Hallo Magnus,
On 05/12/2015 06:20 PM, Magnus Wagner wrote:
- Zwei gleichwertige (also z.B. beide MX10) MX-Frontrelays in
verschiedenen Netzen aufbauen welche Spamfilterung machen und mittels
Die müssen nicht mal gleichwertig sein. Man kann auch z.B. den "backup"-MX mit weniger Ressourcen ausstatten und bei Bedarf mehr hinzufügen. In virtuellen Umgebungen ist da einiges möglich, auch automatisch.
Das stimmt schon. Aber ich sehe mehr Vorteile darin, wenn beide MX-10er sind als wenn einer ein 10er und der andere ein 20er ist. Wenn wir zwei 10er haben wird automatisch die Last verteilt. Bei einem 10er und 20er versucht ein korrekt konfigurierter Client erst auf den 10er und dann auf den 20er zu gehen.
address verification via LTMP zu einem dovecot kontakt aufnehmen um die User zu prüfen.
Wo verwaltest du deine user? Wir haben hier ein LDAP(MS-AD) und fragen das ab. Dazu stehen in der DMZ zwei openldap als proxy. Im postfix kannst du mehrere LDAP-Server als Abfrageserver eintragen und hast so die Redundanz.
Wir verwenden auch LDAP. Und deine Lösung ist natürlich richtig. Aber durch die address verification via LMTP erspare ich mir überhaupt irgend einen LDAP Client auf dem MX einrichten und irgendwelche Zugangsdaten hinterlegen zu müssen. Ausserdem müsste die Firewall zusätzlich für LDAP geöffnet werden. Da der MX die Emails aber nach der ganze Spamprüfung so oder so via SMTP/LMTP durchreichen muss, ist da auch Firewalltechnisch für die Address Verification nichts mehr zusätzliches zu öffnen. Nebst der Einsparung von weiterer Software und potenziellen Fehlerquellen hat die Lösung weiterhin den Vorteil, dass postfix für die bereits geprüften Adressen ein Caching vornimmt. Dadurch veringert sich die Anzahl TCP/IP Verbindungen nochmals weil bereits gefundene oder nicht gefundene Adressen nicht jedesmal abgefragt werden.
Mailversand: Hier habe ich die grössten Fragezeichen. Wie kann ich hier eine einfache Lösung für Endbenutzer bewerkstelligen, damit diese nur z.B. smtp.example.com definieren müssen und bei Ausfall von smtp1 automatisch über smtp2 senden und umgekehrt? Und wo sollte man smtp1 resp. smtp2 laufen lassen? Auf den MXen oder auf den Dovecots?
Das kommt drauf an. Wir nutzen DNS-roundrobbin für smtp.example.com. Falls mal einer fehlt geht die E-Mail halt beim zweiten oder dritten Versuch raus. Wenns dann mal länger hängt passe ich den DNS schnell an.
Oh, ihr setzt DNS-roundrobbin ein? Habt Ihr da speziell tiefe TLLs für smtp.example.com? Ich bin davon ausgegangen, dass diese Lösung eher unbefriedigend für Endkunden ist weil die beim versenden einer Email nach dem ersten Schreck (Oh, es geht nicht) einfach 2-3x noch den Senden Knopf drücken. Da der Client aber zu dem Zeitpunkt ja bereits eine IP aufgelöst hat verbindet er einfach erneut mit der selben, zur zeit inexistenten IP, und kommt nicht mehr weiter. Aber wenn Ihr das einsetzt müsste ich das tatsächlich mal durchspielen und austesten.
Alternativ könnte man natürlich postfix mit den normalen LinuxHA-Features clustern.
Diese Lösung habe ich schon auch im Auge. Hatte aber gehofft, dass ich etwas einfacheres, schlankeres, bewährtes finde ;-)
++++ AUSSTELLUNGEN ++++ 21. November 2014 bis 26. April 2015 RAF � Terroristische Gewalt
P.s. das kann glaube ich aus der Signatur raus, oder habt Ihr verlängert? ;-)
Lieber Gruss Matthias