MX zaznam

[Milan Keršláger]

On Thu, Nov 11, 2004 at 01:14:47PM +0100, Vlastimil Kupsky wrote:
> Dobry den,
> 
> chtel bych se zeptat na nasledujici vec.
> 
> Mam server, ktery je pro danou domenu nastaven MX zaznamem jako primarni a u
> providera je sekundarni. Tady se asi moc chyb udelat neda. Nicmene mam
> problem - pokud zablokuji na firewallu prichozi pakety na port 25 a povolim
> je jen ze sekundarniho mail serveru, tak bych predpokladal, ze veskera posta
> prijde na sekundarni mail server, odkud se posle na primarni mail server.
> Tato technika obcas funguje a obcas ne (resp. z nekterych mail serveru ne).

Musite vedet, kvuli jake chybe byla zprava zaloznim MX serverem
odmitnuta a resit konkretni problem.

MX jsou hooodne starou zalezitosti a pochybuju, ze by je jeste nejaky
MTA ignoroval. To by pak neslo posilat maily neco na domena.cz (muselo by
to byt neco na stroj.domena.cz).

> Proto se ptam, je pouzivani MX zaznamu takovym standartem, ze tyto techniky
> pouziva kazdy mail server, nebo jsou vyjimky. A nebo nekterym mail serverum
> vadi odpoved, kterou dostanou od firewallu a dal uz se nepokouseji o kontakt

Od firewallu by melo dojit ke korektnimu uzavreni (odmitnuti) spojeni.
Standardni je TCP Reset. Mene standardni je nejaka ICMP zprava (napr.
ICMP port unreachable). Tj. v iptables:

iptables -A INPUT -p tcp -s IP.ZAL.MX.PC --dport smtp -j ACCEPT
iptables -A INPUT -p tcp --dport smtp --reject-with tcp-reset

Urcite byste nemel delat DROP, protoze se pak ceka na timeouty.

Take by nemelo dojit k tomu, ze to spojeni odmitne az MTA (tj. vrati se
nejaky kod chyby na urovni SMTP relace).

> se zaloznim mail serverem. Nebo je jeste neco jineho pro by vyse popsany
> zpusob nemel fungovat.

-- 
                        Milan Kerslager
                        E-mail: milan.kerslager na pslib.cz
                        WWW:    http://www.pslib.cz/ke/