Как решить проблему таймаута в проверке spamassassin?

Question

[Dorothy]

Здравствуйте.

У меня почтовый сервер на CentOS 7 из Exim + Dovecot + Spamassassin v3.4.0, панель управления VestaCP.
Всё работает хорошо, кроме долгой 10-11 секундной проверки письма спамассасином.

По дебаг логу spamassasin'а видно, что проблема на DNS запросе, на первой строчке, который завершается по таймауту через 10 секунд (3-я строчка) и тем самым вызывая долгую проверку и провал теста DKIM:

Sun Jul 14 14:47:12 2019 [94687] dbg: dkim: performing public key lookup and signature verification
Sun Jul 14 14:47:22 2019 [94687] dbg: dkim: DKIM, i=@yandex.ru, d=yandex.ru, s=mail, a=rsa-sha256, c=relaxed/relaxed, invalid, matches author domain
Sun Jul 14 14:47:22 2019 [94687] dbg: dkim: signature verification result: INVALID (PUBLIC KEY: DNS QUERY TIMEOUT FOR MAIL._DOMAINKEY.YANDEX.RU)
Sun Jul 14 14:47:22 2019 [94687] dbg: dkim: adsp: performing lookup on _adsp._domainkey.yandex.ru
Sun Jul 14 14:47:22 2019 [94687] dbg: dkim: adsp result: U/unknown (dns: unknown), author domain 'yandex.ru'
Sun Jul 14 14:47:22 2019 [94687] dbg: spf: checking to see if the message has a Received-SPF header that we can use
Sun Jul 14 14:47:22 2019 [94687] dbg: spf: checking HELO (helo=forward400j.mail.yandex.net, ip=5.45.198.245)
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: bgsend,  DNS servers: [8.8.8.8]:53, [8.8.4.4]:53
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: attempt 1/2, trying connect/sendto to [8.8.8.8]:53
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: providing a callback for id: 49973/IN/SPF/forward400j.mail.yandex.net
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: dns reply 690 is OK, 4 answer records
Sun Jul 14 14:47:22 2019 [94687] dbg: async: calling callback on key dns:A:yandex.ru
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: hit <dns:yandex.ru> 5.255.255.5
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: hit <dns:yandex.ru> 77.88.55.50
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: hit <dns:yandex.ru> 77.88.55.88
Sun Jul 14 14:47:22 2019 [94687] dbg: dns: hit <dns:yandex.ru> 5.255.255.88

Если делать искусственную проверку на том же самом письме, то все отрабатывается быстро и проверка DKIM проходит успешно:

# spamassassin -t -D dkim < /home/admin/mail/domain/user/cur/messageId
Jul 14 20:46:49.922 [24398] dbg: dkim: using Mail::DKIM version 0.39
Jul 14 20:46:49.923 [24398] dbg: dkim: performing public key lookup and signature verification
Jul 14 20:46:49.962 [24398] dbg: dkim: DKIM, i=@yandex.ru, d=yandex.ru, s=mail, a=rsa-sha256, c=relaxed/relaxed, pass, matches author domain
Jul 14 20:46:49.962 [24398] dbg: dkim: signature verification result: PASS

Как победить эту проблему?

Answer 1

[Владимир Дубровин]

Убедись, что у тебя
1. не фильтруется DNS трафик по TCP (порт 53/tcp) на внешние DNS-серверы (
host -T -tA yandex.ru ns1.yandex.ru
и

host -T -tTXT MAIL._DOMAINKEY.YANDEX.RU ns1.yandex.ru

для полноты картины)
2. нет проблем с MTU и проходят большие пакеты с внешними DNS-серверами (
ping -s4096 ns1.yandex.ru
)
3. Не испольузется публичный резолвер типа 8.8.8.8. Для любых "боевых" серверов лучше поднимать собственный резолвер, обычно локальный, на публичных могут быть рейтлимиты.
4. Что у тебя нет открытого резолвера который может быть использован для усиления трафика, возможно через тебя идет DDoS и поэтому часть TXT-запросов блокируется

Comments

[Dorothy]

1.

# host -T -tA yandex.ru ns1.yandex.ru
Using domain server:
Name: ns1.yandex.ru
Address: 213.180.193.1#53
Aliases:

yandex.ru has address 5.255.255.60
yandex.ru has address 77.88.55.55
yandex.ru has address 77.88.55.60
yandex.ru has address 5.255.255.55

# host -T -tTXT MAIL._DOMAINKEY.YANDEX.RU ns1.yandex.ru
Using domain server:
Name: ns1.yandex.ru
Address: 213.180.193.1#53
Aliases:

mail._domainkey.yandex.ru descriptive text "v=DKIM1\; g=*\; k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDEc6Lkc9kLHjIxLkeszz1dYzGIfPH8qaUx2wLojYefUzZiCjyl0s/YT17WJMfGFZkl0gHgkEj5/I2C72MmaHVtTFzNqD48ZuqVydlDyfLed0A6vxb+MS34DIbpCgCi0HxQO1QRG7PechKza0iazWTIAQ1xRU24ZYM70kGDzhFHSwIDAQAB"

2.

# ping -s4096 ns1.yandex.ru
PING ns1.yandex.ru (213.180.193.1) 4096(4124) bytes of data.
4104 bytes from ns1.yandex.net (213.180.193.1): icmp_seq=1 ttl=58 time=19.0 ms
4104 bytes from ns1.yandex.net (213.180.193.1): icmp_seq=2 ttl=58 time=19.0 ms
4104 bytes from ns1.yandex.net (213.180.193.1): icmp_seq=3 ttl=58 time=19.0 ms
4104 bytes from ns1.yandex.net (213.180.193.1): icmp_seq=4 ttl=58 time=19.0 ms
4104 bytes from ns1.yandex.net (213.180.193.1): icmp_seq=5 ttl=58 time=18.9 ms
4104 bytes from ns1.yandex.net (213.180.193.1): icmp_seq=6 ttl=58 time=19.0 ms
^C
--- ns1.yandex.ru ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5006ms
rtt min/avg/max/mdev = 18.915/19.031/19.077/0.186 ms

3. До этого были DNS от провайдера или что-то вроде того, что было вписано по умолчанию при получении VPS в аренду. Специально попробовал гугловские на случай, что этот затык из-за провайдерских.

4. Локально никакого DNS не установлено.

Если бы все это резалось, то ручная проверка, которая идет вторым логом, тоже должна была тормозить, а она проходит быстро.

[Владимир Дубровин]

Dorothy, вот и поставьте локальный резолвер. Мало ли что и как зарезано или зарейтлимичено на провайдерском DNS. В момент получения письма делается практически одновременно целая пачка запросов (PTR, rDNS, A по HELO, MXы отправителя и возможно получателя, A по MXам, пачка DNSBL, SPF, DMARC, DKIM). Причем часть из них дважды, потому что сначала MTA а потом спамассасин. А локальный резолвер еще и кешировать будет.

[Dorothy]

Владимир Дубровин, хорошо, попробую. Не посоветуете резолвер подходящий под мои задачи?

[Владимир Дубровин]

Dorothy, я бы поставил pdns-recursor

[Dorothy]

Владимир Дубровин, установка локального резолвера сократила время сканирования письма spamassassin'ом до 1 секунды.
До того как его установить, я провел тест: так же отправил письмо, которое проходило проверку spamassassin'ом в районе 10 секунд и в это время выполнил несколько раз

spamassassin -t -D dkim < /home/admin/mail/domain/user/cur/messageId

, никаких проблем с ручной проверкой не возникло. А спамассасин так же проверял все в районе 10 секунд.

Я это к тому, что, возможно, это проблемы в настройке самого spamassassin'а, может какие ограничения по правам или еще что было. В любом случае, сейчас все работает как нужно, спасибо.