Zlepšete si antispam – 4. díl

Zlepšete si antispam – 4. díl

 

Dnešní díl našeho antispamového seriálu se věnuje Sekundárnímu MX serveru. Pokud Vám unikl některý z předchozích článků, můžete si je přečíst zde:

1. Greylisting
2. BATV – Watermarking
3. SPF a DKIM
4. Sekundární MX server a nastavení DNS
5. Ověření reverzního záznamu a RBL
6. Email harvesting
7. Externí konfigurace DNS

Sekundární MX server

zná asi každý, jedná se v podstatě o záložní poštovní server, který přebírá poštu pro Vaši doménu v případě výpadku serveru primárního (nezaměňovat s vysokou dostupností primárního poštovního serveru). Tento sekundární server ale narozdíl od primárního většinou nedoručuje emailové zprávy do poštovních schránek uživatelů, ale drží emaily v lokální frontě a snaží se je opakovaně doručit na primární MX server. V případě výpadku primárního emailového systému nám tedy poskytuje dostatečný čas k jeho obnovení. Po opětovném nastartování primárního MX serveru se všechny emaily ve frontě sekundárního MX serveru doručí na primární server, a tím i uživatelům. Dle mých zkušeností v praxi je sekundární MX server velmi často slabým místem v zabezpečení, a způsobuje spousty problémů, o kterých většinou administrátoři nemají ani tušení.

V případě, že primární MX server funguje, neměl by být sekundární MX server využíván. Tady ale nastává veliké ALE, protože praxe je přesně opačná. Je běžnou metodou spamerů používat pro spamování MX server s nejnižší prioritou (sekundární, terciální, atd.), protože se obecně předpokládá, že tento systém je z emailových systémů nejméně důležitý, a tím tedy i nejméně zabezpečený. Často jsem se v praxi setkal s tím, že zákazník měl na primárním antispamu nastaven sekundární MX server ve whitelistu, a tím pádem mu chodili všechny spamy co propustil sekudární MX server. Sekudární MX si většinou zákazníci pronajímají, nebo dostávají zdarma od externích subjektů (například ISP), ale tyto servery mají většinou jen mizivou úspěšnost v detekci spamů. Velmi často se pak stává sekundární MX server nejslabším místem emailového zabezpečení.

Navíc z praxe musím říci, že RFC 2821 a příslušné normy, které se týkají emailové komunikace, se běžně ignorují. Je naprosto normální, že standardní emailový server rovnou (bez zjevného důvodu) komunikuje se sekundárním MX serverem místo primárního. Webové systémy, které generují emailové zprávy pomocí různých jazyků (například php) často zkusí doručit zprávu jednou, a pokud ji Váš emailový server okamžitě nepřijme, zprávu již neobdržíte. Z důvodů zneužívání MX serverů s nejnižší prioritou se administrátoři často rozhodnou zřídit tzv. FAKE MX, což v praxi znamená falešný MX záznam s nejnižší prioritou, který většinou ukazuje na neexistující emailový server. Vzhledem k tomu, že i běžné emailové servery často využívají MX serverů s nižší prioritou bez zjevného důvodu, může toto způsobovat zpomalování poštovní komunikace, a proto není tato technika doporučena.

Další problémy nastávají pokud zákazník začne používat Greylisting nebo Watermarking (BATV). Pokud na primárním serveru spustíte greylisting a nezapnete ho i na sekundárním MX serveru, automaticky Vám veškerá pošta bude chodit přes sekundární MX, což v podstatě vyřadí greylisting, a navíc zpozdí poštovní komunikaci. Pokud zapnete Watermarking (BATV) pouze na primárním MX serveru, přestanou Vám fungovat odpovědi na emailové zprávy odeslané z Vaší domény. Nezapomeňte, že vždy Vám část pošty bude chodit přes sekundární MX server (jak jsem již zmiňoval výše) a nemůžete tedy spoléhat na to, že sekundární MX server běžně do komunikace nezasahuje, protože to není pravda.

Nastavení všech MX serverů se provádí v DNS a to následujícím způsobem:

IN    MX    10    mail.awinit.cz        # primární MX server
IN    MX    20    mail2.awinit.cz     # sekundární MX server
IN    MX    30    mail3.awinit.cz     # terciální MX server

Číslo (10,20,30) je priorita MX serveru. Pozor nejnižší číslo znamená největší prioritu a naopak.