[Postfixbuch-users] mx 999 nur für 450 reject

Uwe Driessen driessen at fblan.de
Mi Feb 6 15:42:05 CET 2008


Jan P. Kessler schrieb: 
> Uwe Driessen schrieb:
> > Von euch irgendwelche Einwände zu solcher Vorgehensweise?
> >
> 
> Keine Einwände, nur ein Vorschlag - setze doch statt nem kompletten MTA,
> der nix anderes als 4xx Fehler produziert eine Reject-Regel (nicht

Wenn kein Dienst aufgeschaltet ist dann kommt doch eh ein refused bzw. keine Antwort,
Wenn keine Pakete beantwortet werden sollte der gegenüber auch keine weiteren versenden.
Jedes paket wird/muss doch sowieso bestätigt werden wenn es angenommen wird oder habe ich
da jetzt TCPIP falsch verstanden.   


> drop!) mit iptables ein. Das kostet sowohl Dich als auch einen möglichen
> legitimen Versender weniger Ressourcen (und wird so, glaube ich, auch
> auf nolisting.org vorgeschlagen). Ggf kannst Du auch testen, ob Du nicht
> einen "Sandwich-MX" setzen kannst:
> 
>     IN   MX   10   reject1.domain.local
>     IN   MX   20   valid-mx.domain.local
>     IN   MX   999 reject2.domain.local

*gg den Gedanken hatte ich auch schon, einen 5er den es nicht gibt(wohl aber die IP die
auf Ping antwortet), den 10er der annimmt und den 999 für die die es sowieso nicht merken
wenn ein 450er REJECT kommt bzw. die meinen das die nachrangigen MX schlecht geschützt
sind.
Auf dem 999 wird dokumentiert und bei überschreiten einer Schwelle auf allen anderen NIC's
eine IP Sperre aufgebaut. Der Server hat ja nur 6 Schnittstellen und auch so viele IP.
Da der 999 auch nur 4 sec einen Leitung offenhält und dann kappt können die auch gerne 50
mal versuchen einzuliefern. Der 999 führt nur SMTP im Banner *gg
 
> 
> Oder seht Ihr dabei Nachteile, die mir entgangen sind?

Ich werde das im Auge behalten und darüber berichten wenn ich so was in der Art
feststelle. 
Bin selber mal gespannt wie es auswirkt bzw. ob es nicht besser ist den jetzigen 999er mit
Doku auf 5 zu setzen und den 999er nicht existieren zu lassen (bzw. kein Dienst der darauf
antwortet).  

Es würde einen Menge an Checks fast überflüssig machen bzw. auf dem echten MX könnte
wesentlich moderater geprüft werden 


> 
> Gruß, Jan
> 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users