[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Opzetten van een Postfix, ik zie door de bomen het bos niet meer

Op 07-10-12 21:25, Vincent Zweije schreef:
> On Sun, Oct 07, 2012 at 12:55:39PM +0200, Paul van der Vlis wrote:
> 
> ||  paul@server2:~$ host -t MX jeroenveldhuijzen.nl
> ||  jeroenveldhuijzen.nl mail is handled by 50 mail.jeroenveldhuijzen.nl.
> ||  jeroenveldhuijzen.nl mail is handled by 100 mail.kpnmail.nl.
> ||  paul@server2:~$ host mail.jeroenveldhuijzen.nl
> ||  Host mail.jeroenveldhuijzen.nl not found: 3(NXDOMAIN)
> ||  paul@server2:~$
> ||
> ||  En mail.kpnmail.nl zal het domein niet kennen, en mail dus weigeren.
> 
> En inderdaad, mail.kpnmail.nl weigert dit:
> 
>     $dig +short mail.kpnmail.nl.
>     smtp.kpnmail.nl.
>     mailhost.kpnplanet.nl.
>     213.75.63.13
>     $telnet 213.75.63.13 25
>     Trying 213.75.63.13...
>     Connected to 213.75.63.13.
>     Escape character is '^]'.
>     220 CPSMTPM-CMT104.kpnxchange.com kpnxchange.com Sun, 7 Oct 2012 21:02:38 +0200
>     helo love.zweije.nl
>     250 CPSMTPM-CMT104.kpnxchange.com Hello [80.101.26.192]
>     mail from:vincent@zweije.nl
>     250 2.1.0 vincent@zweije.nl....Sender OK
>     rcpt to:root@jeroenveldhuijzen.nl
>     550 5.7.1 Unable to relay for root@jeroenveldhuijzen.nl
>     quit
>     221 2.0.0 CPSMTPM-CMT104.kpnxchange.com Service closing transmission channel
>     Connection closed by foreign host.
>     $
> 
> Dit betekent dat de lage-prioriteit mx entry bij kpn niet gaat helpen.
> 
> Een optie die overblijft is om via een andere host dan mail.kpnmail.nl je
> mail te ontvangen, en het dan over een andere poort naar jouw computer
> te versturen. Dat vereist dat die andere computer en jouw server een
> aparte poort, anders dan 25, afspreken om de mail over te versturen.

Waarom zou je dat willen?  Als je een backup-MX wilt draaien kan dat ook
prima over poort 25, een andere poort lijkt me ingewikkeld en onnodig
(tenzij uitgaand verkeer over poort 25 geblokkeerd wordt bij de backup MX).

Maar zowiezo gebruik ik tegenwoordig nauwelijks nog backup MX-en, ze
kunnen namelijk nogal gemakkelijk worden misbruikt door spammers.
Die spammers gebruiken dan als afzender de persoon die ze spam willen
sturen.

> Ik ben ook wel eens backup mail exchanger (mx) geweest voor anderen, en
> omgekeerd. Niet over een andere poort dan 25, maar intern heb ik wel eens
> twee mailservers gehad waarvan er een op poort 24 draaide. Is te doen.
> 
> ||  Het benaderen via poort 25 is normaal niet het probleem. Waar het om
> ||  gaat is het verzenden. Mocht poort 25 geblokkeerd zijn naar buiten, dan
> ||  kun je een relayhost instellen in Postfix. Als relayhost geef je dan de
> ||  mailserver van je provider. Ik heb meegemaakt (bij Ziggo) dat dit alleen
> ||  functioneerde als ik de de naam van de mailserver tussen rechte haken
> ||  zette, dus iets als "relayhost = [mail.kpn.com]"
> 
> Dit geldt voor het verzenden van mail.
> 
> Voor het ontvangen van mail mag jouw provider poort 25 naar jou toe niet
> blokkeren; anders ben je aangewezen op maatregelen als boven beschreven.

Ben je ooit een provider tegengekomen die poort 25 blokkeert voor
inkomend verkeer?  Ik niet.

> Terzijde: dnsexit.com doet rare dingen met IPv6:
> 
>     $dig dnsexit.com. ns
> 
>     ; <<>> DiG 9.8.1-P1 <<>> dnsexit.com. ns
>     ;; global options: +cmd
>     ;; Got answer:
>     ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5812
>     ;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 7
> 
>     ;; QUESTION SECTION:
>     ;dnsexit.com.                   IN      NS
> 
>     ;; ANSWER SECTION:
>     dnsexit.com.            26995   IN      NS      ns1.dnsexit.com.
>     dnsexit.com.            26995   IN      NS      ns2.dnsexit.com.
>     dnsexit.com.            26995   IN      NS      ns3.dnsexit.com.
>     dnsexit.com.            26995   IN      NS      ns4.dnsexit.com.
> 
>     ;; ADDITIONAL SECTION:
>     ns1.dnsexit.com.        57516   IN      A       67.214.171.77
>     ns1.dnsexit.com.        57492   IN      AAAA    ::1
>     ns2.dnsexit.com.        57595   IN      A       142.54.181.62
>     ns2.dnsexit.com.        57595   IN      AAAA    ::2
>     ns3.dnsexit.com.        57522   IN      A       199.192.200.41
>     ns3.dnsexit.com.        57509   IN      AAAA    ::3
>     ns4.dnsexit.com.        55795   IN      AAAA    ::4
> 
>     ;; Query time: 1 msec
>     ;; SERVER: ::1#53(::1)
>     ;; WHEN: Sun Oct  7 21:22:53 2012
>     ;; MSG SIZE  rcvd: 261
> 
>     $
> 
> WTF? Adressen ::1, ::2, ::3, ::4? Dat zijn echt geen globaal bereikbare
> IPv6 adressen. Wie de nameservers van dnsexit.com probeert te bereiken
> over IPv6 gaat ze niet vinden. Stelletje sufferds daar bij dnsexit.com.
>
> Maar ik dwaal af.

;-)

Groet,
Paul.




-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl
Reply to: