ich möchte zu einem Mailserver einen Backupserver aufbauen, entsprechende DNS Einträge (MX mit höherer Priorität) sind erledigt. Die Backupkiste soll halt folgendes tun: annehmen aller Mails, die an ihn herangetragen werden (insofern auch zuständig, es handelt sich um mehrere Domains) und Ausliefern an Mailserver, ggf. vorhalten in der Queue bis Mailserver wieder verfügbar. Zudem sollen ein paar Spam-Abwehrmechanismen umgesetzt werden. Zusätzlich läuft auf der Kiste aber auch ein PHP-Projekt, welches über mail() Nachrichten verschicken soll, diese sollen aber nicht direkt vom Backup ausgeliefert werden, sondern über den richtigen Mailserver. Meine Vorstellung einer main.cf sieht dafür so aus:
Code: Select all
smtpd_tls_ask_ccert = yes
smtpd_tls_key_file = /etc/sslcerts/srv2_key.pem
smtpd_tls_cert_file = /etc/sslcerts/srv2_cert.pem
smtpd_tls_CAfile = /etc/sslcerts/cacert.pem
smtpd_tls_CApath = /etc/sslcerts
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_received_header = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_security_level = encrypt
smtp_tls_mandatory_ciphers = high
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_sasl_password_maps
smtp_sasl_security_options = noanonymous
smtpd_helo_required = yes
smtpd_recipient_restrictions =
check_recipient_access hash:/etc/postfix/check_recipient_access
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_unknown_helo_hostname
reject_non_fqdn_sender
reject_unknown_sender_domain
reject_non_fqdn_recipient
reject_unknown_recipient_domain
permit_mynetworks
reject_unlisted_recipient
reject_unauth_pipelining
# reject_rhsbl_client rhsbl.sorbs.net
# reject_rhsbl_sender rhsbl.sorbs.net
# reject_rhsbl_recipient rhsbl.sorbs.net
reject_rbl_client bl.spamcop.net
reject_rbl_client zen.spamhaus.org
reject_rbl_client sbl-xbl.spamhaus.org
reject_rbl_client dnsbl.njabl.org
check_policy_service inet:127.0.0.1:60000
reject_unauth_destination
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = srv2.domain.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = srv2.domain.de, localhost
message_size_limit = 20480000
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
# permit_mx_backup_networks = 123.123.123.123/32
relayhost = srv1.domain.de
relay_domains = domain.de, other-domain.de
relay_recipient_maps = hash:/etc/postfix/relay_recipient_mapsDer Backupserver selbst soll Clients TLS ermöglichen, sich aber auch am Mailserver per TLS und SASL authentifizieren (ist Pflicht). Dass PHP über den richtigen Mailserver verschickt, wird mit relayhost erzwungen. Nun habe ich zwar bereits gemerkt, dass ich mir SPF auf dem Mailserver dadurch kaputt mache, aber dann schalte ich das SPF halt ab.
Mich interessiert prinzipiell, ob ich hier irgendwas übersehen habe, die restrictions evtl. in der falschen Reihenfolge drin habe, oder was halt sonst noch so passieren kann...
Gruß