Mail und Redundanz. Was ist möglich?
Matthias Egger
maegger at ee.ethz.ch
Mi Mai 13 12:44:56 CEST 2015
Hallo Magnus,
On 05/12/2015 06:20 PM, Magnus Wagner wrote:
>> * Zwei gleichwertige (also z.B. beide MX10) MX-Frontrelays in
>> verschiedenen Netzen aufbauen welche Spamfilterung machen und mittels
>
> Die müssen nicht mal gleichwertig sein. Man kann auch z.B. den "backup"-MX mit weniger
> Ressourcen ausstatten und bei Bedarf mehr hinzufügen. In virtuellen Umgebungen ist da einiges möglich, auch automatisch.
Das stimmt schon. Aber ich sehe mehr Vorteile darin, wenn beide MX-10er
sind als wenn einer ein 10er und der andere ein 20er ist. Wenn wir zwei
10er haben wird automatisch die Last verteilt. Bei einem 10er und 20er
versucht ein korrekt konfigurierter Client erst auf den 10er und dann
auf den 20er zu gehen.
>> address verification via LTMP zu einem dovecot kontakt aufnehmen um die
>> User zu prüfen.
>
> Wo verwaltest du deine user? Wir haben hier ein LDAP(MS-AD) und fragen das ab.
> Dazu stehen in der DMZ zwei openldap als proxy. Im postfix kannst du mehrere LDAP-Server als Abfrageserver eintragen und hast so die Redundanz.
Wir verwenden auch LDAP. Und deine Lösung ist natürlich richtig. Aber
durch die address verification via LMTP erspare ich mir überhaupt irgend
einen LDAP Client auf dem MX einrichten und irgendwelche Zugangsdaten
hinterlegen zu müssen. Ausserdem müsste die Firewall zusätzlich für LDAP
geöffnet werden. Da der MX die Emails aber nach der ganze Spamprüfung so
oder so via SMTP/LMTP durchreichen muss, ist da auch Firewalltechnisch
für die Address Verification nichts mehr zusätzliches zu öffnen. Nebst
der Einsparung von weiterer Software und potenziellen Fehlerquellen hat
die Lösung weiterhin den Vorteil, dass postfix für die bereits geprüften
Adressen ein Caching vornimmt. Dadurch veringert sich die Anzahl TCP/IP
Verbindungen nochmals weil bereits gefundene oder nicht gefundene
Adressen nicht jedesmal abgefragt werden.
>> Mailversand:
>> Hier habe ich die grössten Fragezeichen. Wie kann ich hier eine einfache
>> Lösung für Endbenutzer bewerkstelligen, damit diese nur z.B.
>> smtp.example.com definieren müssen und bei Ausfall von smtp1 automatisch
>> über smtp2 senden und umgekehrt? Und wo sollte man smtp1 resp. smtp2
>> laufen lassen? Auf den MXen oder auf den Dovecots?
>
> Das kommt drauf an. Wir nutzen DNS-roundrobbin für smtp.example.com. Falls mal einer fehlt geht die E-Mail halt beim zweiten oder dritten Versuch raus.
> Wenns dann mal länger hängt passe ich den DNS schnell an.
Oh, ihr setzt DNS-roundrobbin ein? Habt Ihr da speziell tiefe TLLs für
smtp.example.com? Ich bin davon ausgegangen, dass diese Lösung eher
unbefriedigend für Endkunden ist weil die beim versenden einer Email
nach dem ersten Schreck (Oh, es geht nicht) einfach 2-3x noch den Senden
Knopf drücken. Da der Client aber zu dem Zeitpunkt ja bereits eine IP
aufgelöst hat verbindet er einfach erneut mit der selben, zur zeit
inexistenten IP, und kommt nicht mehr weiter. Aber wenn Ihr das einsetzt
müsste ich das tatsächlich mal durchspielen und austesten.
> Alternativ könnte man natürlich postfix mit den normalen LinuxHA-Features clustern.
Diese Lösung habe ich schon auch im Auge. Hatte aber gehofft, dass ich
etwas einfacheres, schlankeres, bewährtes finde ;-)
> ++++ AUSSTELLUNGEN ++++
> 21. November 2014 bis 26. April 2015
> RAF � Terroristische Gewalt
P.s. das kann glaube ich aus der Signatur raus, oder habt Ihr
verlängert? ;-)
Lieber Gruss
Matthias
--
Matthias Egger
ETH Zurich
Department of Information Technology maegger at ee.ethz.ch
and Electrical Engineering
IT Support Group (ISG.EE), ETL/F/24.1 Phone +41 (0)44 632 03 90
Physikstrasse 3, CH-8092 Zurich Fax +41 (0)44 632 11 95
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : smime.p7s
Dateityp : application/pkcs7-signature
Dateigröße : 4099 bytes
Beschreibung: S/MIME Cryptographic Signature
URL : <http://de.postfix.org/pipermail/postfix-users/attachments/20150513/d64fbbc8/attachment.bin>
Mehr Informationen über die Mailingliste postfix-users