970 to Outside:200.6.55.16/25, reason: MSS exceeded, MSS 536, data 1072 El 192.168.16.1 es mi equipo con linux que hace de smtp front end y está atras de mi asa 5510. Esto es problema de nosotros o de ellos. 2008/2/21 Alejandro González <alejandrocgch@gmail.com>:
Te lo agradezco voy a revisar
2008/2/20 Camaleón <noelamac@gmail.com>:
El 21/02/08, Alejandro González escribió:
Inicialmente era con un solo dominio, pero ellos tenian un problema con el dns reverso, ahora da esporádico pero hay bastante incidencia con un dominio, tengo bastantes timeout
(lost connection with bcrmail.bancentro.com.ni[200.85.167.74] while sending end of data -- message may be sent more than once) CRODRIGUEZ@seguroslafise.com.ni MBSOLIS@seguroslafise.com.ni
Una traza al dominio se me corta en 200.85.167.210. Ahí deben tener "algo" (cortafuegos). El servidor de correo lo gestiona un banco, tendrá una buena seguridad.
5C23618112B 2839 Sun Feb 17 12:22:11 MAILER-DAEMON (host mail-fwd.verio.de[128.241.52.1] said: 451 Could not load DRD (in reply to RCPT TO command)) shavuotip@showroominteriors.com
Este error es de otro tipo y no es tuyo.
8A6001810FF 157410 Fri Feb 15 09:39:36 DOchoa@metroseg.com (connect to financia.biz.com[65.116.138.236]: Connection timed out) mcabrera@financia.biz.com
Ese dominio no tiene entrada MX :-?
88F29181150 2881 Sun Feb 17 22:11:23 MAILER-DAEMON (host mail-fwd.mx.g19.rapidsite.net[199.239.254.18] said: 451 Could not load DRD (in reply to RCPT TO command)) lounge7@scopeseal.com
Este es el otro error.
89150181157 3801 Mon Feb 18 01:33:16 MAILER-DAEMON (connect to border.actioninc.com[76.231.186.234]: Connection timed out) _e_puentes@actioninc.com
Tampoco tiene entrada MX.
Hum...
El que más me interesa es un dominio en especifico con el cual tenemos una fuerte relacion, ellos tiene un pix de cisco pero no se que modelo es,
¡Ahh! ¿Has dicho un pix de Cisco? D'esos cortafuegos no te puedo decir gran cosa O:-), pero sí he leido algo en Postfix relacionado con los timeouts y esos chismes:
*** http://www.postfix.org/faq.html#timeouts
Mail fails consistently with timeout or lost connection
Every now and then, mail fails with "timed out while sending end of data -- message may be sent more than once", or with: "lost connection after DATA". Network outages happen, systems crash. There isn't much you can do about it. Usually the problem goes away by itself.
However, when you see mail deliveries fail consistently, you may have a different problem: broken path MTU discovery. Or it could be a broken PIX firewall.
Cisco PIX "fixup protocol smtp" bug The Cisco PIX firewall has a bug when running software older than version 5.2(4) or 6.0(1).
The bug ID is CSCds90792. The "fixup protocol smtp" feature does not correctly handle the case where the "." and the "CRLF" at the end of mail are sent in separate packets. ***
Mira a ver si no te está mordiendo en algún extremo ese bug :-/
tiene un exchange 2003, y tiene un appliance de mcafee para spam y viru,s nosotros tenemos un asa5510 de cisco y trenemos como gateway a postifx que viene con suse 10.2 como gateway y dentro de nuestra red tenemos un excahnge 2007, nosotros tenemos tambien un applaince de mcafee para spam y virus pero este esta detras de linux entre linux y exchange.
Entran en juego muchas aplicaciones, podría ser cualquiera (el exchange o el mcafee)... pero revisa lo del cisco, primero, para descartar al culpable más probable :-).
Saludos,
-- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 28/02/08, Alejandro González escribió:
Active el log en mi ASA 5510 y encontré esto:
Dropping TCP packet from metrointer:192.168.16.1/10970 to Outside:200.6.55.16/25, reason: MSS exceeded, MSS 536, data 1072
De este mensaje que te saca interpreto que el asa ha recibido un paquete de un tamaño mayor que el que tiene definido y lo rechaza (dropping). Pero tampoco me hagas mucho caso porque no sé cómo van los Cisco y podría estar pasando por alto alguna otra cosa, como por ejemplo, el significado de MSS O:-) De todas formas, mira a ver si el cacharrín del asa te permite configurar alguna regla o política (o como se llame :-P) para aceptar estos paquetes, quizá sea un parámetro configurable y lo puedas aumentar... Ah... bendito Google. Mira, buscando por MSS encontré una faq de Cisco, que aunque se aplica a la navegación web y a una versión de asa distinta, quizá te sirva: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note0918... Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-02-28 a las 08:35 +0100, Camaleón escribió:
Dropping TCP packet from metrointer:192.168.16.1/10970 to Outside:200.6.55.16/25, reason: MSS exceeded, MSS 536, data 1072
De este mensaje que te saca interpreto que el asa ha recibido un paquete de un tamaño mayor que el que tiene definido y lo rechaza (dropping).
Pero tampoco me hagas mucho caso porque no sé cómo van los Cisco y podría estar pasando por alto alguna otra cosa, como por ejemplo, el significado de MSS O:-)
De todas formas, mira a ver si el cacharrín del asa te permite configurar alguna regla o política (o como se llame :-P) para aceptar estos paquetes, quizá sea un parámetro configurable y lo puedas aumentar...
Ah... bendito Google. Mira, buscando por MSS encontré una faq de Cisco, que aunque se aplica a la navegación web y a una versión de asa distinta, quizá te sirva:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note0918...
¡Caraio! This document addresses the problem when some websites are not accessible through a PIX or Adaptive Security Appliance (ASA) that runs 7.0 or later code. The 7.0 release introduces several new security enhancements, one of which is a check for TCP endpoints which adhere to the advertised Maximum Segment Size (MSS). In a normal TCP session, the client sends a SYN packet to the server, with the MSS included within the TCP options of the SYN packet. The server, upon receipt of the SYN packet, should recognize the MSS value sent by the client and then send its own MSS value in the SYN-ACK packet. Once both the client and the server are aware of each other's MSS, neither peer should send a packet to the other that is greater than that peer's MSS. A discovery has been made that there are a few HTTP servers on the Internet that do not honor the MSS that the client advertises. Subsequently, the HTTP server sends data packets to the client that are larger than the advertised MSS. Before release 7.0, these packets were allowed through the PIX Security Appliance. With the security enhancement included in the 7.0 software release, these packets are dropped by default. This document is designed to assist the PIX/ASA Security Appliance administrator in the diagnosis of this problem and the implementation of a workaround to allow the packets that exceed the MSS. ¿Que ventaja tiene ser tan estricto? ¿Porqué pondrán ese filtro? - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHxpYGtTMYHG2NR9URAkidAKCWpb8Ie1/P944h3FafxLhlCaCHSQCeJci8 wXatMmQ7fvr1U3XGxVtGz6o= =WLXG -----END PGP SIGNATURE-----
2008/2/28, Carlos E. R.:
¡Caraio!
This document addresses the problem when some websites are not accessible through a PIX or Adaptive Security Appliance (ASA) that runs 7.0 or later code.
(...)
¿Que ventaja tiene ser tan estricto? ¿Porqué pondrán ese filtro?
Mientras sea un parámetro estándar y documentado... a ver, en la wiki lo explican: http://en.wikipedia.org/wiki/Maximum_segment_size Parece un parámetro para optimizar la comunicación en el envío de datos, evitar la fragmentación de los paquetes y la ralentización... es hilar muy fino, pero, chico, esos chismes de Cisco son "mucho chisme" :-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-02-28 a las 21:25 +0100, Camaleón escribió:
2008/2/28, Carlos E. R.:
¡Caraio!
This document addresses the problem when some websites are not accessible through a PIX or Adaptive Security Appliance (ASA) that runs 7.0 or later code.
(...)
¿Que ventaja tiene ser tan estricto? ¿Porqué pondrán ese filtro?
Mientras sea un parámetro estándar y documentado... a ver, en la wiki lo explican:
http://en.wikipedia.org/wiki/Maximum_segment_size
Parece un parámetro para optimizar la comunicación en el envío de datos, evitar la fragmentación de los paquetes y la ralentización... es hilar muy fino, pero, chico, esos chismes de Cisco son "mucho chisme" :-)
Ya se que hilan fino, pero... es que lo plantean como parte de un filtro de seguridad; yel problema, según esa lectura, aplica a algunos servidores web. Supongo que si un paquete supera el tamaño acordado, y eso está en los RFC, también dirá lo que hay que hacer en caso de que se supere. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHxzjytTMYHG2NR9URAoM2AJ91UwH0sQnXgfP6KIQfvPnG7ltYFACghKbl egqIVv86EhY9KnRUJyM+AV4= =IWab -----END PGP SIGNATURE-----
El 28/02/08, Carlos E. R. escribió:
Ya se que hilan fino, pero... es que lo plantean como parte de un filtro de seguridad; yel problema, según esa lectura, aplica a algunos servidores web.
Me parece normal... muchas aplicaciones vienen ya preparadas para estas cosas, cortafuegos, servidores web, ¿por qué no el asa de Cisco? :-? Por ejemplo, al iniciar suse te aparece un mensaje que dice "enabling syn flood protection" ;-)
Supongo que si un paquete supera el tamaño acordado, y eso está en los RFC, también dirá lo que hay que hacer en caso de que se supere.
Pues eso dependerá del administrador, si lo quiere activar, desactivar, ajustar o configurar... como hay quien tiene activado el cortafuegos y hay quien no lo tiene, es una opción más, depende de cada cuál usarla o no. Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2008-02-28 a las 23:52 +0100, Camaleón escribió:
El 28/02/08, Carlos E. R. escribió:
Por ejemplo, al iniciar suse te aparece un mensaje que dice "enabling syn flood protection" ;-)
Sí, pero es para evitar un bombardeo.
Supongo que si un paquete supera el tamaño acordado, y eso está en los RFC, también dirá lo que hay que hacer en caso de que se supere.
Pues eso dependerá del administrador, si lo quiere activar, desactivar, ajustar o configurar... como hay quien tiene activado el cortafuegos y hay quien no lo tiene, es una opción más, depende de cada cuál usarla o no.
Me refiero a que en comunicaciones, si se recibe un paquete erróneo se pide retransmisión. En los modems, si a mitad de un fichero aumentan los errores, automáticamente se envía trozos más pequeños para disminuir el tamaño de las retransmisiones. Yo creo que si está previsto limitar el tamaño de la carga de datos de las aplicaciones para ajustarse al tamaño máximo del tamaño del payload en la capa de transporte o de red, también debe estar previsto la renegociación y el poder decirle al remitente que se ha pasado de bytes, sin cortarle la transmisión. Digo, pero no lo se. Hago suposiciones. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.4-svn0 (GNU/Linux) iD8DBQFHx0K2tTMYHG2NR9URAm2NAJ9jZ+K0/rrtq1rmyOsA9F1Oves+aQCeMRto 6EdtyvUWNpWemuowUwcn03w= =1xKl -----END PGP SIGNATURE-----
El 29/02/08, Carlos E. R. escribió:
Sí, pero es para evitar un bombardeo.
"Pos" ésto es para evitar "lentitudes" :-P
Me refiero a que en comunicaciones, si se recibe un paquete erróneo se pide retransmisión. En los modems, si a mitad de un fichero aumentan los errores, automáticamente se envía trozos más pequeños para disminuir el tamaño de las retransmisiones.
Ya. Pero creo que Cisco no va desencaminada al activarlo de manera predeterminada. Lo habitual entre "protocolos" es que al dialogar se definan ambos las capacidades que soportan. Imagina que el cliente le dice al ASA, "eh, yo cumplo con el MSS" cuando realmenente no es así o no lo hace al 100%. Es en esos casos donde "casca" el Cisco (pero no por su culpa) y rechaza el paquete, según esté configurado.
Yo creo que si está previsto limitar el tamaño de la carga de datos de las aplicaciones para ajustarse al tamaño máximo del tamaño del payload en la capa de transporte o de red, también debe estar previsto la renegociación y el poder decirle al remitente que se ha pasado de bytes, sin cortarle la transmisión.
Digo, pero no lo se. Hago suposiciones.
Pues quizá lo que dices sea una opción que se pueda configurar en el ASA. El mensaje decía "dropping", pero quizá se pueda configurar el Cisquito para que diga "your're wellcome, but next time i'll drop you" X-) Saludos, -- Camaleón --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (3)
-
Alejandro González -
Camaleón -
Carlos E. R.