DNS, Backupmailservers en Prioriteiten - Internet en hosting

vrijdag 2 december 2005 23:07

Acties:

Topicstarter

Inleiding:
Wij hebben nogal veel last van spam wat over/via onze backupmx server afgeleverd wordt op onze primaire mailserver. Dit topic is om te vragen/discussieren naar/over evt. oplossingen cq. work-arounds.

Uitleg 'probleem':
Sinds kort maken wij gebruik van een backup mailserver voor het geval onze eigen servers een keer down zijn, dat de mail dan de backup mx gestuurd wordt en als de servers weer up komen dat dan de mail toch nog afgeleverd wordt bij een van onze servers.

De instellingen daarvoor in de DNS zijn:

code:

1 2	mx1.domein.nl 10.0.0.1 (voorbeeld ip) prio: 10 mx2.domein.nl 10.1.0.1 (voorbeeld ip) prio: 100

Nu valt het mij op dat heel veel spam via de mx2.domein.nl afgeleverd wordt op mx1.domein.nl (dat zie ik omdat er 2x *SPAM* in het onderwerp staat omdat er op beide servers een spamfilter draait).
Nu lijkt het me stug dat de spammers mijn mx1 niet kan traceren en daarom de mail afgeleverd wordt bij mx2. Het lijkt mij dus dat spammers met opzet via een backupmx (met een hoge prioriteit) mailen omdat daarop meestal geen spamfilter draait. Toch is dit vervelend voor de eigenaar van de backup mx server want daar gaat nu ook gewoon data naar toe, terwijl dit niet nodig zou zijn. Daarbij is het ook niet netjes om 2x *SPAM* in het onderwerp te hebben, hoewel dit ook op te lossen zou zijn in het spamfilter.

Mijn ideeën erover:
Nu dacht ik eraan om een mx3.domein.nl met een prioriteit van 500 toe te voegen in de dns en deze te sturen naar 127.0.0.1. Zodat de mail van de spammer die op mailserver zoekt die de hoogste prio heeft gebounced wordt. Maar mij vraag is, levert dit overige problemen op of kan ik dit doen? Of moet ik de prioreit van mx2 verhogen naar 200/250 ?

[ Voor 3% gewijzigd door Speedener op 02-12-2005 23:10 ]

zaterdag 3 december 2005 01:54

Acties:

raymonvdm

Volgens mij staat er vast wel ergens in een RFC dat je nooit een mx record mag laten verwijzen naar een localhost adres

Verder zou je er ook voor kunnen kiezen om met maar 1 mx record te draaien ( of eventueel 2 verwijzend naar hetzelfe ip adres) en dan kijken welke van de 2 die pakt Want een mailserver moet het volgens een andere RFC 3 dagen lang proberen voordat hij mag opgeven als de ontvangde mailserver niet reageerd

En mischien zit er toch nog veel verschil in de spamfilter instellingen op beide servers ? want als de 1e het niet accepteerd dan zou de 2e dat ook niet moeten doen.

zaterdag 3 december 2005 02:49

Acties:

Jamaicaman

Ik heb hier verder weinig verstand van, maar ik heb op mijn eigen server sinds kort greylisting aangezet (hierbij wordt een inkomend emailtje de eerste keer geweigerd en de tweede keer dat de server waarvan hij vandaan komt het weer verstuurd zal hij er wel doorkomen.) Nu is het zo dat servers die spammers gebruiken vaak niet opnieuw proberen het bericht te versturen en normale goed geconfigureerde mailservers wel. Hierdoor krijg je heel erg weinig spam binnen.

Is misschien niet een antwoord dat je nodig hebt maar je kunt misschien overwegen deze functie aan te zetten op je servers.

zaterdag 3 december 2005 02:57

Acties:

CyBeR

💩

Waarom heb je een spamfilter op je backup mx? Als de mails daarvandaan namelijk ook nog gescanned worden op je primary mx is dat redelijk overbodig.

De reden dat spammer naar je backup MX sturen (ik heb er ook last van btw) is voor vreemd geconfigureerde servers die alle mails van de backup MX toestaan. Folders door de brievenbus van de achterdeur douwen, zegmaar.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 3 december 2005 10:29

Acties:

Speedener

Topicstarter

Bedankt voor jullie reacties.

raymonvdm schreef op zaterdag 03 december 2005 @ 01:54:
Volgens mij staat er vast wel ergens in een RFC dat je nooit een mx record mag laten verwijzen naar een localhost adres

Verder zou je er ook voor kunnen kiezen om met maar 1 mx record te draaien ( of eventueel 2 verwijzend naar hetzelfe ip adres) en dan kijken welke van de 2 die pakt Want een mailserver moet het volgens een andere RFC 3 dagen lang proberen voordat hij mag opgeven als de ontvangde mailserver niet reageerd

En mischien zit er toch nog veel verschil in de spamfilter instellingen op beide servers ? want als de 1e het niet accepteerd dan zou de 2e dat ook niet moeten doen.

Waar vind ik die RFC's aangaande mailservers?

En onze spamfilter zijn niet ingesteld dat ze de mail droppen maar ze taggen de mail alleen, maar leveren de mail wel af in de boxen.

Jamaicaman schreef op zaterdag 03 december 2005 @ 02:49:
Ik heb hier verder weinig verstand van, maar ik heb op mijn eigen server sinds kort greylisting aangezet (hierbij wordt een inkomend emailtje de eerste keer geweigerd en de tweede keer dat de server waarvan hij vandaan komt het weer verstuurd zal hij er wel doorkomen.) Nu is het zo dat servers die spammers gebruiken vaak niet opnieuw proberen het bericht te versturen en normale goed geconfigureerde mailservers wel. Hierdoor krijg je heel erg weinig spam binnen.

Is misschien niet een antwoord dat je nodig hebt maar je kunt misschien overwegen deze functie aan te zetten op je servers.

Misschien kom ik nu heel eigenwijs over, maar ik heb dus het idee dat de spammers mx1 nooit benaderen. Dus dan maakt het niet zo veel uit of ik greylisting op mx1 aanzet, als het daarom gaat. Ik zal eens kijken of ik het zoiezo aan ga zetten. bedankt voor de tip.

CyBeR schreef op zaterdag 03 december 2005 @ 02:57:
Waarom heb je een spamfilter op je backup mx? Als de mails daarvandaan namelijk ook nog gescanned worden op je primary mx is dat redelijk overbodig.

De reden dat spammer naar je backup MX sturen (ik heb er ook last van btw) is voor vreemd geconfigureerde servers die alle mails van de backup MX toestaan. Folders door de brievenbus van de achterdeur douwen, zegmaar.

Dat spamfilter staat op de backup mx aan omdat we een soort van uitwiselingsproject hebben met een bevriende hoster, wij zijn hun backup mx en vice versa.

Mijn primairy mx replayed alleen de mail die voor die server bedoeld is (of die dus voor de backupmx bedoeld is (omdat wij weer hun backup mx zijn

), ook al komt het van de backup mx.

Ik bedenk me dat ik ook nog een keer mx3.domein.nl met prio 500 kan toevoegen die weer naar het ip van mx1 verwijst, misschien is dat wel het netst.

maandag 5 december 2005 11:39

Acties:

Speedener

Topicstarter

oui oui, c'est une kickque de topique..

maandag 5 december 2005 13:26

Acties:

No13

/me was here

Tja ik speel dus backup MX server voor speedener, het spam en virus checken kan ik natuurlijk uitzetten voor zijn domeinen maar dat staat eigenlijk los van het probleem...

De mailtjes die feitelijk spam zijn komen vooral via onze server (de backup MX) op zijn mailserver terecht... dus normale mail wordt netjes op de primaire mailserver gezet en spam of andere rare mailtjes lijken de route te kiezen van de hoogste mx

Vandaar dus het idee om een nep-record met een hele hoge prioriteit aan te maken. Ik kan me alleen voorstellen dat onder zeldzame omstandigheden de mail dan verloren kan gaan (bijv beide MX-servers uit de lucht en de nep-record zorgt ervoor dat mail gedropt wordt ipv delayed)

maandag 5 december 2005 14:07

Acties:

DukeMan

Ikzelf heb dit "probleem" ook. Mail wordt via 1 van mijn 2 backup servers afgeleverd bij de hoofdmail server. Wat ik het idee heb: als je een DNS query doet, wordt volgens mij niet altijd de output van de DNS server gesorteerd op prioriteit geretourneerd. Een fatsoenlijke DNS server/client zal deze sortering nog aanbrengen voordat een response terug gegeven wordt. Hierdoor krijgen ze dus niet prioriteit 1 terug maar een andere (willekeurige) terug, waarnaar ze vervolgens gaan sturen.

Weet bovenstaande niet zeker..