[Postfixbuch-users] Kundendomains filtern, und das ausfallsicher

[Stefan G. Weichinger]

Joachim Schoenberg wrote:

> Das kann aber je nach Sendmail-Konfiguration Probleme bereiten,
> sobald Dein System wie gewollt eingebunden ist.
> Ging mir so. Ich betreue zwei Server als primären MX (Relay mit
> Postfix, Postgrey und Amavisd-New) für mehrere Institute. Listen 
> mit gültigen Nutzern werden bei mir abgearbeitet, SPAM wird laut 
> Policy nur getaggt. 
> Anschließend wurden dann aber durch einen nachgelagerten Instituts-Server
> wegen der SPAM-Konfiguration von Sendmail Mails mit 4xx an mich
> zurückgeschickt, weil es sich um SPAM von ungültigen Absendern 
> (Reverse Lookup) handelte :-(
> Kann also sein, daß je nach Policy und Konfiguration auch bei Deinen 
> Kunden eingegriffen werden muß.

Den angesprochenen Reverse Lookup machen bereits meine Systeme, von 
daher erwarte ich also keine Probleme. Aber kann natürlich sein, daß da 
noch was Anderes kommt ...

>>Im DNS mein System als Primary MX eintragen, den internen MX als 
>>sekundären, und die Kundendomain in der transport-map auf deren internen 
>>MX weiterleiten.
> 
> 
> Das bedeutet: der meiste SPAM und Viren gehen an Deinem System vorbei, weil
> die Spammer den sekundären MX bevorzugen.

Beim Schreiben meiner vorigen Mail wollte ich diesen Gedanken schon 
erwähnen ;-) ... ja, das ist auch nicht meine Präferenz.

>>Nächste Variante ist, meinen zweiten Server als secondary MX 
>>einzutragen, der fährt auch mit postgrey, ich kann die DBs 
>>synchronisieren (sowohl die vom Postgrey wie auch die MySQL-tables etc.) 
>>und Greylisting funktioniert.
> 
> 
> Wenn Du Deinem Hoster keine hohe Ausfallsicherheit zutrauen kannst, ist
> das wohl die beste Lösung.

Aber auch eher komplex ... MySQL-Replikation funktioniert soweit, 
allerdings muß man da halt auch die Master-Slave-Wechselei im Falle des 
Ausfalls genau planen (ich denke, es wird einen Read-Only-Betrieb geben, 
wenn der primary MX weg sein sollte ... neue Adressen legen wir hier 
nicht soo oft an, das einzige, was viel in die MySQL-DBs schreibt, sind 
eher die Web-Geschichten, und halt MaiaMailguard ...).

Ansonsten ist dann eben rsync mein Freund ... drbd gefiele mir zwar auch 
gut, ist aber wohl eher was fürs LAN und dessen Speed, außerdem 
vielleicht etwas Overkill.

Oder übersiedeln ... wobei man eben immer erst sieht, wie gut die sind, 
wenn man dort ist ...

> Da das Mailprotokoll aber sehr robust ausgelegt ist, wirst Du hier in der
> Liste auch Stimmen antreffen, die es als Verschwendung ansehen, zwei
> Server parallel zu betreiben.

OT: Der Anlass zu meiner Besorgnis ist die Erfahrung mit meinem Hoster, 
der mich mal einen ganzen Vormittag offline ließ, mit fast schon frecher 
Rückmeldung auf meine dringenden Anfragen, und nachdem sein Routing 
wieder OK war (mein Server lief brav durch), kam Stunden später eine 
Verständigung von denen, quasi rückdatiert, mit der Ankündigung der 
Wartung, die bereits erfolgt war ...

Sowas schafft kein Vertrauen, deshalb mein Bestreben, das Risiko zu 
streuen ...

Ich kriege jetzt Kunden mit etlichen Niederlassungen dazu, wenn ich die 
einen halben Tag ohne Mail lasse, dann habe ich ein Problem ...

Hach ja ...

Danke erstmal, Stefan.