[Postfixbuch-users] reject_unknown_sender_domain

Alexander Stoll technoworx at gmx.de
Di Apr 28 16:16:18 CEST 2009


Kai Fürstenberg schrieb:

> Schon.., vergiss aber nicht, dass auch die DNS-Server ihrerseits DNS-Server
> befragen müssen, und auch diese Abfrage schiefgehen kann.
*DING* erster Einspruch, angenommen Dein rekursiver Resolver befragt die
Root-Server und hangelt sich die Hierarchie nach oben zur gesuchten Zone/Host,
so darf da auch ein Timeout/Übertragungsfehler/Paketdrop oder was auch immer
auftreten, es sind in der ganzen Kette immer mehrere DNS-Server zur Abfrage
vorhanden, scheitert tatsächlich eine Abfrage der Rekursionskette, hat der
Resolver einen TIMEOUT zu melden und nichts sonst, nur eine NX _Antwort_, die
_ausschließlich_ ein autoritativer NS der gesuchten Domain/Host liefern kann,
führt zu einem 5xx, keine Antwort, durch was auch immer verursacht, bedingt
keinen fatalen, permanenten Fehler - auch wenn Dein Postfix keinen Kontakt zu
Deinem eigenen Resolver aufnehmen kann.

> Dies sind alles Fehler, die letztlich dein eigenes System betreffen. Und 
> genau diese sollten eigentlich immer mit einem 4xx beantwortet werden. 
> Fehler des anderen bekommen natürlich den 5xx. Knochentrocken.
Siehe oben, trifft nicht zu.

> Ob aber in diesem Fall die DNS-Abfrage jetzt mangels A/MX-Einträge 
> scheitert, oder ein nachgeschaltetet Server dir sagt "Ich find nix, keine
> Ahnung, warum", sollte denke ich keinen Unterschied machen. (ich geb zu,
> DNS ist nicht gerade Spezialität, korrigiert mich also)
Habe ich hoffentlich hiermit wiederlegt. Ein autoritativer NS, der für eine
Domäne willkürlich falsche Antworten liefert oder ein rekursiver Resolver, der
falsche Ergebnisse der Rekursion ins Netz pumpt, sorgt generell für einen
ganzen Strauß von Problemen und sollte für diese Betrachtung außen vor
bleiben, wegen der weiten Auswirkungen eines solchen Fehlerbildes sollte sowas
recht schnell auffliegen...

Der überaus konservative Default ist, nach meiner persönlichen Meinung, ob des
vorbildlichen Verhaltens von Postfix für diese Fehlerklasse, diskussionswürdig.

mfG AS




Mehr Informationen über die Mailingliste Postfixbuch-users