[Postfixbuch-users] Kundendomains filtern, und das ausfallsicher

Joachim Schoenberg joe at pdi-berlin.de
Di Jan 3 10:55:40 CET 2006


Hallo,

Am Montag, 2. Januar 2006 15:59 schrieb Stefan G. Weichinger:
> 
> Grüss Euch im neuen Jahr,

Ebenfalls Grüße an die gesamte Liste!

> Ich betreibe mittlerweile 2 dedicated servers, die Emaildienste für 
> meine Kunden anbieten.
> 
> Natürlich alles rundum Postfix aufgebaut (brav 2.2.7), mit AV, Aspam, 
> MySQL, Web-Cyradm, Cyrus IMAPd etc.
> 
> Jetzt habe ich einem Kunden angeboten, seinen Mailtraffic auf meinen 
> Systemen vorzufiltern. Der Kunde betreibt selbst einen Mailserver auf 
> Sendmail-Basis (bitte erspart Euch die Flames ;) ), dieser Server wird 
> von einem anderen Dienstleister gewartet und soll das aufgrund eines 
> laufenden Wartungsvertrages auch noch eine Zeit lang werden ...

Das kann aber je nach Sendmail-Konfiguration Probleme bereiten,
sobald Dein System wie gewollt eingebunden ist.
Ging mir so. Ich betreue zwei Server als primären MX (Relay mit
Postfix, Postgrey und Amavisd-New) für mehrere Institute. Listen 
mit gültigen Nutzern werden bei mir abgearbeitet, SPAM wird laut 
Policy nur getaggt. 
Anschließend wurden dann aber durch einen nachgelagerten Instituts-Server
wegen der SPAM-Konfiguration von Sendmail Mails mit 4xx an mich
zurückgeschickt, weil es sich um SPAM von ungültigen Absendern 
(Reverse Lookup) handelte :-(
Kann also sein, daß je nach Policy und Konfiguration auch bei Deinen 
Kunden eingegriffen werden muß.
 
> Im DNS mein System als Primary MX eintragen, den internen MX als 
> sekundären, und die Kundendomain in der transport-map auf deren internen 
> MX weiterleiten.

Das bedeutet: der meiste SPAM und Viren gehen an Deinem System vorbei, weil
die Spammer den sekundären MX bevorzugen.

> 
> Problem dabei: Greylisting fällt flach --> schlecht, weil so meine 
> Trefferquote sinkt.
> 
> Wenn ich keinen secondary MX eintrage, funktioniert Greylisting, dafür 
> sinkt die Ausfallsicherheit --> wenn mein Hoster lustig am Routing 
> schraubt, ist mein Kunde offline und böse ...
> 
> Nächste Variante ist, meinen zweiten Server als secondary MX 
> einzutragen, der fährt auch mit postgrey, ich kann die DBs 
> synchronisieren (sowohl die vom Postgrey wie auch die MySQL-tables etc.) 
> und Greylisting funktioniert.

Wenn Du Deinem Hoster keine hohe Ausfallsicherheit zutrauen kannst, ist
das wohl die beste Lösung.

Da das Mailprotokoll aber sehr robust ausgelegt ist, wirst Du hier in der
Liste auch Stimmen antreffen, die es als Verschwendung ansehen, zwei
Server parallel zu betreiben.

Joe

-- 
----------------------------------------------------------------
 Joachim Schoenberg                  PHONE:    +49 30 20377 374  
 Paul-Drude-Institut fuer            FAX:      +49 30 20377 201  
 Festkoerperelektronik Berlin
----------------------------------------------------------------



Mehr Informationen über die Mailingliste Postfixbuch-users