J'utilise ce faux MX (une variante du nolisting ) et ça marche très bien.
J'ai utilisé un postfix MX avec tous les filtres habituels et après quelques spambots j'ai réussi à surcharger le serveur 2 ou 3 fois j'ai décidé de l'essayer ... voici le résultat:
essayez de deviner quand j'ai implémenté le faux-mx! 8)
Le résultat est le même que pour postgrey, mais contrairement à postgrey, vous n'avez pas besoin de changer de serveur de messagerie
Les spambots vont maintenant essayer le MX élevé ou le MX bas, libérant le vrai MX de la charge d'essayer de filtrer ensuite (même avec DNSBL, la charge était élevée) et le vrai courrier électronique arrive avec un délai minimal.
Mais attention, il y a des risques:
Certains serveurs peuvent avoir des temps de relance élevés. La plupart des serveurs réessayeront le MX suivant après le premier délai d'expiration, d'autres essaieront dans les quelques minutes qui suivent, mais j'ai déjà vu des serveurs qui ne réessaient qu'après une heure ou un jour. Ils sont très rares et pour ceux que j'ai pu attraper, c'était une mauvaise configuration. parler avec l'autre maître de poste résout le problème
Tous les e-mails auront un retard. En fait, je ne vois aucun retard du tout, presque tous les vrais serveurs de messagerie réessayeront vers le MX suivant après le premier timeout, donc nous parlons d'un retard de 30 secondes. Ils essaient généralement au moins 3 MX avant de mettre le message en file d'attente pour un délai plus long. mais vous pourriez avoir un contact avec un serveur de messagerie cassé qui pourrait ne pas faire cela et retarder chaque message pendant quelques minutes. C'est donc une chose à surveiller lors du déploiement de cette solution.
Sites cassés. Certains serveurs Web envoient des e-mails pour les mots de passe, les notifications, etc. et au lieu de livrer pour un vrai serveur de messagerie interne, ils essaient d'être un "faux" serveur de messagerie et de livraison directement. En tant que serveur Web, ils ne réessayeront jamais et l'e-mail est perdu. Encore une fois, c'est une mauvaise configuration de la part du webmaster / développeurs Web, car seuls les vrais serveurs de messagerie doivent envoyer des e-mails. chaque fois que je trouve ce problème, je parle avec le webmaster du problème et généralement le problème est résolu.
Pas de journaux. En tant que faux MX poing vers des adresses IP non connectées, vous n'avez aucun journal de ce qui a essayé d'être livré. vous savez seulement que quelque chose s'est mal passé lorsque quelqu'un se plaint. mais c'est aussi bien. Vous pouvez toujours prétendre que vous n'avez aucune tentative de livraison de courrier électronique, c'est donc un problème à distance. L'autre côté doit vérifier leurs journaux et résoudre le problème. Je peux prouver qu'il n'y a aucune connexion avec mon vrai serveur, déplaçant la pression pour résoudre le problème de l'autre côté. Si l'autre côté n'est pas en mesure de résoudre le problème, il semble non fiable, peu fiable.
Pas de liste blanche. cela s'applique à tous les serveurs via DNS, vous ne pouvez donc pas mettre sur liste blanche un serveur ... en fait, c'est à moitié vrai, mais c'est plus difficile. la solution de la liste blanche est que le MX le plus bas pointe vers une IP où un smtp est en cours d'exécution, mais filtré par un pare-feu pour tout le monde. Les serveurs que vous souhaitez mettre sur liste devaient être autorisés dans le pare-feu. De cette façon, tous les serveurs seront rejetés par le pare-feu et la liste blanche pourra être livrée au serveur de messagerie. Cela fonctionne, mais uniquement pour la liste blanche des adresses IP, pas pour la liste blanche des e-mails.
Contrairement à postgrey, où l'expéditeur distant a un journal d'une livraison "rejetée" (et peut donc nous indiquer le problème), le faux-MX montrera que le serveur Web n'a même pas pu se connecter et n'a pas réessayé, ne donnant aucune excuse pour le côté distant sur le problème. Un MX défaillant mieux accepté que postgrey, car nous pouvons toujours affirmer un "problème de routage, mais le MX de sauvegarde fonctionne bien, nous recevons tous les autres e-mails"
cela dit, je reçois très peu de plaintes (environ 1 tous les 3 mois), donc je le considère assez sûr (chaque filtre anti-spam présente des risques).
Veuillez noter que j'utilise une adresse IPv4 valide pour tous les MX, mais pour les faux, j'utilise une IP que je contrôle qui n'est pas utilisée (et cela donne donc un délai d'attente / hôte inaccessible sur toute connexion). ces règles s'appliquent même si vous ne les utilisez pas. Il existe des serveurs DNS et SMTP qui nécessitent une configuration DNS parfaitement valide pour que l'e-mail fonctionne. le faux-MX doit également être valide, ils ne doivent tout simplement pas être accessibles.
N'utilisez pas d'adresses IP privées ou d'IP que vous ne contrôlez pas pour la fausse MX (si vous ajoutez une adresse ipv6, ajoutez également une adresse ipv4). Cela évite les problèmes avec les DNS et les serveurs de messagerie cassés et les surprises des autres recevant vos e-mails (en installant un serveur smtp sur l'adresse IP que vous ne contrôlez pas). De plus, CNAME est interdit pour MX, alors ne l'utilisez pas aussi, juste un simple enregistrement A
Enfin, une réinitialisation tcp doit être envoyée pour le faux MX, afin d'améliorer les performances (hôte ou port inaccessible) au lieu d'un délai d'attente simple (en supprimant le paquet), il est donc recommandé de l'ajouter à votre pare-feu.
de toute façon, non seulement je l'utilise toujours, car je recommande à tout le monde de l'utiliser