Sob quais circunstâncias (se houver) um registro MX deve apontar para o host local?

8

Estou pensando que não há absolutamente nenhuma razão ou justificativa para isso, mas antes de abrir a boca e entrar com algum administrador no kimchi profundo, pensei em perguntar.

Existe alguma circunstância em que um registro MX aponte para um endereço de loopback? Para mim, isso diz que qualquer servidor de email que tentar enviar para esse domínio enviará para si mesmo e falhará, mas eu não sou um guru de email, então talvez esteja perdendo alguma coisa.

Me deparei com o abaixo ao solucionar um por que não estamos recebendo e-mail? problema para um cliente, e estou tendo problemas para envolvê-lo. Talvez eu esteja pensando demais nas coisas.

insira a descrição da imagem aqui

smtp mx-record HopelessN00b
fonte
7
Esta é basicamente dizendo, não envie e-mail para nós ... falar com a mão
Mike Pennington
@ MikePennington Se você não deseja receber um formulário por e-mail, por que você faria isso em vez de, por exemplo, remover seu registro MX?
precisa
5
se você remover o registro MX, o email será enviado para o registro A da parte do domínio do endereço de email. sem registro MX, muitas pessoas batem à sua porta procurando um servidor de correio que não está atendendo. com um endereço de loopback, o remetente bate na própria porta e não desperdiça sua largura de banda.
longneck
@ longneck Esse é o resultado final, mas provavelmente não é a melhor maneira de fazer isso. IMHO poluindo o DNS público é um movimento pau bastante para se livrar de spammers que só iria custar-lhe alguns bytes de um RSTpacote se você não estiver executando um servidor de correio ...
voretaq7
eu não disse que era uma boa ideia. Eu estava apenas explicando o que acontece quando você remove o seu registro MX e como a remoção dos registros MX não replica a configuração solicitada.
precisa saber é o seguinte

Respostas:

4

Resposta curta: Não deveria.

Resposta longa: se o domínio em questão (DIQ) não receber email, a inserção de um endereço de loopback no registro MX fará com que o servidor remetente tente se conectar. Isso economiza ao DIQ alguns bytes de sarampo e possivelmente limpa os logs do firewall (se alguém estiver assistindo) quando outros servidores de correio tentam se conectar. No entanto, na minha opinião, a economia de largura de banda não é suficiente para justificar a violação da RFC 3330.

pescoço longo
fonte
10

Definitivamente um NÃO, não com um IP 127.0.0.0. Todo o intervalo 127.0.0.0 no IPv4 funciona como endereços de loopback, portanto, quando qualquer máquina se conecta a IPs nesse intervalo, ela tenta se conectar a si mesma.

O endereço IP do seu registro MX deve estar acessível a partir do mundo exterior e o que esse resultado está dizendo a qualquer servidor que faz uma consulta MX, para tentar se conectar.

Se o meu servidor estivesse tentando enviar um email, ele pesquisaria o registro MX e, em seguida, conectaria seu próprio endereço IP, enviaria o email e falharia.

Ankh2054
fonte
1
+1 - NENHUM motivo para NUNCA definir um registro DNS público para um endereço em 127.0.0.0/8, 10.0.0.0/8, 172.16.0.0/12 ou 192.168.0.0/8 ... (Como em todos os internet "regras" que você pode, naturalmente, ignorar, mas você o faz por sua própria conta e risco, e só deve fazê-lo com pleno conhecimento do que você está fazendo e porquê ...)
voretaq7
@ voretaq7warez IN A 127.0.0.1
Michael Hampton
@MichaelHampton serviu de DNS público, voltado para o mundo? Tenho certeza de que há algo nas RFCs que diz isso é o equivalente de gatinhos afogamento ...
voretaq7
@ voretaq7 Sim, eu já vi isso, e em muitos lugares. Ela remonta pelo menos aos anos 90. A forma como foi utilizado foi: alguém iria perguntar onde encontrar warez, e ser dado o endereço warez.example.comque tem este registro em particular ...
Michael Hampton
6

Os RFCs relevantes dizem:

  • O registro de recurso MX DEVE apontar para um nome de domínio totalmente qualificado (não um endereço IP) de um servidor na Internet pública que aceite correio para o domínio. Observe que este servidor não precisa necessariamente estar no mesmo domínio que o registro MX. Seção 3.3.9 da RFC 1035

  • Endereços no intervalo 127.0.0.0/8 nunca devem aparecer na Internet pública. Seção 3 da RFC 5735

Observe que alguns servidores de email rejeitarão emails de remetentes que não estejam em conformidade com as RFCs relevantes .

Michael Hampton
fonte
4

Quando um host deve poder enviar email para si mesmo em diferentes domínios hospedados, mas não aceita email externo, "MX 0 localhost". é aceitável. Para indicar que um host não possui servidor de email, use "MX 0".

O "MX 0". é detalhado em RFC7505 .

Mr. X
fonte
3

Bem, eu tenho uma situação em que a configuração do MX de um domínio como localhost parece ser necessária.

Em março de 2012, registrei um domínio atraente que fiquei surpreso ao encontrar disponível. Era para um site de colaboração artística que minha filha queria criar. Defino o MX como um dos meus outros servidores smtp. Isso funcionou bem, mas comecei a receber muitas correspondências de "usuário desconhecido" para [email protected] (não o nome de domínio real). Então, usei o MailScanner para bloquear todas as mensagens recebidas nesse domínio, exceto um endereço legítimo. Parece que o domínio era um serviço de e-mail gratuito a partir de 2001, mas aparentemente ficou escuro e desistiu de seu nome de domínio atraente.

Isso funcionou bem até alguns dias atrás (20/11/12) quando o servidor smtp começou a rejeitar mensagens recebidas devido a excessivas conexões abertas. Esses eram processos smtp aguardando respostas de "recebimento de", eu acho. Olhei para o tráfego e estava sendo bombardeado por milhares de mensagens recebidas para [email protected] de tantos relés smtp em todo o mundo. (17.000 mensagens em um período de 24 horas)

Então mudei o MX para apontar para outro servidor que não esteja executando o smtp com a porta 25 bloqueada. Com certeza, milhares de sessões descartadas começaram a aparecer. Como esse comportamento parece algum tipo de torrent de spam, talvez de uma botnet, achei que seria necessário definir o MX como localhost.

Vou deixar assim por um tempo. Não precisamos de nenhum e-mail para o cute.domain.com, portanto, nada se perde, exceto os ciclos da botnet.

Wolfgang
fonte
-1

Por que não usar um destino MX que não resolve nada? Por exemplo:

example.com. No MX 10 algo. Inválido.

Os spammers verão o erro de resolução e não se incomodarão com o próximo registro MX, pensando que o destino está configurado incorretamente. Servidores reais tentarão o próximo registro. Isso não incomodará a porta TCP 25 fechada de ninguém - ou seja, não há tráfego smtp, apenas DNS.

MR.X
fonte