[vpsFree.cz: community-list] Zajem o MX backup
Jirka Bourek
trekker.dk at abclinuxu.cz
Wed Feb 20 13:10:54 CET 2013
Petr Tesařík wrote:
> V Tue, 19 Feb 2013 17:27:36 +0100
> Jirka Bourek<trekker.dk at abclinuxu.cz> napsal:
>
>>> Snajpovi se ten napad moc nezda. ;-) Ale pry, kdybych to implementoval,
>>> dalo by se o tom uvazovat. Takze na zacatek se ptam, jestli by mel
>>> nekdo o takovou sluzbu zajem.
>>>
>>
>> Jenom ze zvědavosti - jak máš v plánu to udělat?
>>
>> Proč se ptám - udělat samotný backup MX je sranda. Udělat ho tak, aby
>> přijímal maily jenom pro takové adresáty, které pak přijme primární MX,
>> už taková sranda není. Přičemž když se to neošetří, může se takový
>> server snadno stát zdrojem backscatter spamu.
>
> Samozřejmě nejde zajistit, že se takový mailserver bude chovat úplně
> stejně jako primární server, ale nemyslím si, že by problém backscatter
> byl až tak zásadní. Na svém stroji přijímám všechny maily na
> adresa at tesarici.cz a přesto odfiltruji většinu spamu už ve fázi SMTP
> spojení.
No zajistit to samozřejmě jde, přinejmenším v tom, aby oba servery
přijímaly poštu pro stejné adresáty. A dokonce je to vhodné, protože
někteří spammeři vynechávají primární servery a zkoušejí rovnou záložní,
protože spousta lidí u těch záložních nemá tak přísné kontroly (což je
přesně případ příjmu pro doménu aniž by se kontrolovala existence schránky.)
>
> Kdyby se z toho stal opravdový problém, dá se na backup MX nastavit
> přísnější politika ověřování odesílatele (s tím, že když adresa
> neprojde, tak server pošle 4xx, ne 5xx, protože primární mailserver by
> tu příchozí poštu třeba zpracoval).
>
> Samozřejmě si rád nechám poradit, jak to udělat lépe. :-)
Někdo tu zmiňoval možnost použít nějaké API, případně dopsat něco do
vpsadminu, pokud tě k němu snajpa pustí - aby si lidi, co ten backup
budou používat, mohli nastavit, pro jakou doménu a jaké schránky k ní se
má brát pošta.
A protože se samozřejmě bude zapomínat na to ty záznamy zase odstranit,
když se doména/schránka zruší, tak kontrolovat logy toho sekundáru a
odchytávat případy, kdy primární server odmítl přijmout něco, co
přijmout měl.
Takhle bych to dělal já. Teda kdybych někdy pocítil potřebu něco
takového dělat ;-)
More information about the Community-list
mailing list