[Postfixbuch-users] Absender-abhängige smtp_bind_address

Rainer Frey rainer.frey at inxmail.de
Mo Apr 7 14:06:38 CEST 2008


On Monday 07 April 2008 12:13:30 Sandy Drobic wrote:
> Rainer Frey wrote:
> > Hallo zusammen,
> >
> > ich hab grad folgendes Problem: wegen eines
> > Sender-Zertifizierungsprogramms muss ich auf einem Server die Verwendung
> > einer ausgehenden IP-Adresse pro Kunde (sprich: pro Absende-Adresse)
> > implementieren.
>
> Bist du dir sicher, dass dies der richtige Weg ist?

Es scheint so. In diesem Fall würden nicht wir, sondern unsere Kunden, die 
unsere Mailserver nutzen, zertifiziert. Dazu brauchen sie eine dedizierte, 
exklusiv genutzte Mailserver-IP-Adresse. Aber die Details dazu kenn ich 
nicht, ich bin nur in die technische Seite involviert.

[...]

> > Dritte Idee: per transport_maps auf eben diese spezifischen
> > smtp-Transports verweisen. Da ich keine Verbindung zwischen Kunde und
> > Empfängeradresse habe, muss die Verknüpfung zum richtigen
> > transport-Eintrag anders erfolgen. Ich kann ja auch einen 'smtpd' pro zu
> > verwendender IP einrichten, um die Konfiguration anzupassen. Nur wird
> > transport_maps ja von trivial-rewrite und nicht von smtpd ausgewertet.
> > Gibt es irgendweine Möglichkeit, vom smtpd Informationen/Optionen an
> > trivial-rewrite zu übergeben, die das routing beeinflussen?
>
> Du kannst hier über Kopien von smtp spezielle Transporte mit
> smtp_bind_address verwenden. Der Transport müsste dann über
> check_sender_access mit der Aktion FILTER auf diesen Transport verweisen.
> Aus Sicherheitsgründen sollte dann natürlich auch eine Authentifizierung
> nicht fehlen und eine Einschränkung, dass nur authentifizierte Clients
> diese Absenderadrese benutzen dürfen.

Danke, das ist genau die Verbindung zwischen Sender-Adresse und Transport, auf 
die ich nicht selbst gekommen bin. Diese Einschränkungen umzusetzen ist dann 
ja kein Problem. Ich wusste doch, dass es eine Möglichkeit geben muss.

> > Dann wäre noch die Frage der Skalierbarkeit. Es kann durchaus im Lauf der
> > Zeit in den dreistelligen Bereich an Absender-Adressen geben. Zumindest
> > die Anzahl an smtpd-Prozessen is irgendwann am Limit.
>
> smtpd ist nicht entscheidend, hier ist smtp gefragt. 

Klar. Das war nur für den Fall gefragt, dass für die mir oben fehlende 
Verknüpfung jeweils *auch* unterschiedlich konfigurierte smtpd-Prozesse nötig 
gewesen wären.

> Im dreistelligen 
> Bereich könntest du inzwischen aber echte Probleme bekommen, so viele
> IP-Adressen zu bekommen. Ich halte dieses Modell nicht für skalierbar.

Wenn obige Anforderungen dieses Systems richtig sind, muss dieses Problem aber 
in jedem Fall gelöst werden, egal wie die Umsetzung in Postfix aussieht.

> > Aber auch die Lösung mit nur einer smtpd-Instanz, die sich an alle
> > Interfaces bindet, stelle ich mir nicht ganz ohne vor  Gibt es auch
> > Probleme bei der Anzahl an IP-Adressen? Macht es Schwierigkeiten, wenn
> > ein Prozess auf duzenden bis hunderten IP-Adressen (Aliase auf ein oder
> > zwei physikalische Interfaces) hören muss? Betriebssystem wird Linux
> > sein, entweder Debian oder Redhat Enterprise.
>
> Mehrere IP-Adressen macht keine Probleme (wie bereits angeführt: smtpd ist
> für Empfang, smtp für das Senden verantwortlich) beim Empfang, 

Ich kenn mich eben mit Netzwerk-Programmierung unter Linux/Unix, speziell das 
binden an eine IP-Adresse nicht aus. Ich könnte mir vorstellen, das das 
entweder für das Betriebssystem oder sogar für den Server-Prozess Resourcen 
fordert, sich an mehr Adressen zu binden. 

In dem Fall wird das gar nicht nötig sein, denn der smtpd muss ja gar nicht 
auf allen Adressen erreichbar sein, da die einliefernde IP-Adresse für die 
Zuordnung so keine Rolle spielt.

> beim Senden 
> kann natürlich nur eine IP mit smtp_bind_address verwendet werden, sonst
> wählt Postfix die vom Kernel-Routing vorgegebene Adresse für smtp, was
> sinnvoll ist. --

Gut zu wissen. Vielen Dank für deine Antwort, die hat mich endlich auf den 
Trichter gebracht.

> Sandy

Gruß
Rainer
-- 
Software Developer
------------------------------------------------------
Inxmail GmbH
www.inxmail.de

Handelsregister Freiburg, HRB 5870
Ust.-ID: DE198371679
Geschäftsleitung Martin Bucher, Peter Ziras 



Mehr Informationen über die Mailingliste Postfixbuch-users