[Postfixbuch-users] Postfix ausgehendes Relay / IP Pool nutzen

[Peer Heinlein]

Am Mittwoch 15 Dezember 2010 10:55:56 schrieb Bastian:
>  Hi, ich hab mich gerade gefragt ob es in Postfix irgendwie möglich
>  ist, bei einem ausgehenden Mailrelay per Roundrobin immer
>  unterschiedliche Absender IPS zu nutzen? Die IPs sind alle auf dem
>  Server konfiguriert.

Mache ich immer wie folgt:

iptables, Source-NAT nutzen.


Aber: Manche (genaugenommen: Freenet!) reagieren noch viel empfindlicher 
auf nicht-matchende HELO-Hostnamen, als policyd-weight. Gut gewollt, 
übermotiviert umgesetzt und am Ende vermasselt.

Da Postfix hier nicht mehr wissen kann, welchen HELO er nehmen kann und 
der Hostname im Zweifel auf die falsche Source-IP zeigt, scheitert man 
bei Freenet damit.

Ich mache da also folgendes:

Server hat die IPs 10 bis 15.

Freenet & Co kriegen einen eigenen transport-Weg der auf die IP 11 
gebunden wird und der in sich stimmt.

Alle anderen nehmen den normalen Transportweg, der ja von der 10 kommt. 
Für diese schlägt dann iptables zu, der matcht, ob Source-IP die .10 ist 
und dann ggf. auf die IPs 12-15 Round-Robin Source-NAT macht.

So kann man Problemfälle aus dem SNAT raushalten und alles wird gut.


Oder, falls man nicht ganz so viele Mails hat, wird man das 
sicherheitshalber lieber umdrehen wollen: Alles dort, wo man SNAT 
braucht, routet man auf die .11 und nur dort schlägt dann iptables zu. 
So hält man sich 99% des normalen Mailverkehrs vom SNAT fern, was auch 
nichts schadet.

Peer


-- 

Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de
Tel: 030 / 40 50 51 - 0
Fax: 030 / 40 50 51 - 19

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin