-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2007-01-27 a las 10:55 +0100, Josep M. Queralt escribió: ...
Si, tienes razón. Pero el ejemplo no era el habitual
Este si es normal:
Return-Path:
X-Original-To: mail@DOMINIO2.COM Delivered-To: mx-backup@DOMINIO1.COM Received: from mail2bryan.com (jau31-1-82-229-137-209.fbx.proxad.net [82.229.137.209]) by DOMINIO1.COM (Postfix) with SMTP id 8F85B604C2 for ; Sat, 27 Jan 2007 01:59:05 +0100 (CET) Message-ID: <01c741ae$5760dff0$d189e552@ilan> Reply-To: "Ambrogio Sievers" From: "Ambrogio Sievers" To: "Alysia Minton" La diferencia con el ejemplo de ayer está en el "Received:" este no lo falsifica, pero como en el otro caso si fuerza la entrega en DOMINIO1 cuando en realidad es correo para DOMINIO2.
Tengo una sospecha... ...
No, se trata de dos servidores totalmente separados. Cada uno tiene usuarios distintos.
¿Siendo uno el backup del otro? ¿Como puede ser así, si los usuarios son distintos? O sea, supongamos que se quiere enviar al uno, pero está caído, y se envía al backup, que es dos. ¿Como sabe el dos cuáles son los usuarios válidos del uno? Al margen de eso, el dos debe considerar como propios los del uno, ¿no? Mmm, lioso.
El DNS sería:
DNS: Dominio1.com IN MX 10 mail.dominio1.com MX 50 mail.dominio2.com
y el DNS de dominio2.com estaría al revés:
DNS: Dominio2.com IN MX 10 mail.dominio2.com MX 50 mail.dominio1.com
Claro.
El servidor de correo prioritario siempre es el propio. El de backup solo entra en juego cuando el primero se cae o en el improbable que se colapsara.
Pues entonces lo que creo que pasa es lo que han comentado otras veces, y que estaba sopsechando más arriba: los spammers buscan a propósito el servidor secundario, pensando que está más flojamente configurado, menos cuidado. Es decir, lo envían para el dos, pero a través de su secundario, que es el uno. Eso es habitual y "correcto" dentro de las normas, no está prohibido. Sería un exploit si el segundo fuese un servidor peor, el antiguo servidor del dominio con un software más atrasado, etc. No es el caso, pero lo intentan. Sólo puedes aplicar las normas habituales antispam... Mirando en mis bookmarks: http://advosys.ca/papers/postfix-filtering.html No veo la que yo pensaba.
Como ayer yo estaba en plan Buho me di una vuelta por Postfix.org buscando lo que me comentaste sobre como evitar este problema. De momento no lo he encontrado, pero si que vi cosas interesantes.
La más interesante:
http://www.postfix.org/faq.html#backup
En ella no se utiliza "permit_mx_backup" en las restricciones del SMTP. Eso es acorde con un post del 2004 que leí no se donde diciendo que mx_backup se iba a suprimir en las siguientes actualizaciones de postfix.
¿Eso que hace, permitir que el backup te envíe correo sin más? Pues no te conviene activarlo. Puedes activarles a ambos autorizaciones cruzadas. - -- Saludos Carlos E. R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.2 (GNU/Linux) Comment: Made with pgp4pine 1.76 iD8DBQFFuzuetTMYHG2NR9URAiPHAJ4qNmiiD1qNQUUaXkW5I9M5Kc/DDACfSP56 KDDVMim7ts5hybEdPcP/Mlg= =I3kU -----END PGP SIGNATURE-----