MX Backup - Realisierung... kleiner Denkfehler.

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
kasi4u
Posts: 116
Joined: 2002-08-12 22:34
Location: Leipzig

MX Backup - Realisierung... kleiner Denkfehler.

Post by kasi4u » 2004-07-03 10:13

Hallo,

ich möchte einen MX Backupserver einrichten. Also gehe ich wie folgt vor (dachte ich mir):

~/etc/postfix/main.cf:

Code: Select all

...
opt_smtpd_recipient_restrictions = permit_mx_backup, permit_mynetworks, check_relay_domains 
permit_mx_backup_networks = 82.165.abc.def/32
...
Dann passe ich meine Zonenfiles an:

Code: Select all

IN MX 10  server.de.
IN MX 20  mxbackup-server.de.
Somit würde eine Mail, die an den MX 10 server.de gesendet wird, der eventuell down ist und die Mail nicht annehmen kann, an MX 20 mxbackup-server.de gesendet und dieser macht...??! Was macht mein MX-Bakup-Server mit der Mail? Der legt sie in der mailq ab und versucht dann solange die Mail an MX 10 zu senden wie es geht?

Aber wie sage ich meinem MX-Backup-Server welche Mails er in der mailq ablegen soll? Ich muss dem Server doch sagen, sei für die IP's: 217.160.abc.def, 82.165.abc.def, 217.160.xyz.abc ansprechbar?!

Ich will für meine fünf Rootserver einen MX-Backup realisieren und habe dazu eben einen sechsten Rootserver, der für alle Fälle immer alles auffangen soll, wenn Not am Mann ist...

Ist das soweit richtig, was ich da zusammengestellt habe?

Gruß
Karsten

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by dodolin » 2004-07-03 11:56

http://www.postfix.org/STANDARD_CONFIGU ... tml#backup

http://www.postfix.org/postconf.5.html# ... strictions

Zum Rest kann ich später vielleicht noch was sagen, habe gerade keine Zeit...

kasi4u
Posts: 116
Joined: 2002-08-12 22:34
Location: Leipzig

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by kasi4u » 2004-07-03 13:01

...es läfut. fragt sich nur: ist es sicher oder kann nun jeder meinen mx-backup in sein zonefile aufnehmen und meinen mx-backup nutzen?

auf dem mx-backup-server habe ich eingestellt:
~/etc/postfix/main.cf:

Code: Select all

smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        permit_mx_backup,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unauth_destination,

opt_smtpd_recipient_restrictions = permit_mx_backup, permit_mynetworks, check_relay_domains
permit_mx_backup_networks = 82.165.XX.XX/32, 82.165.XX.XX/32, 82.165.XX.XX, 217.160.XXX.XXX/32, 217.160.XX.XX/32
und danach habe ich probehalber eine domain zum Testen verwendet: MXBACKUP in das zonenfile aufgenommen und auf dem server den postfix (dort wo die domain läuft) beendet und eine mail an die testdomain geschickt. siehe da: die mail landete im mailq von meinem mx-backup. nach einem reload von postfix (durch confixx) versandte postfix dann das mailq erneut und es kam beim primary-mx wieder an, denn dort startete ich zwischenzeitlich den postfix-deamon wieder.

der header der mail ist etwas länger geworden, aber das ist ja egal. es funktioniert. fragt sich bloß: reicht es auch, dass der mx-backup die IP's von meinen servern hat oder kann jeder meinen mx-backup nutzen, wenn er weiß, wie er heißt etc etc...!?

Danke,
Karsten

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by dodolin » 2004-07-03 14:24

ist es sicher oder kann nun jeder meinen mx-backup in sein zonefile aufnehmen und meinen mx-backup nutzen?
So wie ich die Postfix Doku interpretiere, ist das ganze "sicher", sofern in permit_mx_backup_networks nur genau deine eigenen Kisten stehen für die du Backup spielen möchtest.

Meine ganz persönliche Meinung aber:
Wenn man eh mehrere Kisten hat, sollte man sich überlegen, ob es nicht besser ist, sowas zu machen:

example.com IN MX mail.example.com
mail.example.com IN A IP1
mail.example.com IN A IP2
..

und auf den Backup MX zu verzichten.

Die Ausfallsicherheit ist dadurch ebenso erhöht, da ein RFC-konformer Sender alle IPs der Reihe nach durchprobieren sollte, wenn ein Server nicht erreichbar ist.

Dadurch hat man aber einige Vorteile im Vergleich zu einem simplen Backup MX: Jeder Server kann die lokalen User prüfen und direkt im SMTP Dialog ungültige User ablehnen. Alle Server können die selben Spam-/Virenchecks etc. fahren und direkt ablehnen. Das bringt Vorteile für einen selbst (kleinere Queues, weniger Last, ...) und für andere (keine "spurious" Bounces, ...).

kasi4u
Posts: 116
Joined: 2002-08-12 22:34
Location: Leipzig

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by kasi4u » 2004-07-03 16:22

klasse antwort :-). das ist natürlich auch eine gute überlegung.

gruß
karsten

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by mathiasr » 2004-07-04 16:37

Das Thema hatten wir schon, siehe www.rootforum.org/forum/viewtopic.php?p=166561

mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln

altes thema - aber ???

Post by mc5000 » 2005-03-21 13:40

Das hab ich nicht ganz verstanden ....
Meine ganz persönliche Meinung aber:
Wenn man eh mehrere Kisten hat, sollte man sich überlegen, ob es nicht besser ist, sowas zu machen:

example.com IN MX mail.example.com
mail.example.com IN A IP1
mail.example.com IN A IP2
..

und auf den Backup MX zu verzichten.

Die Ausfallsicherheit ist dadurch ebenso erhöht, da ein RFC-konformer Sender alle IPs der Reihe nach durchprobieren sollte, wenn ein Server nicht erreichbar ist.
Wenn ich den backup-mx weglasse, wie werden denn dann die Mails an den Primary gesand falls dieser mal down ist und dann wieder online ist??

Kann mir das jemand mal mit einem Satz mehr erklären?? Ich glaub ich steh auf dem Schlauch ... :oops:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by dodolin » 2005-03-22 15:20

Wenn ich den backup-mx weglasse, wie werden denn dann die Mails an den Primary gesand falls dieser mal down ist und dann wieder online ist??
In dem man dem zweiten MTA die nötigen Mailroutinginformationen in seiner Konfiguration zukommen lässt.

mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln

aha!

Post by mc5000 » 2005-03-23 09:07

Okay, versteh ich - doch bedeutet das nicht mehr Aufwand als beim Backup-Fall :?:

:arrow: Danke für die Nachhilfe :wink:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: MX Backup - Realisierung... kleiner Denkfehler.

Post by dodolin » 2005-03-23 15:54

Okay, versteh ich - doch bedeutet das nicht mehr Aufwand als beim Backup-Fall
Kaum oder höchstens minimal.

mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln

THX

Post by mc5000 » 2005-03-23 16:20

Werde ich mal testen ... Danke! :)