Redundanz bei Address Verifizierung
Hallo Postfix Profis,
ich habe folgendes Scenario:
## Mail Transport ##
MX Record (Prio 10) >> Postfix-1 >> Antispam Appliance-1 >> Exchange Cluster MX Record (Prio 10) >> Postfix-2 >> Antispam Appliance-2 >> Exchange Cluster MX Record (Prio 10) >> Postfix-1 >> Antispam Appliance-2 >> Ticket System MX Record (Prio 10) >> Postfix-2 >> Antispam Appliance-2 >> Ticket System
## Address Verification ## (daher auch "address_verify_transport_maps" in Benutzung)
MX Record (Prio 10) >> Postfix-1 (SMTP: RCPT To:) >> Antispam Appliance-1 (LDAP gegen ActiveDirectory) >> Exchange Cluster MX Record (Prio 10) >> Postfix-2 (SMTP: RCPT To:) >> Antispam Appliance-2 (LDAP gegen ActiveDirectory) >> Exchange Cluster MX Record (Prio 10) >> Postfix-1 (SMTP: RCPT To:) >> Ticket System (lokale Mailboxen, auch Postfix) MX Record (Prio 10) >> Postfix-2 (SMTP: RCPT To:) >> Ticket System (lokale Mailboxen, auch Postfix)
Fuer die beiden Antispam Appliances habe ich 2 gleiche A-Records erstellt, damit Postfix eine Art Round-Robin macht und der Aufall einer Appliance verkraftet werden kann.
Damit das ganze funktioniert, nutze ich die folgenden tables: - relay_domains - transport_maps - address_verify_transport_maps
Nun zu meiner Problematik:
Wenn eine Mail eingeht und eine der beiden Antispam Appliances ausfaellt, bekommt der sendende Server, immer wenn gerade der A-Record von der ausgefallenen AntiSpam Appliance genutzt wird, von Postfix ein: - 450 4.1.7 said: unverified address: Address verification in progress
Beim Transport jedoch (und Nutzung des Verifiy-Caches), wird eine Mail in ca 10-20 sek. an die andere Antispam Appliance zugestellt, sollte die eine nicht verfuegbar sein.
Gibt es die Moeglichkeit, eine bessere Redundanz bei der Address Verification zu schaffen? Beispiel: 1. SMTP kommt rein 2. SMTP: "RCPT To:" an Postfix 2. Address Verifiy gegen AntiSpam Appliance-1 (timeout) 3. Address Verifiy gegen AntiSpam Appliance-2 (success) 4. SMTP: "DATA etc." 5. SMTP ende
Ich moechte einfach vermeiden, dass bei Ausfall einer Antispam Appliance unnoetig Bounces an sendende Server generiert werden.
Freu mich auf eure Tipps =) Gruss Leo
Das Leo wrote:
Fuer die beiden Antispam Appliances habe ich 2 gleiche A-Records erstellt, damit Postfix eine Art Round-Robin macht und der Aufall einer Appliance verkraftet werden kann.
Damit das ganze funktioniert, nutze ich die folgenden tables:
- relay_domains
- transport_maps
- address_verify_transport_maps
Nun zu meiner Problematik:
Wenn eine Mail eingeht und eine der beiden Antispam Appliances ausfaellt, bekommt der sendende Server, immer wenn gerade der A-Record von der ausgefallenen AntiSpam Appliance genutzt wird, von Postfix ein:
- 450 4.1.7 said: unverified address: Address verification in progress
Letztlich das übliche Problem von DNS Round Robin.
Gibt es die Moeglichkeit, eine bessere Redundanz bei der Address Verification zu schaffen?
Du könntest
1. den MX ganz deaktivieren, wenn sein Address-Verification-Backend nicht funktioniert und somit das Failover zum anderen MX auf die sendenden MTAs verlagern.
2. einen HA-Proxy o.ä. vor das Address-Verification-Backend klemmen.
CIao, Michael.
On 20.10.2016 11:28, Michael Ströder wrote:
Du könntest
- den MX ganz deaktivieren, wenn sein Address-Verification-Backend nicht
funktioniert und somit das Failover zum anderen MX auf die sendenden MTAs verlagern.
- einen HA-Proxy o.ä. vor das Address-Verification-Backend klemmen.
...oder dafür sorgen, dass der MX in regelmäßigen Abständen eine Liste der validen Adressen von seinen Backends bezieht und damit etwas unabhängiger arbeiten.
Mit freundlichen Grüßen Christian Schmidt
participants (3)
-
Christian Schmidt -
Das Leo -
Michael Ströder