Re: [Exim-users-de] Fallback MX und relay_domains

Pàgina inicial
Delete this message
Reply to this message
Autor: Marc Haber
Data: 2012-05-27 08:35 -000
A: exim-users-de
Assumpte: Re: [Exim-users-de] Fallback MX und relay_domains
On Sat, May 26, 2012 at 09:51:29AM +0200, Thomas Hochstein wrote:
> mailing schrieb:
> > Entschuldige. Ich habe mich da falsch ausgedrückt. Der Fallback will die
> > Mail an die First MX weiterschicken. Der First MX lehnt die Mail ab (da
> > der Empfänger nicht existiert).
>
> Das läßt sich logischerweise nur vermeiden, wenn auch der Fallback
> Zugriff auf die Datenbank der existenten Mailadressen hat.
>
> > Darauf hin will der Fallback den
> > Absender die Unzustellbarnachricht weiterleiten.
>
> Das sollte man möglichst unterbinden, weil collateral spam; einen
> Königsweg gibt es dafür aber auch nicht. (Man kann den primary so
> konfigurieren, daß er keine Bounces generiert, wenn die Mail vom
> secondary kommt; oder man kann auf dem secondary vor der Weiterleitung
> den Envelope-From so umschreiben, daß ein Bounce an eine lokale
> Auffangadresse geht.)


Ich bin an dieser Stelle faul und habe zwei Maßnahmen etabliert:

$ host -t mx zugschlus.de
zugschlus.de mail is handled by 10 mailgate.zugschlus.de.
zugschlus.de mail is handled by 20 q.bofh.de.
zugschlus.de mail is handled by 30 mailgate2.zugschlus.de.
$ host mailgate.zugschlus.de.
mailgate.zugschlus.de has address 85.214.68.41
mailgate.zugschlus.de has IPv6 address 2a01:238:4071:3201::1
$ host q.bofh.de.
q.bofh.de has address 85.214.213.138
q.bofh.de has IPv6 address 2a01:238:4350:6101::100:100
$ host mailgate2.zugschlus.de.
mailgate2.zugschlus.de has address 85.214.68.41
mailgate2.zugschlus.de has IPv6 address 2a01:238:4071:3201::1
$

Maßnahme (1):
Der "dritte" MX zeigt auf dieselbe IP-Adresse wie der erste. Sprich:
Spammer, die auf den niedrigst priorisierten MX gehen, landen auf der
Maschine, die die benutzten Mailadressen unter zugschlus.de kennt und
passend rejecten kann. Wichtig ist hier, dass ein unterschiedlicher
Hostname verwendet wird, sonst erkennen manche Mailserver, dass hier
zweimal derselbe Host genannt ist und unterdrücken den niedriger
priorisierten.

Maßnahme (2):
Der "zweite" MX ist so konfiguriert, dass er für eingehende Mails für
zugschlus.de einen Callforward macht, sprich, sich per SMTP darüber
informiert, ob der erste MX die Mail für diesen Empfänger annehmen
würde. Kann er den ersten MX nicht erreichen, nimmt er die Mail im
Zweifel an. Das führt in dem Fall, dass mein erster MX nicht "da" ist,
zu collateral spam, kommt aber so selten vor, dass es im Rauschen
untergeht.

Grüße
Marc, dem gerade auffällt, dass inzwischen beide MXe beim gleichen
Hoster stehen. Da muss ich mir wohl noch was einfallen lassen ;-)

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Mannheim, Germany  |  lose things."    Winona Ryder | Fon: *49 621 31958061
Nordisch by Nature |  How to make an American Quilt | Fax: *49 621 31958062