MX-Backup: Einrichtungsproblem

[kasi4u]

Hallo,
ich habe mir einen MX-Backup eingerichtet, aber er funktioniert nicht:

der MX-Backup-Server (postfix: 2.0.19-20040312) ist wie folgt eingerichtet:

~/etc/postfix/main.cf

Code: Select all

smtpd_recipient_restrictions = permit_sasl_authenticated,
        permit_mynetworks,
        permit_mx_backup,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        reject_unauth_destination

opt_smtpd_recipient_restrictions = permit_mx_backup, permit_mynetworks, check_relay_domains
permit_mx_backup_networks = 82.165.XX.XX/32, 82.165.XX.XX/32, 217.160.XX.XXX/32

Ich erhalte folgenden Fehler im mail-Log:
~/var/log/mail

Code: Select all

Jul 11 15:06:44 p123456789 postfix/master[7361]: warning: process /usr/lib/postfix/smtpd pid 7414 exit status 1
Jul 11 15:06:44 p123456789 postfix/master[7361]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling
Jul 11 15:07:44 p123456789 postfix/smtpd[7418]: fatal: parameter "smtpd_recipient_restrictions": specify at least one working instance of: check_relay_domains, reject_unauth_destination, reject, defer or defer_if_permit
Jul 11 15:07:45 p123456789 postfix/master[7361]: warning: process /usr/lib/postfix/smtpd pid 7418 exit status 1
Jul 11 15:07:45 p123456789 postfix/master[7361]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling
Jul 11 15:08:45 p123456789 postfix/smtpd[7424]: fatal: /etc/postfix/main.cf, line 672: missing '=' after attribute name: "permit_sasl_authenticated, "
[...]

Trotz dieses Fehlers läuft Postfix:

Code: Select all

Jul 11 15:15:53 p123456789 postfix/postfix-script: starting the Postfix mail system
Jul 11 15:15:53 p123456789 postfix/master[7710]: daemon started -- version 2.0.19-20040312
Jul 11 15:16:38 p123456789 postfix/master[7710]: reload configuration

Jedoch nicht als mein "MX Backup". Denn dann folgt "Relay access denied" für eingelieferte Mails, die eigentlich an den MX Prio 10 gehen sollte, nur habe ich den für Testzwecke abgeschalten, um das ganze zu testen. MX 10 und MX 20 sind im ZoneFile als MX'e drinnen und eigentlich sollte, laut dem Postfix-Doku, die Mail beruhigt in der mailq ablegt und nach dem eingestellten Intervall nochmal und nochmals zugestellt werden etc..

Ich bin mit meinem Latein am Ende.

Postfix sagt, laut Postfixbuch, das man für einen MX-Backup ein sogeanntes "Transport-Map" anlegen sollte. Das habe ich getan und auch entsprechend in der main.conf verankert. Jedoch ist es sehr mühselig dort alle Domains einzutragen, da A) sich diese stetig erweitern und B) nicht automatisch dort eintragen lassen. Diese variante hat natürlich, wie es sich gehört, funktioniert. Jedoch möchte ich es mit den Beiträgen, die hier bereits gepostet sind, relaisieren. Anscheinend mach ich irgendwas falsch.

Threads:
http://www.rootforum.org/forum/viewtopic.php?t=27855
http://www.rootforum.org/forum/viewtopic.php?p=166561

Danke für eure Hilfe,
Karsten

[mathiasr]

Die Eischränkungen sollten vorher kommen, sonst wirken sie sich nicht auf das Backup aus:

Code: Select all

smtpd_recipient_restrictions =  
        permit_sasl_authenticated,
        permit_mynetworks,
        reject_non_fqdn_recipient,
        reject_unknown_recipient_domain,
        permit_mx_backup,
        reject_unauth_destination,
        check_relay_domains

relay_domains = $mydestination mail.eine-domain.tld
permit_mx_backup_networks = 82.165.XX.XX/32, 82.165.XX.XX/32, 217.160.XX.XXX/32

Damit sollte in dieser Teil der main.cf laufen.

[kasi4u]

Hallo Matthias,

vielen Dank für deine Antwort.

Kann ich folgendes bei dem "relay_domains" angeben...? Ich wollte mit einer Datenbank im hash-Format arbeiten, sodass mir wenigstens etwas weniger Arbeit damit mache:

Code: Select all

relay_domains = $mydestination hash:/etc/postfix/relay_domain

Ich weiß nur, ob das beim "relay_domains" erlaubt ist.

Gruß
Karsten

[jlinker]

Wenn Du zwischen den beiden Werten noch ein Komma machst

relay_domains = $mydestination, hash:/etc/postfix/relay_domain

[kasi4u]

jo, danke :-)

Ich setz' das mal so um... bin ja mal gespannt,
Karsten

[mathiasr]

Du weist aber schon, dass die eigenen Domains üblicherweise als virtualDomains eingerichtet werden?

Code: Select all

virtual_maps = hash:/etc/postfix/virtualUsers, hash:/etc/postfix/localDomains

Hash setzt auch eine .db vorraus, also erst postmap nutzen!

[kasi4u]

Das mit "postmap relay_domain" ist mir schon klar. jedoch was du mir sagen möchtest nicht so ganz... der MX-Backup soll ausschließlich Mails annehmen, die vorübergehend nicht an dem MX 10 ausgeliefert werden können etc etc.

Aber wie soll ich denn dem MX-backup sonst meine ganzen Domains geben, sodass er sich "verantwortlich" fühlt? Geht doch nur in einer .db für postfix, um mir ein wenig Arbeit zu ersparen...

Wenn ich nur die IP's in die main.cf eintrage, dann rejected postfix alle ankommenden Mails, wenn der MX Backup zum Einsatz kommt. Dafür habe ich leider keine andere Erklärung, als das er sich nicht für die Domains angesprochen fühlt, obwohl er im Zonenfile als MX 20 eingetragen ist... deshalb will ich die Domains als "relay" angeben, sodass er die Mails in der mailq ablegt und dann nach und nach versucht zu zustellen.

Gruß
Karsten

[jlinker]

Ich hab das bei mir so am laufen:
MX10 server1
MX20 backupserver

In Postfix auf server1 in der main.cf:
relay_domains = hash:/etc/postfix/relay_domains, $mydestination

In relay_domains stehen alle Domains des MX20 backupserver drinn.
Fällt der server1 aus, so nimmt Backupserver die Mails an und queued diese.

ANMERKUNGEN:
der backupserver nimmt immer die Mails für server1 an, egal ob dieser läuft oder nicht. Das Verhalten "Nimm nur an, wenn server1 nicht verfügbar" kannst Du in postfix nicht direkt einstellen, sondern müsstest ein eigenes Script schreiben. Macht auch keinen Sinn, weil könnte ja sein, dass zwischen MX10 und MX20 keine Verbindung möglich, aber von extern sehr wohl.

[kasi4u]

Danke für deine Antwort.

Aber es ist schon so, dass der Standard-MX mit Prio 10 als erstes angesprochen wird und dann die Verantwortung für die Mail übernimmt. Ist er nicht erreichbar geht der sendende MTA die DNS-Liste der vorhandenen MX-Einträge der zuversendenden Mail weiter durch, bis einer die Nachricht in den Nachrichtenspreicher aufnimmt, etc etc - so ist das im Kochbuch von postfix dargestellt... irre ich jetzt?

Also:
MX Prio 10 down geht er zum
MX Prio 20 - er nimmt an und mailt nach Intervall XYZ zu Prio 10 weiter.

richtig? Und das geht max. fünf Tage so, bevor er den Kram zurücksendet.

Gruß
Karsten

[jlinker]

Genau so ist es. Ob genau 5 Tage oder nicht hängt von den weiteren Einstellungen in postfix zusammen.

Noch ein Hinweis: Prinzipiell wird jeder anständige MTA zunächst mit dem MX10 in Verbindung treten. Böse MTAs (Spammer) versuchen aber direkt mit dem MX20 in Verbindung zu treten. Ich habe also auf dem Backup-MX ein erhöhtes Mailaufkommen von durchzuleitenden Mails.

Da der Backup-MX ja die genauen Useraccounts nicht kennt nimmt er alle mails an @domain.de an und leitet Sie an MX10 weiter. Erst MX10 prüft ob es den User gibt und liefert evtl. ein "Mailbox does not exist". Schöner wäre es, wenn Backup-MX bereits wüsste welche Boxen vorhanden sind. Dazu müsste man aber die Usernamen von MX10 auf BackupMX kopieren.

Grüße
Jürgen

[kasi4u]

Hmm, kann man das mit einem Script klären?

Obwohl, ich habe den MX Backup für nunmehr fünf Kisten mit insgesamt 468 Domains laufen (versuche es zumindest) und da sind die Kundennummern web1,2,3,etc, ja mehrmals vergeben. Dann würde ein "Kopieren der Useraccounts" für absolutes Chaos sorgen...

Gruß
Karsten

[jlinker]

Richtig - wird nicht funktionieren. Deshalb habe ich für jede confixx-Kiste nen anderes Kürzel, also 1. webx auf dem 2. userx auf dem 3. user01w usw. :-)

Ist aber nachträglich ziemlich schwierig weil du alles umstellen müsstest

[kasi4u]

In der Tat. Das wäre recht schwierig. Gibt es eine andere Idee?

Hast du das Kürzel "web" problemlos abändern können? Ich habe das einmal für eine Kiste probehalber gemacht und bin voll auf die Nase gefallen...

Gruß
karsten

[jlinker]

Wenn Du es ganz am Anfang machst, dann kein Problem. Man muss am Ende aber einen Buchstaben haben, also server01s und NICHT server01, weil dann gibts Probleme.

Ein laufendes System habe ich bisher noch nicht umgestellt - da wäre mir das Risiko doch zu gross, zumal ja dann POP Logins, etc. geändert werden müssten.

Hmm - ich hab grade heute hier was gelesen bzgl. adress_verification
http://www.postfix.org/ADDRESS_VERIFICATION_README.html

Thread: http://www.rootforum.org/forum/viewtopic.php?t=28099

Aber habs noch nicht probiert :-)

[mathiasr]

Ich glaube, Du hast die Postfix-Anleitung missverstanden.

permit_mx_backup bewirkt, dass der Server Mails für alle Domains annimmt, für die er als MX-Record eingetragen ist. Die Einschränkung permit_mx_backup_networks schränkt es jedoch auf die Domains ein, deren primärer Mailserver in diesen Netzen liegt. Somit brauchst Du logischerweise keine Domains anzugeben.

[jlinker]

Hallo Mathias,

das permit_mx_backup_networks sehe ich als kleines Problem an.

Grund, durch Fälschung der IP-Adresse könnte ich den Backup-MX mit Mails zumüllen und der würde zunächst mal alle annehmen. Das kann mit permit_mx_backup zumindest nicht passieren.

Aber Deine Klarstellung ist schon berechtigt gewesen.

Grüße
Jürgen

[mathiasr]

Irrtum: Der Befehl permit_mx_backup macht aus Deinem Server einen öffentlichen Backup-Server, da er Mails auch für fremde Domains zwischenspeichert, wenn sie ihn im Zonefile als Backup-MX eintragen.
Erst die Begrenzung durch permit_mx_backup_networks sorgt dafür, dass Mails nur dann akzeptiert werden, wenn der primäre Mailserver in diesen Netzen liegt.

Somit könnte man nur dann falsche Mails an Dich zustellen, wenn Deine anderen Server als primäre Mailserver angegeben sind. Das nützt jedoch wenig, da diese die Mail dann rejecten würden.

[kasi4u]

Hallo,

ich habe nun in der:
~/etc/postfix/main.cf

Code: Select all

relay_domains = hash:/etc/postfix/relay_domains, $mydestination

stehen und habe entsprechend die die "relay_domains" angelegt mit:

Code: Select all

domain1.de
domain2.de

und erhielt nach dem Befehl:

Code: Select all

postmap relay_domains

folgenden

Code: Select all

postmap: warning: relay_domains, line 459: expected format: key whitespace value

Danke für eure Hilfe,
Karsten

[mathiasr]

Diese beiden Zeilen sind auch korrekt, der Fehler steht in der Zeile 459. Die Fehlermeldung ist doch wohl eindeutig.

Mit man postmap kannst Du Dir die Doku ansehen!

[kasi4u]

Das Problem dabei ist, dass das für jede Zeile ausgegeben wurde :-(
Also für alle 468 Domains.