[Postfixbuch-users] etwas OT: DNS mit bind9
Thomas Klein
mailinglist at skynetworks.de
Mi Jul 4 13:18:47 CEST 2007
Servus,
danke erstmal für die vielen Antworten.
Hier die Beantwortung diverser Fragen:
- Postfix läuft im chroot
- in /etc/resolv.conf und /var/spool/postfix/etc/resolv.conf steht
jeweils als einziger Eintrag nameserver 127.0.0.1
- das geschilderte DNS-Problem trat mit dem Host 62.96.193.229 auf
- Forwarder gibt es keine, die Anfragen werden direkt an die
DNS-Rootserver gestellt
Wo ist denn die TTL des Eintrages ersichtlich?
Ich kann auch gerne den Inhalt von named.conf mal posten, falls das
hilfreich ist. Dort habe ich selbst keine Anpassungen gemacht, ist also
noch der Debian-Standard. Nur eben die Einträge in named.conf.options
wie schon vorher beschrieben.
Gruss
Thomas
Andreas Winkelmann schrieb:
> On Tuesday 03 July 2007 23:22, Thomas Klein wrote:
>
>
>> habe inzwischen den alten Mailserver beim Kunden neu aufgesetzt und
>> Postfix umgezogen.
>> Die neue Hardware nun: P4 3.0 GHZ mit HT, 2 GB RAM (auf nem kleinen
>> IBM-Server), 80 GB SATA HDD. Sicher wären SCSI-Platten mit RAID schöner
>> gewesen, aber das war die Grenze des finanziell machbaren.
>>
>> Habe dort Debian Etch frisch installiert mit bind9. Verwende an sich die
>> Standard-Konfiguration von bind9.
>>
>> /etc/bind/named.conf.options sieht so aus:
>>
>> auth-nxdomain no; # conform to RFC1035
>> listen-on-v6 { any; };
>> listen-on { any; };
>> statistics-file "/var/log/named.stats";
>> recursion yes;
>> max-cache-size 128m;
>>
>> Ansonsten wurde an den config-files nix verändert.
>>
>> Habe die Cache-Size mal auf 128 MB gesetzt, kommt doch schon einiges an
>> DNS-Abfragen über den Tag zusammen (bei z.b. heute 3500 verarbeiteten
>> Mails, versendet und empfangen zusammen). Weiss nicht so recht ob der
>> Wert praktikabel ist.
>>
>> Was mich aber trotzdem wundert: Die DNS-Abfragen gehen eigentlich
>> angenehm schnell (zumindest im Gegensatz zu vorher). Beispiel:
>>
>> dig listi.jpberlin.de
>> ;; ANSWER SECTION:
>> listi.jpberlin.de. 3600 IN A 213.203.238.6
>>
>> ;; AUTHORITY SECTION:
>> jpberlin.de. 3600 IN NS ns.jpberlin.de.
>> jpberlin.de. 3600 IN NS ns2.jpberlin.de.
>>
>> ;; Query time: 33 msec
>> ;; SERVER: 127.0.0.1#53(127.0.0.1)
>>
>>
>> Aus dem Cache dann:
>> ;; Query time: 0 msec
>>
>> Trotzdem habe ich noch das Problem, daß die reverse-DNS Auflösung bei
>> recht vielen Hosts bei ankommenden Mails irgendwie nicht schnell genug
>> läuft. Bisher wurde eine Mail von einem unknown-Host mit 550 rejected,
>> die "Beschwerden" der User über nicht angekommene Mails war
>> dementsprechend hoch, obwohl bei genauerer Überprüfung die
>> reverse-Auflösung eigentlich korrekt war. Daher ist das rejecten von
>> "unknown hosts" erstmal auskommentiert.
>>
>
> Das hat mit deinem DNS-Server nix zu tun. Es gibt einen unterschied
> zwischen "es antwortet kein DNS-Server wegen Timeout" und "es antwortet ein
> DNS-Server und der sagt, den Eintrag gibt es nicht".
>
>
>> Vielleicht macht es ja doch Sinn, Mails von "unknown hosts" mit 450 zu
>> rejecten, um die Wahrscheinlichkeit einer erfolgreichen DNS-Abfrage zu
>> erhöhen?!
>>
>> Noch eine komische Sache:
>> Jul 3 09:18:48 -> erster zustellversuch eines Mailservers, reverse
>> DNS meint "unknown", reject wg. greylisting
>> Jul 3 09:19:48 -> zweiter zustellversuch, reverse DNS OK, reject wg.
>> greylisting
>> Jul 3 09:20:48 -> dritter zustellversuch reverse DNS meint wieder
>> "unknown", reject wg. greylisting
>> Jul 3 09:30:48 -> vierter zustellversuch, reverse DNS OK, mail wird
>> angenommen, da 300 sec inzwischen abgelaufen
>>
>> Es wäre ja noch zu verstehen gewesen, wenn beim 1. Zustellversuch die
>> Auflösung nicht geklappt hätte. Beim 2. Versuch war's ja OK, demnach
>> hätte beim 3. Versuch ja die Antwort aus dem Cache kommen müssen. Es war
>> auch bei allen Zustellversuchen der selbe Mailserver (von der IP her).
>>
>
> Prüf die TTL des Eintrages, evtl. altert er nach einer Minute schon wieder
> raus.
>
> Und zeig am besten Beispiele.
>
>
>> Ich habe auch den Thread von vor ein paar Wochen schon studiert, der
>> sich mit bind beschäftigt.
>>
>
> Wie ich vermutlich dort schon sagte, ein eigener Bind ist kein Allheilmittel
> für DNS-Probleme. Prüf Deine Konfiguration ob sie auch wirklich den eigenen
> DNS-Server benutzt (auch im chroot von Postfix). Und prüf die DNS-Server, die
> Du abfragst. Wenn die Schrott sind, such dir andere. Falls Du keine forwarder
> benutzt, prüfe ob das bei dem Provider Deiner Wahl auch ohne funktioniert.
>
>
>> Vielleicht hat ja jemand noch ein paar Hinweise, wo es hängen könnte.
>>
>
>
Mehr Informationen über die Mailingliste Postfixbuch-users