frage zu backup-mx und spam/viren Meidung beim direkten Mailempfang

[Dirk-HH-83 14]

Hallo, 

 

die Email Filter Appliance ist in einem externen RZ und leitet per SMTP Port 25 die eingehende Mails an den lokalen SMTP-Mailserver weiter.

 

In den DNS Domain Einstellung beim Webadmin steht dies:

 

MX 10   smtp.Email.Filter.Appliance.com

MX 100 lokaler.smtp-mailserver.com

 

In der lokalen Firewall ist festgelegt, dass Mails über Port 25 nur von smtp.Email.Filter.Appliance.com angenommen werden.

 

Wenn bei der lokalen Firewall Port 25 eingehend ANY-EXTERNAL freigeschaltet wird kommt merkbar viel mehr SPAM durch.  

(obwohl der RZ Filter läuft und ja niedrigere MX Prio hat)

 

Sollte der RZ-Mailfilter ausfallen sollen die Mails dennoch empfangbar bleiben ohne das man bei der Firewall handisch die Port 25 Policy auf Any-External ändern muss.

 

Was könnte man dazu tun?

 

danke/gruß dirk

 

 

[NorbertFe 2.034]

Ich würde den zweiten mx abschalten. Wozu steht das denn im rz, wenn ihr dort keine höhere Verfügbarkeit gewährleisten könnt?

[magheinz 110]

ein backupmx hat so gut wie nie eine Existensberechtigung.

Die spammer schicken gezielt an den backupmx. da kannst schlicht nix machen ausser ihn ientisch zum ersten ausstatten. wozu dann aber noch backup?

[NorbertFe 2.034]

da kannst schlicht nix machen ausser ihn ientisch zum ersten ausstatten. wozu dann aber noch backup?

Na wenn sie identisch sind, dann hab ich Redundanz. So einfach kanns sein. :) (Ja ich weiß, man könnte auch Round Robin nutzen)

 

Bye

Norbert

[GuentherH 61]

.. und als Ergänzung zu Norberts Beitrag.

Jeder ordentlich konfigurierte Mailserver versucht zumindest 48 Stunden lang Nachrichten zuzustellen. Erst dann wird ein NDR generiert.

Und wenn das RZ länger wie 48 Stunden ausfällt, dann gibt es andere Probleme.

 

Und wie magheinz schreibt. BackupMX war einmal.

 

LG Günther

[NorbertFe 2.034]

Hmm naja Backup MX kann man schon tun, nur sollte man dann eben wissen was. ;) Das mit dem nicht reagierenden MX war auch mal irgendwo ein "Tipp", den ich nicht nachvollziehen konnte. Find ich nur grad nicht mehr. :)

[magheinz 110]

Wenn der Backup nicht zum Spameinfallsstor werden soll muss er zwangsläufig die selbe Konfig und Leistung haben wie der primäre. Damit fällt aber im Normalfall der Sinn weg.

Jetzt könnte man also beide als 10er mx betreiben.

round-robin ist hierbei keine gute Idee:

1. Keine echte Lastverteilung. Will ein Server 100 Mails loswerden und einer nur 10 landen die 100 doch nur auf einer IP.

2. Wenn ein MX nicht reagiert hilft round-robin nicht. Ob und wann der Absender einen Neue DNS-Anfrage macht lässt sich vom MX-Betreiber nicht beeinflussen.

3. Bei zwei 10er MXen kann der Absender, wenn er denn mal ganz viele E-Mails einliefern möchte, selber eine Lastverteilung machen.

 

Mit Roundrobin nimmt man also demjenigen der als einziger eine Lastverteilung machen könnte, nämlich dem Absender, genau die Möglichkeit dies zu tun.

Der Backup-MX wird hauptsächlich von Spamern benutzt werden. Muss also mind. die gleiche Filterung machen können.

 

Alles in allem: Lieber 2 mal 10er MX als einmal 10er und einmal 20er.

 

Das ganze hier noch mal als Folien von einem der sich echt damit auskennt:

https://www.heinlein-support.de/sites/default/files/mailserver-best-practice.pdf

Man findet auch diverse Vorträge von ihm als Video im Netz.

[NorbertFe 2.034]

Wieso fällt der Sinn des Backup mx weg, wenn er die selbe konfig hat?

 

Natürlich ist round Robin keine "echte" lastverteilung. ;)

bearbeitet 28. Dezember 2016 von NorbertFe

[magheinz 110]

bei gleicher konfig und leistung kann er auch gleichberechtigt betrieben werden.

die idee war ja mal als backup was billigeres zu nehmen. und dann kam der spam...

[NorbertFe 2.034]

Naja Backup im Sinne von mehr als ein mx.