Bonjour,
Attention, sur le livre de l'OCDE la problématique n'est pas la même que celle qui vous intéresse, il s'agit de mettre un MX (même faux) sur un domaine susceptible d'envoyer des emails pour ne pas que les mails soient bloqués à la réception. Car certains serveurs vérifient la présence de MX sur le domaine expéditeur à la réception d'emails, cela permet de contrôler que le domaine est bien en mesure de recevoir des emails en retour (notamment sur abuse et postmaster).
Concernant votre question générale : l'utilisant de faux MX en complément des vraies. De manière générale je ne vous recommande pas cela et ne suis pas d'accord avec les arguments du wiki de Spamassassin (d'ailleurs ils ne s'appliquent pas à eux même ces propositions Cf. conf. MX apache.com).
Nous avions fait des tests, il y a plusieurs années, afin de voir si cela avait une incidence sur le trafic global de réception de mails, ce n'est pas le cas (faible proportion). D'autre part, je considère cela comme risqué en terme de génération de faux-positifs (ou plutôt perte de mails) :
1) Si vous ajoutez un faux MX, il faut impérativement qu'il pointent vers une véritable IP, car certains serveurs (cf. cas présenté par l'OCDE ci-dessus) pourraient refuser vos emails en entrées si le MX ne pointe pas vers une IP valide.
2) Cette IP ne doit pas être en écoute sur le port TCP/25, sinon vous perdrez des emails dans tous les cas : retour 500 = le mail est refusé, retour 200= le mail est accepté, mais vous ne le récupérerez pas, car c'est un serveur inutilisé. Si par malheur, le serveur en question fermé sur TCP/25, se retrouve en écoute à un moment donné, vous allez perdre des emails.
3) Ne considérez pas qu'en le mettant avec un poids MX élevé il ne recevra que des spams et aucun emails légitime. Même avec une configuration 10 MX ok1, 20 MX ok2, 30 MX ok3, 1000 MX Fake. Le serveur Fake recevra quand même quelques mails légitimes (très peu soit, mais quelques-uns) et ceci même si les tous serveurs "ok" sont toujours Up.
4) D'autre part, contrairement à la logique et la théorie SMTP, certains serveurs n'arrivent pas à switcher de MX. Dès lors qu'ils essaient sur un MX ils vont persévérer dessus, attendre et réessayer indéfiniment (tant que le délai de réexpédition configuré n'est pas dépassé). Ceci est rare, concerne plus les cas de rejets temporaires que les indisponibilités franches, mais ça existe (retour d'expérience, non théorique).
En résumé, il est moins risqué de configurer normalement les MX en y associant des vrais relais filtrant qui fonctionnement. Je trouve que ça ne vaut pas le coup de prendre le risque de perdre des emails en voulant réduire le trafic (d'autant que si vous passez par un tiers comme nous, peu importe pour vous le trafic traité ;-) ).
Stephane MANHES
Oktey - Altospam
(PS/ Merci pour votre pub)
-------- Message original -------- Sujet: [FRsAG] Faux Enregistrement MX Date : Thu, 03 Oct 2013 17:02:14 +0200 De : Séb <seb@isostorm.com> Pour : French SysAdmin Group <frsag@frsag.org> Bonjour, Je suis actuellement à la recherche d'une potentielle solution Online pour protéger un serveur mail en scannant via un système type AltoSpam ou similaire. Il se trouve que lors de cette recherche, je suis tombé sur de nombreux tips qui propose d'ajouter sur le serveur DNS des faux enregistrements MX : - https://wiki.apache.org/spamassassin/OtherTricks - http://goo.gl/EtqiEX - http://goo.gl/iXeKa0 - http://www.hermes-project.com/pages/fakehermes Je me demande tout de même si il n'y a réellement aucun risque de perte de mail avec l'utilisation d'une telle "astuce". Si vous avez des retours, n'hésitez pas, et merci d'avance :) Bonne fin de journée.