[Postfixbuch-users] mx 999 nur für 450 reject

Jan P. Kessler postfix at jpkessler.info
Fr Feb 8 00:04:22 CET 2008


Alexander Jä?ger schrieb:
> Jan P. Kessler schrieb:
>   
>> Uwe Driessen schrieb:
>>   
>>     
>>> Von euch irgendwelche Einwände zu solcher Vorgehensweise?
>>>   
>>>     
>>>       
>> Keine Einwände, nur ein Vorschlag - setze doch statt nem kompletten MTA, 
>> der nix anderes als 4xx Fehler produziert eine Reject-Regel (nicht 
>> drop!) mit iptables ein. Das kostet sowohl Dich als auch einen möglichen 
>> legitimen Versender weniger Ressourcen (und wird so, glaube ich, auch 
>> auf nolisting.org vorgeschlagen). Ggf kannst Du auch testen, ob Du nicht 
>> einen "Sandwich-MX" setzen kannst:
>>
>>     IN   MX   10   reject1.domain.local
>>     IN   MX   20   valid-mx.domain.local
>>     IN   MX   999 reject2.domain.local
>>
>> Oder seht Ihr dabei Nachteile, die mir entgangen sind?
>>
>> Gruß, Jan
>>
>>   
>>     
> Spricht hier was gegen?
>
> reject1.domain.local.       IN    A    127.0.0.1
>
> und dann
>
>     IN   MX   10   reject1.domain.local
>     IN   MX   20   valid-mx.domain.local
>     IN   MX   999 reject2.domain.local
>
> Würde das die spammer bremsen, oder eher einen legitimen Mailer 
> bremsen... oder beide?
>
> Just curios...
>
> Alex
>   

Zum einen das bereits von anderen erwähnte Argument, dass eine MX Angabe 
"routebar" sein sollte (also auch keine RFC1918 Adressen), da sonst evtl 
Bounces oder Antworten gegen die eigene Infrastruktur laufen.

Zum anderen spricht sogar etwas gegen solche A-Einträge: Stichwort "Same 
Site Scripting" 
(http://freebornjohn.blogspot.com/2008/01/same-site-scripting-security-issue.html 
oder http://www.securiteam.com/securitynews/5RP0M00N5K.html), auch wenn 
zum Ausnutzen einer solchen Schwachstelle schon einige Voraussetzungen 
gegeben sein müssen.



Mehr Informationen über die Mailingliste Postfixbuch-users