Validação de DNS SMTP com vários servidores de e-mail por trás de vários IPs públicos

2

Eu sei que quando um servidor de e-mail recebe um e-mail, ele executa uma "verificação de maneira DNS 3" (acho que isso também é chamado às vezes de FCrDNS ) como um simples teste contra spammers. A maneira que eu entendo que funciona é o seguinte:

Começando com o IP de origem do e-mail recebido (extraído do pacote IP real):

  1. Reverse Lookup o PTR para o IP de origem - isso resulta em um nome de domínio
  2. Encaminhar pesquisa no nome de domínio de # 1 - isso resulta em um endereço IP
  3. O SourceIP do e-mail recebido deve corresponder ao endereço IP que resultou no número 2.

Às vezes, há uma verificação adicional do Banner Helo do SMTP, que está no formato do nome do domínio. Faça uma pesquisa direta no nome de domínio, que resulta em um endereço IP. Em seguida, faça uma pesquisa inversa do PTR do endereço IP, e isso deve resolver novamente para o mesmo nome de domínio nos registros DNS SMTP acima estão definidos.

Mas e se você tiver 30 servidores de e-mail, todos compartilhando 3 IPs diferentes. Como você define os registros de Faixa de SMTP, Registros A e PTR para passar em todos os testes acima? Suponha que não há como os 30 servidores de e-mail saberem qual endereço IP estão recebendo do lado de fora. Cada nova conexão TCP poderia, teoricamente, vir de um IP público diferente.

Meu melhor palpite é que você teria que configurar:

mailer.eddie.com     IN     A     1.1.1.1
mailer.eddie.com     IN     A     1.1.1.2
mailer.eddie.com     IN     A     1.1.1.3

3.1.1.1.in-addr.arpa.   IN     PTR     mailer.eddie.com
2.1.1.1.in-addr.arpa.   IN     PTR     mailer.eddie.com
1.1.1.1.in-addr.arpa.   IN     PTR     mailer.eddie.com

SMTP Banner for each server:  mailer.eddie.com

Mas isso causaria outros problemas com 30 servidores de e-mail compartilhando exatamente o mesmo banner SMTP? E como a pesquisa direta (etapa 2 de 3 acima) seria afetada se a pesquisa do domínio retornasse 3 endereços IP diferentes?

Para resumir, esta é realmente uma questão que tem três locatários principais para serem falados:
(1) Confirme a operação da verificação de três vias DNS / SMTP.
(2) Confirme a funcionalidade da solução para vários servidores atrás de um IP público.
(3) Confirme e elabore sobre a funcionalidade de vários servidores por trás de vários endereços IP públicos, não estáticos.

    
por Eddie 09.03.2015 / 09:29

1 resposta

1

O seu cenário NAT "Suponha que não há como os 30 servidores de correio saberem qual é o endereço IP que estão obtendo no exterior" está quebrado no contexto da entrega confiável de SMTP.

É bem simples. Um registro DNS reverso só pode mapear confiável de volta para um nome de host. Ou seja 2.1.168.192.in-addr.arpa. será mapeado apenas para smtp1.example.com .

O mesmo vale para o registro A: smtp1.example.com. deve apontar apenas para um endereço IP 192.168.1.2 caso contrário, você obterá um DNS round-robin em que uma pesquisa mostrará um endereço IP diferente do segundo.

(O destinatário obtém a conexão de entrada de 192.168.1.3 identificada como smtp1.example.com e realiza uma pesquisa de DNS que retorna um registro A 192.168.1.2 - > Incompatibilidade e, portanto, uma pontuação extra de spam.)

Isso cria uma regra simples: um servidor de e-mail deve usar apenas um único endereço IP como o principal.

    
por 09.03.2015 / 09:54