Dans quelles circonstances (le cas échéant) un enregistrement MX doit-il pointer vers localhost?


8

Je pense qu'il n'y a absolument aucune raison ou justification à cela, mais avant d'ouvrir la bouche et de trouver un administrateur en kimchi profond, j'ai pensé que je devrais demander.

Existe-t-il des circonstances dans lesquelles un enregistrement MX doit pointer vers une adresse de bouclage? Pour moi, cela signifie que tout serveur de messagerie qui essaie d'envoyer vers ce domaine s'enverra à lui-même et échouera, mais je ne suis pas un gourou de la messagerie, alors peut-être que je manque quelque chose.

Je suis tombé sur le ci-dessous lors du dépannage d'un e-mail pourquoi-ne-sommes-nous-pas ?? problème pour un client, et j'ai du mal à m'enrouler la tête. Mais je pense peut-être trop aux choses.

entrez la description de l'image ici


7
Cela signifie essentiellement, ne nous envoyez pas de courrier ... parlez à la main
Mike Pennington

@MikePennington Si vous ne vouliez recevoir de formulaire de courrier électronique, pourquoi feriez-vous cela au lieu, disons, de supprimer votre enregistrement MX?
HopelessN00b

5
si vous supprimez l'enregistrement MX, le courrier est envoyé à l'enregistrement A pour la partie domaine de l'adresse e-mail. sans enregistrement MX, vous obtenez un tas de gens qui frappent à votre porte à la recherche d'un serveur de messagerie qui ne répond pas. avec une adresse de bouclage, l'expéditeur frappe à sa propre porte et ne gaspille pas votre bande passante.
longneck

@longneck C'est le résultat final, mais ce n'est probablement pas la meilleure façon de procéder. À mon humble avis, la pollution du DNS public est une bonne décision pour se débarrasser des spammeurs qui ne vous coûteraient que quelques octets pour un RSTpaquet si vous n'utilisez pas de serveur de messagerie ...
voretaq7

je n'ai pas dit que c'était une bonne idée. je viens d'expliquer ce qui se passe lorsque vous supprimez votre enregistrement MX et comment la suppression des enregistrements MX ne reproduit pas la configuration demandée.
longneck

Réponses:


4

Réponse courte: ça ne devrait pas.

Réponse longue: Si le domaine en question (DIQ) ne doit pas recevoir de courrier électronique, la mise en place d'une adresse de bouclage pour l'enregistrement MX oblige le serveur d'envoi à tenter de se connecter à lui-même. Cela permet au DIQ d'économiser quelques octets et peut éventuellement nettoyer les journaux du pare-feu (si quelqu'un regarde même) lorsque d'autres serveurs de messagerie tentent de se connecter. Cependant, à mon avis, les économies de bande passante ne sont pas suffisantes pour justifier la violation de la RFC 3330.


10

Certainement un NON, pas avec une IP 127.0.0.0. L'ensemble de la plage 127.0.0.0 sur IPv4 fonctionne comme des adresses de bouclage, donc quand une machine se connecte aux IP de cette plage, elle essaiera de se connecter à elle-même.

Votre adresse IP d'enregistrement MX doit être accessible depuis le monde extérieur et ce que ce résultat indique à tout serveur effectuant une requête MX, pour essayer de se connecter à lui-même.

Si mon serveur essayait de vous envoyer un e-mail, il rechercherait l'enregistrement MX, puis connecterait sa propre adresse IP, enverrait l'e-mail et échouerait.


1
+1 - Il n'y a PAS de bonne raison de JAMAIS définir un enregistrement DNS public sur une adresse en 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/8 ... (comme avec tous "règles" Internet, vous pouvez bien sûr l'ignorer, mais vous le faites à vos risques et périls, et ne devez le faire qu'en toute connaissance de ce que vous faites et pourquoi ...)
voretaq7

@ voretaq7warez IN A 127.0.0.1
Michael Hampton

@MichaelHampton servi à partir d'un DNS public et mondial? Je suis presque sûr qu'il y a quelque chose dans les RFC qui dit que faire cela équivaut à noyer des chatons ...
voretaq7

@ voretaq7 Oui, je l'ai vu, et dans de nombreux endroits. Il remonte au moins aux années 1990. La façon dont il a été utilisé était: quelqu'un demanderait où trouver warez et recevrait l'adresse warez.example.comqui a ce dossier particulier ...
Michael Hampton

6

Les RFC concernés disent:

  • L'enregistrement de ressource MX DOIT pointer vers un nom de domaine complet (et non une adresse IP) d'un serveur sur Internet public qui accepte le courrier pour le domaine. Notez que ce serveur ne doit pas nécessairement être dans le même domaine que l'enregistrement MX. RFC 1035 section 3.3.9

  • Les adresses dans la plage 127.0.0.0/8 NE DOIVENT JAMAIS apparaître sur Internet public. RFC 5735 section 3

Notez que certains serveurs de messagerie refusent les e-mails d' expéditeurs non conformes aux RFC applicables .


4

Lorsqu'un hôte doit être capable de s’envoyer des messages sur différents domaines hébergés mais n’accepte pas de courrier externe, «MX 0 localhost». est acceptable. Pour indiquer qu'un hôte n'a aucun serveur de messagerie, utilisez "MX 0".

Le "MX 0". est détaillé dans RFC7505 .


3

Eh bien, j'ai une situation où la définition de MX d'un domaine sur localhost semble être nécessaire.

En mars 2012, j'ai enregistré un joli domaine que j'ai été surpris de trouver disponible. C'était pour un site de collaboration artistique que ma fille voulait créer. J'ai réglé le MX sur l'un de mes autres serveurs smtp. Cela a bien fonctionné, mais j'ai ensuite commencé à recevoir beaucoup de rebonds de courrier "utilisateur inconnu" à xxx@cute-domain.com (pas le vrai nom de domaine). J'ai donc utilisé MailScanner pour bloquer tous les messages entrants vers ce domaine, à l'exception d'une adresse légitime. Il semble que le domaine était un service de messagerie gratuit à partir de 2001, mais était apparemment devenu sombre et avait abandonné son joli nom de domaine.

Cela a bien fonctionné jusqu'à il y a quelques jours (20/11/12) lorsque le serveur smtp a commencé à rejeter les messages entrants en raison de connexions ouvertes excessives. Il s'agissait de processus smtp en attente de réponses "réception à", je pense. J'ai regardé le trafic et je me faisais bombarder par des milliers de messages entrants pour xxx@cute-domain.com à partir d'autant de relais smtp dans le monde entier. (17 000 messages sur une période de 24 heures)

J'ai donc changé le MX pour pointer vers un autre serveur qui n'exécute pas smtp avec le port 25 bloqué. Effectivement, des milliers de sessions abandonnées ont commencé à apparaître. Étant donné que ce comportement ressemble à une sorte de torrent de spam, peut-être à partir d'un botnet, je me suis dit que la configuration du MX sur localhost pourrait être nécessaire.

Je vais le laisser comme ça pendant un moment. Nous n'avons pas besoin du tout d'e-mail pour le cute.domain.com, donc rien n'est perdu sauf les cycles pour le botnet.


-1

Pourquoi ne pas utiliser une cible MX qui ne résout rien? Par exemple:

example.com. DANS MX 10 quelque chose d'invalide.

Les spammeurs verront l'erreur de résolution et ne se soucieront pas du prochain enregistrement MX, pensant que la cible est mal configurée. Les vrais serveurs essaieront le prochain enregistrement. Cela ne dérangera personne pour le port TCP fermé 25 - c'est-à-dire pas de trafic smtp, seulement DNS.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.