[Admin-ml] Pour ou contre un mx secondaire ?

Jean-Loup DUBREUCQ jean-loup.dubreucq at medecine.uhp-nancy.fr
Lun 24 Aou 13:54:33 CEST 2009


Bonjour,

Le 24 août 09 à 12:44, Jean-Luc Bailloeul a écrit :

> Je suis assez séduit par l'idée de maintenir moi-même mon mx  
> secondaire. J'aurais assez tendance à penser qu'il faut néanmoins  
> mettre en place des régles de filtrage sur le secondaire également,  
> au risque de retomber dans ma situation actuelle. Celui-ci semble ne  
> faire aucun filtrage : hostname, blacklist, greylist… il accepte  
> tout et me renvoie le paquet le cas échéant.

Pas de greylisting sur le secondaire, car très fort risque de retard  
important, voire de faux positif ... sauf synchronisation des bases de  
données en "live" !

> Je constate d'ailleurs en ce moment que 98 % des spams que je reçois  
> proviennent de ce mx secondaire, qui est devenu une cible  
> privilégiée de ces petits malins de spameurs.

Un petit test consiste à mettre en place un "fake MX" en déclarant  
dans le DNS en priorité la moins élevée (donc l'inverse ... ici MX 40)  
une adresse qui ne répond pas :
mx1.mondomaine.tld IN MX 10 IP1 "bidon"
mx2.mondomaine.tld IN MX 20 mon-vrai-serveur-primaire
mx3.mondomaine.tld IN MX 30 mon-vrai-serveur-secondaire
mx4.mondomaine.tld IN MX 40 IP2 "bidon"

En effet les "petits malin" ont tendance à se comporter à l'inverse  
des RFC et à "privilégier" les MX secondaires, les sachant moins  
défendus ...
Ci-dessus, on en ajoute aussi un bidon en MX 10, les serveurs corrects  
essayant immédiatement sur le second (MX 20) qui joue son rôle.
Si on considère les 98% dont vous parlez ... les "vrais" MX devraient  
se la couler douce !!!

Mais le graal à côté, c'est simple !

Très cordialement,
-- 
- JLD -
"... la règle des trois P et des deux T :
Pas de Panique, Prudence, et une Tasse de Thé."
Les leçons de Maître Eolas
______________________________________________________________________
Jean-Loup DUBREUCQ  -  Responsable SIRET  -  +33 (0)3 836 83068
Faculte de Medecine  -  Université Henri Poincare - Nancy I
______________________________________________________________________
       _/

_/_/_/  _/  _/_/    _/_/_/  _/_/_/  Service Info Reseaux et Telecom
_/      _/  _/  _/  _/        _/    Secretariat : +33 (0)3 836 83060
_/_/_/  _/  _/_/    _/_/      _/    Telecopie : +33 (0)3 836 83099
     _/  _/  _/  _/  _/        _/    mailto:reseau at medecine.uhp-nancy.fr
_/_/_/  _/  _/  _/  _/_/_/    _/    http://www.medecine.uhp-nancy.fr




Plus d'informations sur la liste de diffusion Admin-ml