ざったばらん

最近 backup mx(secondary mx)に対する back scatterが多くなってきたて、このままだと、ip reputationとか rblに登録されちゃったらかなわんので対策。

うちの場合、backup mxは sendmailで運用しているのだが  relay-domainsに受け取る(転送する)ドメインを指定しているわけだが、ユーザーテーブルを持たないので、それこそrelay-domainsに書いているドメインであれば宛先が実在しようとしなかろうと受け取ってしまってリレー先に転送してしまう。
リレー先では当然 511 user unknownを backup mxに返すわけだが、差出人に返すのは backup mxの仕事。
と言うことで、差出人を詐称していれば詐称先に「そんなユーザー居ないよう」って返すんだが、詐称している先だからこれがバウンスしてキューに溜まったり、返送できてしまったら受け取った側はそれこそ迷惑メール！
ま、これが smtpの盲点を突いた back scatterなわけだが….

backup mxにリレー先のユーザーテーブルを見るようにして転送の可否を決定すれば良いんだけど、そもそも backup mxって praimaryが落ちてる時に代行するのが仕事なわけで、落ちてる時にユーザーのテーブルは、ま、ふつう参照できないわなぁ。
backup mxにテーブルを普段から持ってきとけば良いんだろうけどそんな手間なことやってられないし。
と言うことで、backup mxに dns rblを組み込んでそもそも受信の段階で弾いてしまおう。完全に遮断できるわけではないけどかなり強力に遮断してくれます(Barracuda Reputationが強烈。ここに登録されたらすごくまずそうw)。

色々な RBLがあるけど all.rbl.jpと最近よく聞く Barracuda Reputationを組み込むとしよう。
バックアップ MXは sendmailなので

FEATURE(dnsbl,`all.rbl.jp’)dnl
FEATURE(dnsbl,`b.barracudacentral.org’, “”550 Mail from ” $&{client_addr} ” refused. Rejected for bad WHOIS info on IP of your SMTP server ” in http://www.barracudacentral.org/lookups “”)dnl

を .mcに追加して make ～.cf
FreeBSDの場合、/etc/mailで freebsd.mcを編集して make freebsd.cf && cp freebsd.cf sendmail.cf
して、make restart

all.rbl.jpも拒否メッセージ戻したかったら barracudaみたいに拒否メッセージを仕込むと宜し。

で、barracudaで弾いた時の maillog

Sep 15 19:22:23 ns02 sm-mta[19970]: ruleset=check_relay, arg1=host-31-6-170-11.dynamic.mm.pl, arg2=127.0.0.2, relay=host-31-6-170-11.dynamic.mm.pl [31.6.170.11], reject=550 5.7.1 Mail from 31.6.170.11 refused. Rejected for bad WHOIS info on IP of your SMTP server in http://www.barracudacentral.org/lookups

敢えて、向こう側の IP晒してやろう