Dans quelles circonstances (le cas échéant) un enregistrement MX doit-il pointer vers localhost?

Je pense qu'il n'y a absolument aucune raison ou justification à cela, mais avant d'ouvrir la bouche et de trouver un administrateur en kimchi profond, j'ai pensé que je devrais demander.

Existe-t-il des circonstances dans lesquelles un enregistrement MX doit pointer vers une adresse de bouclage? Pour moi, cela signifie que tout serveur de messagerie qui essaie d'envoyer vers ce domaine s'enverra à lui-même et échouera, mais je ne suis pas un gourou de la messagerie, alors peut-être que je manque quelque chose.

Je suis tombé sur le ci-dessous lors du dépannage d'un e-mail pourquoi-ne-sommes-nous-pas ?? problème pour un client, et j'ai du mal à m'enrouler la tête. Mais je pense peut-être trop aux choses.

Réponse courte: ça ne devrait pas.

Réponse longue: Si le domaine en question (DIQ) ne doit pas recevoir de courrier électronique, la mise en place d'une adresse de bouclage pour l'enregistrement MX oblige le serveur d'envoi à tenter de se connecter à lui-même. Cela permet au DIQ d'économiser quelques octets et peut éventuellement nettoyer les journaux du pare-feu (si quelqu'un regarde même) lorsque d'autres serveurs de messagerie tentent de se connecter. Cependant, à mon avis, les économies de bande passante ne sont pas suffisantes pour justifier la violation de la RFC 3330.

Certainement un NON, pas avec une IP 127.0.0.0. L'ensemble de la plage 127.0.0.0 sur IPv4 fonctionne comme des adresses de bouclage, donc quand une machine se connecte aux IP de cette plage, elle essaiera de se connecter à elle-même.

Votre adresse IP d'enregistrement MX doit être accessible depuis le monde extérieur et ce que ce résultat indique à tout serveur effectuant une requête MX, pour essayer de se connecter à lui-même.

Si mon serveur essayait de vous envoyer un e-mail, il rechercherait l'enregistrement MX, puis connecterait sa propre adresse IP, enverrait l'e-mail et échouerait.

Les RFC concernés disent:

• L'enregistrement de ressource MX DOIT pointer vers un nom de domaine complet (et non une adresse IP) d'un serveur sur Internet public qui accepte le courrier pour le domaine. Notez que ce serveur ne doit pas nécessairement être dans le même domaine que l'enregistrement MX. RFC 1035 section 3.3.9

• Les adresses dans la plage 127.0.0.0/8 NE DOIVENT JAMAIS apparaître sur Internet public. RFC 5735 section 3

Notez que certains serveurs de messagerie refusent les e-mails d' expéditeurs non conformes aux RFC applicables .

Lorsqu'un hôte doit être capable de s’envoyer des messages sur différents domaines hébergés mais n’accepte pas de courrier externe, «MX 0 localhost». est acceptable. Pour indiquer qu'un hôte n'a aucun serveur de messagerie, utilisez "MX 0".

Le "MX 0". est détaillé dans RFC7505 .

Eh bien, j'ai une situation où la définition de MX d'un domaine sur localhost semble être nécessaire.

En mars 2012, j'ai enregistré un joli domaine que j'ai été surpris de trouver disponible. C'était pour un site de collaboration artistique que ma fille voulait créer. J'ai réglé le MX sur l'un de mes autres serveurs smtp. Cela a bien fonctionné, mais j'ai ensuite commencé à recevoir beaucoup de rebonds de courrier "utilisateur inconnu" à [email protected] (pas le vrai nom de domaine). J'ai donc utilisé MailScanner pour bloquer tous les messages entrants vers ce domaine, à l'exception d'une adresse légitime. Il semble que le domaine était un service de messagerie gratuit à partir de 2001, mais était apparemment devenu sombre et avait abandonné son joli nom de domaine.

Cela a bien fonctionné jusqu'à il y a quelques jours (20/11/12) lorsque le serveur smtp a commencé à rejeter les messages entrants en raison de connexions ouvertes excessives. Il s'agissait de processus smtp en attente de réponses "réception à", je pense. J'ai regardé le trafic et je me faisais bombarder par des milliers de messages entrants pour [email protected] à partir d'autant de relais smtp dans le monde entier. (17 000 messages sur une période de 24 heures)

J'ai donc changé le MX pour pointer vers un autre serveur qui n'exécute pas smtp avec le port 25 bloqué. Effectivement, des milliers de sessions abandonnées ont commencé à apparaître. Étant donné que ce comportement ressemble à une sorte de torrent de spam, peut-être à partir d'un botnet, je me suis dit que la configuration du MX sur localhost pourrait être nécessaire.

Je vais le laisser comme ça pendant un moment. Nous n'avons pas besoin du tout d'e-mail pour le cute.domain.com, donc rien n'est perdu sauf les cycles pour le botnet.

Pourquoi ne pas utiliser une cible MX qui ne résout rien? Par exemple:

example.com. DANS MX 10 quelque chose d'invalide.

Les spammeurs verront l'erreur de résolution et ne se soucieront pas du prochain enregistrement MX, pensant que la cible est mal configurée. Les vrais serveurs essaieront le prochain enregistrement. Cela ne dérangera personne pour le port TCP fermé 25 - c'est-à-dire pas de trafic smtp, seulement DNS.