Fórum Root.cz
Hlavní témata => Server => Téma založeno: Franta Loukota 06. 03. 2018, 22:28:14
-
Zdravim, jak obvyklé/riskantní je zapnout na přijímacím SMTP serveru kontrolu existence reverzniho DNS záznamu odesílajícího serveru ?
-
Velmi velmi obvyklé.
-
Zdravim, jak obvyklé/riskantní je zapnout na přijímacím SMTP serveru kontrolu existence reverzniho DNS záznamu odesílajícího serveru ?
Dela se to bezne, sejmes tak +- 80-90% prichoziho provozu, anzto a jelikoz neni uplne bezny aby vsemozny DSLlike linky mely reverz, pripadne spravne nastavenej reverz, takze eliminujes par miliard zavirovanych domacich PC.
A k tomu samozrejme par desitek tisic tardu neschopnych si za minutu to DNS nastavit.
-
Existencia správneho reverzného záznamu mala byť povinná podľa nejakého RFC, nechce sa mi teraz hľadať. Takže ak to nejaký vzdialený mailový server nemá, je nesprávne nastavený.
-
Mam to zapnute (v postfixu mam napsane vlastni policies filtry v php) takze existenci forward/reverse kombinaci kontroluji sam.
Navic jsem ale pridal kontrolu, zda na stroj jez se mi snazi poslat mail vede nejaky MX zaznam - coz u vetsiny hostu se splnuje, protoze je to normalni instalace kde prichozi/odchozi posta jde pres onen stroj.
Nejvetsi potiz je, ze cim vetsi firma, tim horsi je nastaveni. Typicky cloudove sluzby maji celou hromadu exit nodu, ze kterych posilaj maily a tyhle nemaj na sebe nastaveny MX. Takze jestli neco boucha od nich, ja je vidim jako hromadu DSL hostu se spravnym reverzem.
A pak uplne extremni jsou ti, co maj cloud ale pro kazde retry si vyberou jiny host - takze ani greylist tomuhle nepomuze.
-
Nejvetsi potiz je, ze cim vetsi firma, tim horsi je nastaveni. Typicky cloudove sluzby maji celou hromadu exit nodu, ze kterych posilaj maily a tyhle nemaj na sebe nastaveny MX.
To je bohužel taky celkem obvyklé. Mají zkrátka oddělené množiny SMTP serverů s MX záznamy a klientů (exit nodů), kde existence MX nedává smysl.
A pak uplne extremni jsou ti, co maj cloud ale pro kazde retry si vyberou jiny host - takze ani greylist tomuhle nepomuze.
U slušného cloudu bývá možné dohledat (vygooglit), jaký mají aktuální seznam těch odchozích serverů. A podle toho pak nezbývá, než aktualizovat konfiguraci greylistingu.