[Postfixbuch-users] Multi Postfix Relay mit SSL

Peer Heinlein p.heinlein at heinlein-support.de
Mi Sep 17 15:27:52 CEST 2008 

Am Mittwoch 17 September 2008 schrieb R. Svejda:


> Kann ich im DNS mx1 und mx2 als MX definierien (klassisch nach
> Vorschrift mit A Record und Reverse-DNS Eintrag) und;
> smtp im DNS zweimal auf die gleichen Addressen legen wie mx1 und mx2
> damit einmal der und einmal der andere genommen wird und;

Ja, aber es erhöht nicht die Ausfallsicherheit. Geht ein Mailrelay 
nicht, kriegen die Kunden in 50% der Fälle keinen Versand zustande. 

Besser IMHO: eine IP auf einen Mailserver binden, auf dem anderen die 
gleiche IP nur vorbereiten und im Fehlerfall manuell "schwenken". Sorgt 
ggf. für eine kurze Downtime bis der Admin eingreift, sorgt 
anschließend aber dafür, daß stunden- und tagelang alles funktioniert, 
zum Beispiel auch bei geplanten längeren Umbauten. Da kommt man mit 
Round-Robin nicht weit.

> Geht das glatt oder habe ich etwas übersehen was dagegen spricht..
> Könnte man eventuell sogar 2 Zertifikate definieren und auf
> verschiedenen Ports/IPs lauschen?

Unterschiedliche Ports werden nix bringen, auch wenn das geht. Aber 
mehrere IPs gehen und über die Aufrufparameter in der master.cf 
könntest Du verschiedenen IPs dann auch verschiedene Zertifikate 
zuweisen.

Nur: Andere Mailserver werden sich i.d.R. nicht großartig darüber 
aufregen, wenn sie Dich als mx1 ansprechen und ein Zertifikat auf den 
Hostnamen smtp bekommen. Da geht für Mailserver (!) die Welt nicht 
unter (für Mailclients allerdings schon). 

Insofern könnte man aber auch getrennte Zertifikate auch verzichten wenn 
man da geringfügig schludert. Da geht die Welt nicht unter. 
Andererseits bin ich eh dafür, daß MX und smtp über unterschiedliche 
IPs laufen selbst wenn es der gleiche Postfix ist -- dann kann man auch 
getrennte Zertifikate machen, außer einmalig 10 Zeilen Extra-Tipparbeit 
macht das dann auch keinen Aufwand mehr.

Ergo: Alles kann, nix muß.

Mit freundlichen Grüßen

Peer Heinlein


-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0  ***  Fax: - 19

Die 3. Secure Linux Administration Conference am 10. - 12.12.2008
http://www.heinlein-support.de/slac

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  --  Sitz: Berlin

Mehr Informationen über die Mailingliste Postfixbuch-users