[Postfixbuch-users] etwas OT: DNS mit bind9

Thomas Klein mailinglist at skynetworks.de
Di Jul 3 23:22:42 CEST 2007 

Tach zusammen,

habe inzwischen den alten Mailserver beim Kunden neu aufgesetzt und 
Postfix umgezogen.
Die neue Hardware nun: P4 3.0 GHZ mit HT, 2 GB RAM (auf nem kleinen 
IBM-Server), 80 GB SATA HDD. Sicher wären SCSI-Platten mit RAID schöner 
gewesen, aber das war die Grenze des finanziell machbaren.

Habe dort Debian Etch frisch installiert mit bind9. Verwende an sich die 
Standard-Konfiguration von bind9.

/etc/bind/named.conf.options sieht so aus:

auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
        listen-on { any; };
        statistics-file "/var/log/named.stats";
        recursion yes;
        max-cache-size 128m;

Ansonsten wurde an den config-files nix verändert.

Habe die Cache-Size mal auf 128 MB gesetzt, kommt doch schon einiges an 
DNS-Abfragen über den Tag zusammen (bei z.b. heute 3500 verarbeiteten 
Mails, versendet und empfangen zusammen).  Weiss nicht so recht ob der 
Wert  praktikabel ist.

Was mich aber trotzdem wundert: Die DNS-Abfragen gehen eigentlich 
angenehm schnell (zumindest im Gegensatz zu vorher). Beispiel:

 dig listi.jpberlin.de
;; ANSWER SECTION:
listi.jpberlin.de.      3600    IN      A       213.203.238.6

;; AUTHORITY SECTION:
jpberlin.de.            3600    IN      NS      ns.jpberlin.de.
jpberlin.de.            3600    IN      NS      ns2.jpberlin.de.

;; Query time: 33 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)


Aus dem Cache dann:
;; Query time: 0 msec

Trotzdem habe ich noch das Problem, daß die reverse-DNS Auflösung bei 
recht vielen Hosts bei ankommenden Mails irgendwie nicht schnell genug 
läuft. Bisher wurde eine Mail von einem unknown-Host mit 550 rejected, 
die "Beschwerden" der User über nicht angekommene Mails war 
dementsprechend hoch, obwohl bei genauerer Überprüfung die 
reverse-Auflösung eigentlich korrekt war. Daher ist das rejecten von 
"unknown hosts" erstmal auskommentiert.

Vielleicht macht es ja doch Sinn, Mails von "unknown hosts" mit 450 zu 
rejecten, um die Wahrscheinlichkeit einer erfolgreichen DNS-Abfrage zu 
erhöhen?!

Noch eine komische Sache:
Jul  3 09:18:48   -> erster zustellversuch eines Mailservers, reverse 
DNS meint "unknown", reject wg. greylisting
Jul  3 09:19:48    -> zweiter zustellversuch, reverse DNS OK, reject wg. 
greylisting
Jul  3 09:20:48 -> dritter zustellversuch reverse DNS meint wieder 
"unknown", reject wg. greylisting
Jul  3 09:30:48   -> vierter zustellversuch, reverse DNS OK, mail wird 
angenommen, da 300 sec inzwischen abgelaufen

Es wäre ja noch zu verstehen gewesen, wenn beim 1. Zustellversuch die 
Auflösung nicht geklappt hätte. Beim 2. Versuch war's ja OK, demnach 
hätte beim 3. Versuch ja die Antwort aus dem Cache kommen müssen. Es war 
auch bei allen Zustellversuchen der selbe Mailserver (von der IP her).

Ich habe auch den Thread von vor ein paar Wochen schon studiert, der 
sich mit bind beschäftigt.

Vielleicht hat ja jemand noch ein paar Hinweise, wo es hängen könnte.

Danke & Gruß
Thomas

Mehr Informationen über die Mailingliste Postfixbuch-users