[Postfixbuch-users] policyd-weight und BOGUS_MX

Robert Felber robtone at ek-muc.de
Mi Mär 30 22:30:52 CEST 2011


On Wed, Mar 30, 2011 at 10:42:44AM +0200, Dennis Guhl wrote:
> On Wed, Mar 30, 2011 at 09:44:39AM +0200, Robert Felber wrote:
> > On Tue, Mar 29, 2011 at 12:31:36PM +0200, Heidbüchel, Jens wrote:
> > > Hallo Dennis,
> > > 
> > > Am 29.03.2011 um 11:47 schrieb Dennis Guhl:
> > > 
> > > > Ich bezweifle, dass A-RR bei vorhanden MX-RRs in Betraacht gezogen
> > > > wird.
> > > 
> > > 
> > > der A-Record für sensoft.ca beinhaltet eine private Adresse:
> > > 
> > > $ dig sensoft.ca +short
> > > 192.168.1.248
> > > 74.208.149.11
> > > 
> > > Der policyd-weight sammelt diese auch bei der Prüfung des BOGUS_MX (Prüfung auf private Adressbereiche) neben den MX-Einträgen mit ein. Dass beim DNS die MXe was komisch sind, stört ihn nicht. Er baut aus den einzelnen Adressen der MXe einschließlich der A-Records direkt von sensoft.ca sein Feld "from_adresses" auf. Da ist nun eine private Adresse drin und es gibt Punkte.
> > > 
> > > Was ich mich halt frage, ist, ob hier der A-Record wirklich interessant ist und es nötig ist, mal den hostmaster anzuschreiben.
> > 
> > Der A-Record ist insofern interessant, dass es durchaus vorkommen kann,
> > dass ein MTA zu einer dieser Adressen versenden will, sollte mal was mit
> > den MX-Records sein.
> 
> Das ist nicht korrekt. RFC 5321 sagt in Section 5.1 ganz klar etwas
> anderes (zweiter Absatz, letzten zwei Sätze):
> 
>  If an empty list of MXs is returned, the address is treated as if it
>  was associated with an implicit MX RR, with a preference of 0,
>  pointing to that host.  If MX records are present, but none of them
>  are usable, or the implicit MX is unusable, this situation MUST be
>  reported as an error.
> 
> Der A-RR kommt also nur zum tragen, wenn gar kein MX definiert ist
> (als "implicit MX").

Was ja passieren kann, wenn die MX records geloescht werden.
Dann gehen alle Antworten an 192.168.etc.

Er bewertet in dem Fall die Existenz von Private Addresses im Public DNS
als "Negativ". Genauso wie er local-parts mit zu vielen Konsonanten als
"Negativ" bewertet. Allein das Auftauchen von Private Addresses
sollte aber nicht zur Ablehnung fuehren.



-- 
	Robert Felber, PGP: D1B2F2E5




Mehr Informationen über die Mailingliste Postfixbuch-users