Date: Wed, 13 Sep 2006 21:21:27 +0200 From: "Uffe R. B. Andersen" <none@urb--twe.net.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Spam relay
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Phil Regnauld wrote:
> b) DNS-only med 2 MX og spærret primary
>
> fordele: DNS only løsning
> ulempe: folk der vil udnytte din relay server som relay kan gøre det
> hvis din relay server dukker på i deres zone som MX for deres domæne.
> Risikoen er lille, og det kan faktisk kombineres med noget IP
> filtrering for at blive en rigtig smart "auto MX backup scanning"
> for en præ-defineret liste over kendte IP kunder, uden at man behøver
> at røre ved postfix config.
Kan man ikke undgå den mulighed, ved ikke at bruge permit_mx_backup, men
snarere reject_unauth_destination? Det kræver at postfix kender de
domæner, den skal være backup mx for, men hvis det er rimeligt få og
statisk (den information mangler vi), så er det ret enkelt.
> Note: man kan selvf. kombinere A og B.
>
> 1. i DNS
>
> my-mail-domain MX 10 min-server.dk
> MX 20 my-relay-server
>
> 2. på min-server, spærrer du via postfix config eller pf/ipfw for
> inbound tcp/25 fra alle undtagen my-relay-server
>
> 3. i main.cf på my-relay-server
>
> smtpd_recipient_restrictions = permit_mx_backup
> ... andre restrictions ...
>
>
> => X sender post til hest@my-mail-domain,
> prøver først MX 10 -> spærret
> prøver så MX 20 -> OK
> MX 20 forsøger at levere til MX 10 -> OK
Det her er i hvert fald den løsning, der kræver mindst arbejde på
backup-serveren, som jeg formoder vedligeholdes af en anden og derfor
bør generes mindst muligt.
- --
Med venlig hilsen - Sincerely
Uffe R. B. Andersen - mailto:urb@twe.net
http://www.twe.net/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (MingW32)
iD4DBQFFCFo3xC95nUQcrpgRAjikAJdcrCHSWhqUK/LeG2sGzkAUGdD2AKDMKKF4
/Ogm8iiz2oFiZ77NV8L0dg==
=uWZz
-----END PGP SIGNATURE-----
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:04 CET