Greylisting + Secondary MX

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2613

28.11.2018 - 14:04

Das ist jetzt zwar nicht wirklich linux-related, ich poste es dennoch mal hier ins Subforum...

Folgendes Szenario:
1 Domain, 2 MX Records (mit unterschiedlicher Prio/Preference). Auf Server 1 (prefered) läuft Greylisting, dieser weist mit SMTP-Code 450 ab,
auf Server 2 kein Greylisting (nicht auf meinem Mist gewachsen).
Nun passiert folgendes, jemand schickt eine Mail, dieser Host wird gegreylisted und mit Statuscode 450 abgewiesen, jetzt probiert dieser dann sofort
die Mail an MX2 zuzustellen.

Ich konnte weder im SMTP-RFC (davon gibts auch schon mehrere Versionen wie ich festgestellt habe) noch sonst im Internet eine eindeutige Aussagen finden, vl. weis hier aber jemand besser bescheid:

Muss der Sending-MTA wenn er mit 450 abgewiesen wurde warten und beim gleichen Mailserver nochmal probieren oder muss er tatsächlich sofort zum 2. MX connecten und dort versuchen das Mail zuzustellen?! Gibts da irgendwie ein best-behaviour oder ist das generell ungeregelt?!

Redphex

Legend
RabbitOfNegativeEuphoria

Registered: Mar 2000
Location: Kadaverstern
Posts: 11812

28.11.2018 - 14:29

würde mal annehmen, dass es das Standard-Verhalten eines MTA ist, den secondary zu versuchen, wenn der primary die Nachricht nicht annimmt. Auf das wird man auf der empfangenden Seite wenig Einfluss haben.

persönlich würde ich die Sichherheitsmaßnahmen auf allen MX gleich aufbauen - gibt ja auch genug spammer, die gleich direkt den secondary ansprechen.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15844

28.11.2018 - 14:36

und freu dich wenn dann office365 daherkommt, die ändern zwischen den attempts nämlich auch noch die hosts von denen sie raussenden

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2613

28.11.2018 - 15:45

@uon:
das ist richtig, greylisting auf receiver-mailadresse+sender-ip ist sowieso defacto tot, ist ja auch bei google mit deren mta-farm das gleiche, da kannst sonst gleich alles whitelisten...

Bei Postfix ist es das Standardverhalten (option: smtp_skip_4xx_greeting), bei sendmail ebenso, hab dann auch noch einen thread bei ietf.org gefunden, wo man aber zu keinem direkten Konsens kam, deshalb die Frage ob das wirklich nicht festgelegt wurde was in dem Fall zu tun ist und hier jeder sein eigenes Süppchen kocht...

RFC5321
https://tools.ietf.org/html/rfc5321

Einerseits:
[...]When the lookup succeeds, the mapping can result in a list of
alternative delivery addresses rather than a single address, because
of multiple MX records, multihoming, or both. To provide reliable
mail transmission, the SMTP client MUST be able to try (and retry)
each of the relevant addresses in this list in order, until a
delivery attempt succeeds. However, there MAY also be a configurable
limit on the number of alternate addresses that can be tried. In any
case, the SMTP client SHOULD try at least two addresses.[...]

Andererseits:

4yz Transient Negative Completion reply
[...]Each reply in this category might have a different time value, but the SMTP client SHOULD try again. [...]

NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2613	28.11.2018 - 14:04 Das ist jetzt zwar nicht wirklich linux-related, ich poste es dennoch mal hier ins Subforum... Folgendes Szenario: 1 Domain, 2 MX Records (mit unterschiedlicher Prio/Preference). Auf Server 1 (prefered) läuft Greylisting, dieser weist mit SMTP-Code 450 ab, auf Server 2 kein Greylisting (nicht auf meinem Mist gewachsen). Nun passiert folgendes, jemand schickt eine Mail, dieser Host wird gegreylisted und mit Statuscode 450 abgewiesen, jetzt probiert dieser dann sofort die Mail an MX2 zuzustellen. Ich konnte weder im SMTP-RFC (davon gibts auch schon mehrere Versionen wie ich festgestellt habe) noch sonst im Internet eine eindeutige Aussagen finden, vl. weis hier aber jemand besser bescheid: Muss der Sending-MTA wenn er mit 450 abgewiesen wurde warten und beim gleichen Mailserver nochmal probieren oder muss er tatsächlich sofort zum 2. MX connecten und dort versuchen das Mail zuzustellen?! Gibts da irgendwie ein best-behaviour oder ist das generell ungeregelt?!
Redphex Legend RabbitOfNegativeEuphoria Registered: Mar 2000 Location: Kadaverstern Posts: 11812	28.11.2018 - 14:29 würde mal annehmen, dass es das Standard-Verhalten eines MTA ist, den secondary zu versuchen, wenn der primary die Nachricht nicht annimmt. Auf das wird man auf der empfangenden Seite wenig Einfluss haben. persönlich würde ich die Sichherheitsmaßnahmen auf allen MX gleich aufbauen - gibt ja auch genug spammer, die gleich direkt den secondary ansprechen.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15844	28.11.2018 - 14:36 und freu dich wenn dann office365 daherkommt, die ändern zwischen den attempts nämlich auch noch die hosts von denen sie raussenden
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2613	28.11.2018 - 15:45 @uon: das ist richtig, greylisting auf receiver-mailadresse+sender-ip ist sowieso defacto tot, ist ja auch bei google mit deren mta-farm das gleiche, da kannst sonst gleich alles whitelisten... Bei Postfix ist es das Standardverhalten (option: smtp_skip_4xx_greeting), bei sendmail ebenso, hab dann auch noch einen thread bei ietf.org gefunden, wo man aber zu keinem direkten Konsens kam, deshalb die Frage ob das wirklich nicht festgelegt wurde was in dem Fall zu tun ist und hier jeder sein eigenes Süppchen kocht... RFC5321 https://tools.ietf.org/html/rfc5321 Einerseits: [...]When the lookup succeeds, the mapping can result in a list of alternative delivery addresses rather than a single address, because of multiple MX records, multihoming, or both. To provide reliable mail transmission, the SMTP client MUST be able to try (and retry) each of the relevant addresses in this list in order, until a delivery attempt succeeds. However, there MAY also be a configurable limit on the number of alternate addresses that can be tried. In any case, the SMTP client SHOULD try at least two addresses.[...] Andererseits: 4yz Transient Negative Completion reply [...]Each reply in this category might have a different time value, but the SMTP client SHOULD try again. [...]

Greylisting + Secondary MX

Forum Index > Software > Linux and other OS

NyoMic

Redphex

userohnenamen

NyoMic