Paris, France

Les Mx Secondaires

Le filtrage des MX secondaires


Chaque domaine internet peut disposer d'un ou plusieurs serveurs chargés d'envoyer et de recevoir vos messages. Ces serveurs, appelés MX pour Mail eXchanger, sont des passerelles entre internet et votre système de messagerie (Lotus, Exchange, ...).

C'est le DNS (Domain Name System) qui permet à vos correspondants de trouver l'adresse de vos passerelles de messageries. Votre DNS dispose au moins d'un enregistrement de type MX permettant de définir à quel endroit livrer les messages pour votre domaine internet.

Quand votre passerelle principale (MX Primaire) ou que votre réseau sont indisponibles, c'est le MX secondaire qui reçoit et stocke temporairement les messages.
Sans le MX secondaire, en cas de panne du MX Primaire, les serveurs de courrier de vos correspondants, tentent de réémettre les messages pendant une durée variable (2 à 5 jours en moyenne). Passé ce délai, l'expéditeur reçoit un avis de non-distribution.

Au moment ou le MX principal est à nouveau en service, le MX secondaire lui transfert les messages en attentes. Mais ce n'est pas le seul moment ou le MX secondaire est utilisé car même quand votre MX principal est disponible, les MX secondaires reçoivent des messages à destination de votre domaine internet et les livrent immédiatement à votre MX principal.

Le problème est que le MX secondaire, fournis en générale par votre fournisseur internet (ISP), ne sont pas filtrés et les spammeurs le savent très bien !

Le fonctionnement décrit jusqu'à maintenant représente la grande majorité des architectures de messageries.

Conséquences d'un MX secondaire non-filtré :

  • Les mécanismes de protection basés sur l'adresse IP de l'émetteur comme la liste grise et les RBL deviennent partiellement inefficaces.
  • Sachant que la plupart des MX secondaires ne sont pas filtrés, les spammeurs s'y attaquent en premier.
  • Le MX secondaire étant en générale mutualisé, aucun contrôle d'annuaire n'est effectué au moment de l'arrivée du message.
  • Votre système anti-spam, aussi efficace soit t'il ne peut contourner ce problème car le MX secondaire est un serveur considéré comme digne de confiance par les règles de filtrage.

Conclusion : Ne mettez en oeuvre qu'un MX secondaire filtré ou n'en mettez pas du tout car c'est le point faible de votre architecture !.