PDA

Bekijk Volledige Versie : DNS, Backupmailservers en Prioriteiten



VisualWeb
05/12/05, 18:50
Inleiding:
Wij hebben nogal veel last van spam wat over/via onze backupmx server afgeleverd wordt op onze primaire mailserver. Dit topic is om te vragen/discussieren naar/over evt. oplossingen cq. work-arounds.

Uitleg 'probleem':
Sinds kort maken wij gebruik van een backup mailserver voor het geval onze eigen servers een keer down zijn, dat de mail dan de backup mx gestuurd wordt en als de servers weer up komen dat dan de mail toch nog afgeleverd wordt bij een van onze servers.

De instellingen daarvoor in de DNS zijn:
mx1.domein.nl 10.0.0.1 (voorbeeld ip) prio: 10
mx2.domein.nl 10.1.0.1 (voorbeeld ip) prio: 100Nu valt het mij op dat heel veel spam via de mx2.domein.nl afgeleverd wordt op mx1.domein.nl (dat zie ik omdat er 2x *SPAM* in het onderwerp staat omdat er op beide servers een spamfilter draait).
Nu lijkt het me stug dat de spammers mijn mx1 niet kan traceren en daarom de mail afgeleverd wordt bij mx2. Het lijkt mij dus dat spammers met opzet via een backupmx (met een hoge prioriteit) mailen omdat daarop meestal geen spamfilter draait. Toch is dit vervelend voor de eigenaar van de backup mx server want daar gaat nu ook gewoon data naar toe, terwijl dit niet nodig zou zijn. Daarbij is het ook niet netjes om 2x *SPAM* in het onderwerp te hebben, hoewel dit ook op te lossen zou zijn in het spamfilter.

Mijn ideeën erover:
Nu dacht ik eraan om een mx3.domein.nl met een prioriteit van 500 toe te voegen in de dns en deze te sturen naar 127.0.0.1 of naar hetzelfde ip als mx1. Zodat de mail van de spammer die op mailserver zoekt die de hoogste prio heeft gebounced wordt. Maar mij vraag is, levert dit overige problemen op of kan ik dit doen? Of moet ik de prioriteit van mx2 verhogen naar 200/250 ?

wonko
05/12/05, 19:22
Mail die van je backup MX komt, moet je niet nogmaals afleveren aan de spamfilter. Zorg voor een aparte aflevermethode tussen je MX servers onderling (instelling/configuratie/... afhankelijk van de mail daemon die je gebruikt).

Glenn
06/12/05, 11:24
Wonko, hoewel dit een goeie tip is, verhelpt dit denk ik niet het probleem van de TS.

@VisualWeb, ik zou het gewoon proberen op een domein wat je niet gebruikt, en deze op een aantal grote internationale fora plaatsen.

Thijs
06/12/05, 12:03
Origineel geplaatst door wonko
Mail die van je backup MX komt, moet je niet nogmaals afleveren aan de spamfilter. Zorg voor een aparte aflevermethode tussen je MX servers onderling (instelling/configuratie/... afhankelijk van de mail daemon die je gebruikt).

Dit hoeft weinig uit te maken. Een goed spamfilter ziet al dat hij een keer door hetzelfde filter gefilterd is.

Mikey
06/12/05, 12:34
je mx prio zo ophogen heeft geen zin. Tevens een mx record met 127.0.0.1 zorgt ervoor dat hij bij de volgende server afgeleverd wordt.

De reden dat er voor mx2 gekozen wordt is meer random dan bewust. Vaak is een backup-mx minder druk reageert sneller of ligt geografisch beter dan de eerste server..

Glenn
06/12/05, 12:36
Origineel geplaatst door Mikey

De reden dat er voor mx2 gekozen wordt is meer random dan bewust. Vaak is een backup-mx minder druk reageert sneller of ligt geografisch beter dan de eerste server.. Random? Lijkt me sterk, spammers zijn ook niet achterlijk en lijken me juist bewust dit te gebruiken! :)

Maargoed, hoe voorkomen we dat de tweede MX gepakt wordt als de eerste MX nog online is?

Mikey
06/12/05, 12:43
Origineel geplaatst door Glenn
Random? Lijkt me sterk, spammers zijn ook niet achterlijk en lijken me juist bewust dit te gebruiken! :)

Maargoed, hoe voorkomen we dat de tweede MX gepakt wordt als de eerste MX nog online is?

is meer random dan bewust

Heb je mij horen zeggen dat het compleet random is. Ik beheer inmiddels verschillende mx servers over verschillende lokaties, denkend aan us, uk, de, fr en nog wat testlokaties. Je kunt heel duidelijk zien dat servers die makkelijk verbonden zijn met pacific deze ook sneller functioneren als spam gateways naar het betreffende domein(en). Ik heb met verschillende klanten gekeken of er bewust gekeken werd naar mx2 mx3 etc etc. Test wees uit dat als je meerdere mx records het wel degelijk random en lokatie gebonden wordt... Snellere response tijden en snellere verbindingen zijn snellere mailafhandeling en minder bezette sockets..

Of spammers stom zijn, nee hoor

Glenn
06/12/05, 12:46
Origineel geplaatst door Mikey


is meer random dan bewust

Heb je mij horen zeggen dat het compleet random is. Ik beheer inmiddels verschillende mx servers over verschillende lokaties, denkend aan us, uk, de, fr en nog wat testlokaties. Je kunt heel duidelijk zien dat servers die makkelijk verbonden zijn met pacific deze ook sneller functioneren als spam gateways naar het betreffende domein(en). Ik heb met verschillende klanten gekeken of er bewust gekeken werd naar mx2 mx3 etc etc. Test wees uit dat als je meerdere mx records het wel degelijk random en lokatie gebonden wordt... Snellere response tijden en snellere verbindingen zijn snellere mailafhandeling en minder bezette sockets..

Of spammers stom zijn, nee hoor Ok ok, dan ga ik maar uit van jou als ervaringsdeskundige ;)

Maar, heb jij eventueel een oplossing hiervoor? Dat je men kan verplichten MX1 te nemen?

Mikey
06/12/05, 12:50
ervaringsdeskundige :)

Bovenstaand is puur waar we zelf achter zijn gekomen met een klant die veel spam bleef ontvangen via onze backup servers.

Of je kan verplichten, je mx2 uitlaten en deze online laten komen op moment mx1 niet meer reageert. Zou met een kleine cron te verwezenlijken zijn. Er is alleen een maar, bij meerdere servers is dit verre van een ideale oplossing.

Welke MTA gebruik je ? Je zou ook een mysql / postgresql based MTA gebruiken en op moment server niet meer reageert on the fly alle domeinen injecteren zodat de MTA auth is voor de domein.

Beide dirty

Glenn
06/12/05, 13:35
Ik hoor het al, niet echt 'nette' oplossingen. Ik zat bijvoorbeeld te denken aan een ping naar mx1 door mx2 zodra er mail wordt aangeboden op mx2. Indien geen reply dan mail accepteren en dat voor een uur 'volhouden'. Daarna weer checken of-ie online is, etc...

Mikey
06/12/05, 20:00
komt ongeveer op hetzelfde neer. Deal gewoon met spam scheelt je hoop kopzorgen :)

Mark17
06/12/05, 20:22
nu word hier wel zo leuk gezegt dat het niet uitmaakt, dit geloof ik echter niet als ik naar de praktijk kijk hoe het bij mij binnen komt.

2 mailservers op 1 domein die boven elkaar hangen, nu blijkt dat de spam voor 95% door de mailservers gaat met de hoogste prioriteit terwijl de normale e-mail de andere gebruikt. lijkt mij dat het niet geheel random is. beiden hebben ze hetzelfde netwerk en zitten ze achter dezelfde switch. is mijn redenatie dat de meeste spam via mailserver 2 binnen komt dan gek?

Glenn
06/12/05, 20:23
Origineel geplaatst door Mikey
komt ongeveer op hetzelfde neer. Deal gewoon met spam scheelt je hoop kopzorgen :) Dat is zo, maar ik heb m'n secondary en third MX bij een derde partij staan en kan er dus weinig aan doen :)

Mikey
07/12/05, 00:00
Origineel geplaatst door Mark17
nu word hier wel zo leuk gezegt dat het niet uitmaakt, dit geloof ik echter niet als ik naar de praktijk kijk hoe het bij mij binnen komt.

2 mailservers op 1 domein die boven elkaar hangen, nu blijkt dat de spam voor 95% door de mailservers gaat met de hoogste prioriteit terwijl de normale e-mail de andere gebruikt. lijkt mij dat het niet geheel random is. beiden hebben ze hetzelfde netwerk en zitten ze achter dezelfde switch. is mijn redenatie dat de meeste spam via mailserver 2 binnen komt dan gek?

Weet niet, ik post alleen hetgeen wat ik opmerk. Zeker als ik kijk naar de lokaties ed.

stoffell
14/12/05, 23:39
hoi,

Heb ook gemerkt dat onze backup MX redelijk wat mails "te verduren" krijgt, ook al is de primary MX online.

Veel spammers zullen wel 'proberen' via een 2e of 3e MX te gaan (vermits die o.a. meestal niet dezelfde spam detectie mechanismen gebruiken). Enige wat ik probeer te doen, is een aantal goede dns black lists op die 2nd MX te draaien.. Helpt in ieder geval 'iets'..

cheers