Re: [postfix-users] Postfix und DNS
Morten P.D. Stevens wrote:
Hi Leute,
kleine Frage zu Postfix und DNS.
Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von unbekannten IP´s annimmt. (reject_unknown_client)
Aus der Postfix-Doku: | The unknown_client_reject_code parameter specifies the response | code to rejected requests (default: 450). Soll heissen: wenn du diesen Wert nicht auf einen 5xx-Code geändert hast, dann versucht jeder (standard-konforme) einliefernde Server später nochmal...
Das funktioniert auch alles einwandfrei... allerdings kann es unter Umständen Probleme geben, wenn mal ein DNS Server von uns nicht erreichbar ist. In dem Moment kann Postfix kein DNS Lookup auf die IP machen und kann daher nicht feststellen, ob es sich um ein unbekannte IP handelt oder nicht.
Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server ein, falls einer mal down ist.
joh..
Allerdings scheint es Postfix nur mit dem Primären DNS Server zu probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw. werden von Postfix abgewiesen.
evtl. eine ältere Version der resolv.conf mit nur einem Eintrag in deinem Postfix-chroot..? (sofern chroot aktiviert..)
Als Lösungsmöglichkeit sehe ich folgende: Einfach auf jedem Postfix Server einen einzelnen bind9 installieren, der nur auf localhost hört und somit kann Postfix vollkommen unabhängig seine DNS Abfragen machen?
bietet sich je nach Mailaufkommen sowieso an den (zusätzlichen) Resolver lokal auf der Maschine zu haben.. du wirst überrascht sein, wie viele DNS-Queries dein Postfix je nach Konfiguration so macht ;-)
Wie macht ihr das? Gibt es dazu eventuell noch bessere Lösungen? Unsere DNS Server sind zwar hochverfügbar aber mir geht es um genau die 30 Sekunden downtime wenn ein DNS Server mal rebootet z.B. wegen Sicherheitsupdates.
- auf jden Fall einen caching-DNS (muss ja kein BIND sein - gibt genug Alternativen..) auf die Postfix-Maschine - mehrere Netz-lokale DNS-Server/Resolver evtl in einen Load-Balancer (LVS/ipvsadm/keepalived/..) hängen - evtl. "über Kreuz" in zwei und diese beiden HA-IPs in die resolv.conf eintragen.. damit dann kein SPoF bei Ausfall des Load-Balancers.
Christian
* Christian Bricart christian@bricart.de:
Morten P.D. Stevens wrote:
Hi Leute,
kleine Frage zu Postfix und DNS.
Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von unbekannten IP´s annimmt. (reject_unknown_client)
Aus der Postfix-Doku: | The unknown_client_reject_code parameter specifies the response | code to rejected requests (default: 450). Soll heissen: wenn du diesen Wert nicht auf einen 5xx-Code geändert hast, dann versucht jeder (standard-konforme) einliefernde Server später nochmal...
Im Fehlerfalle wird IMMER ein 4xx code zurückgegeben auch bei einem 5xx code
participants (2)
-
Christian Bricart -
Ralf Hildebrandt