On Sat, May 26, 2012 at 09:51:29AM +0200, Thomas Hochstein wrote: > mailing schrieb: > > Entschuldige. Ich habe mich da falsch ausgedrückt. Der Fallback will die > > Mail an die First MX weiterschicken. Der First MX lehnt die Mail ab (da > > der Empfänger nicht existiert). > > Das läßt sich logischerweise nur vermeiden, wenn auch der Fallback > Zugriff auf die Datenbank der existenten Mailadressen hat. > > > Darauf hin will der Fallback den > > Absender die Unzustellbarnachricht weiterleiten. > > Das sollte man möglichst unterbinden, weil collateral spam; einen > Königsweg gibt es dafür aber auch nicht. (Man kann den primary so > konfigurieren, daß er keine Bounces generiert, wenn die Mail vom > secondary kommt; oder man kann auf dem secondary vor der Weiterleitung > den Envelope-From so umschreiben, daß ein Bounce an eine lokale > Auffangadresse geht.)
Ich bin an dieser Stelle faul und habe zwei Maßnahmen etabliert: $ host -t mx zugschlus.de zugschlus.de mail is handled by 10 mailgate.zugschlus.de. zugschlus.de mail is handled by 20 q.bofh.de. zugschlus.de mail is handled by 30 mailgate2.zugschlus.de. $ host mailgate.zugschlus.de. mailgate.zugschlus.de has address 85.214.68.41 mailgate.zugschlus.de has IPv6 address 2a01:238:4071:3201::1 $ host q.bofh.de. q.bofh.de has address 85.214.213.138 q.bofh.de has IPv6 address 2a01:238:4350:6101::100:100 $ host mailgate2.zugschlus.de. mailgate2.zugschlus.de has address 85.214.68.41 mailgate2.zugschlus.de has IPv6 address 2a01:238:4071:3201::1 $ Maßnahme (1): Der "dritte" MX zeigt auf dieselbe IP-Adresse wie der erste. Sprich: Spammer, die auf den niedrigst priorisierten MX gehen, landen auf der Maschine, die die benutzten Mailadressen unter zugschlus.de kennt und passend rejecten kann. Wichtig ist hier, dass ein unterschiedlicher Hostname verwendet wird, sonst erkennen manche Mailserver, dass hier zweimal derselbe Host genannt ist und unterdrücken den niedriger priorisierten. Maßnahme (2): Der "zweite" MX ist so konfiguriert, dass er für eingehende Mails für zugschlus.de einen Callforward macht, sprich, sich per SMTP darüber informiert, ob der erste MX die Mail für diesen Empfänger annehmen würde. Kann er den ersten MX nicht erreichen, nimmt er die Mail im Zweifel an. Das führt in dem Fall, dass mein erster MX nicht "da" ist, zu collateral spam, kommt aber so selten vor, dass es im Rauschen untergeht. Grüße Marc, dem gerade auffällt, dass inzwischen beide MXe beim gleichen Hoster stehen. Da muss ich mir wohl noch was einfallen lassen ;-) -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Mannheim, Germany | lose things." Winona Ryder | Fon: *49 621 31958061 Nordisch by Nature | How to make an American Quilt | Fax: *49 621 31958062 _______________________________________________ Exim-users-de mailing list [email protected] https://lists.exim.org/mailman/listinfo/exim-users-de
