Graylisting Problem mit Ausfallserver

thewilli

New Member
Hi!

Ich habe auf meinem Server seit längerer Zeit Graylisting laufen, was gut funktioniert und an sich auch kein Problem darstellt.

Nachdem ich in letzter Zeit einen Serverausfall hatte, und einige Mails nicht angekommen sind (Server war wegen Problemen des Hosters über einen Tag nicht erreichbar), habe ich mir bei einem ganz anderen Anbieter einen zweiten Server besorgt, der als Ausfallserver fungiert, indem er in der DNS als MX mit geringerer Priorität aufgelistet ist, damit zur Not mein Mailverkehr funktioniert.

Nun mein Problem: Auf Grund des Graylistings werden die Mails automatisch auf den zweiten Server durchgestellt. Der hat zwar auch Graylisting, jedoch wird die Graylisting Datenbank und die Mails nur 1x am Tag synchronisiert - und auch generell ist dies ein Problem für mich, denn die Mails sollten auf dem zweiten Server eigentlich wirklich nur ankommen, wenn der erste nicht erreichbar ist.

Habt ihr einen Lösungsvorschlag?

Danke im Voraus!
 
Hi, ist eigentlich logisch das ganze, der zweite MX Eintrag wird benutzt wenn der erste Mailserver aus irgendeinem Grund nicht erreichbar ist. Der Grund ist hier eben Greylisting. Dann wird der nächste MX versucht. Für den Absender macht es keinen Unterschied ob der erste Server die Mails abweist wegen Greylisting, oder weil er überlastet ist etc.

Ich bin schon vor langer Zeit von Greylisting auf Policyd-Weight umgestiegen, und muss sagen dass der Spam der abgehalten wird fast mehr ist, und die Mails auch endlich ohne Verzögerung ankommen.

Vielleicht wäre das eine alternative für Dich.

lg Basti

PS: Alternativ Greylisting mit einer MySQL-Datenbank, der zweite Mailserver repliziert immer die Datenbank des ersten, so sind alle Einträge immer aktuell.
 
Konfiguriere den Backup-MX so, dass er die Mails für Deine Domains und Benutzer zwar annimmt, aber nicht lokal zustellt, sondern sie an den Primary-MX weiterleitet.
Falls der Primary-MX für längere Zeit ausfällt, kannst Du den Backup-MX so umkonfigurieren, dass er die Mails lokal zustellt.

Die einfachste Lösung ist jedoch, den Mail-Dienst im Normalfall auf dem Backup-MX nicht laufen zu lassen (das schadet ja nichts, da die Mails dann an den Primary gehen) und erst bei Bedarf von Hand zu starten.
 
Erst einmal Danke für eure schnellen Antworten!

Konfiguriere den Backup-MX so, dass er die Mails für Deine Domains und Benutzer zwar annimmt, aber nicht lokal zustellt, sondern sie an den Primary-MX weiterleitet.
Aber wo ist denn dann der Nutzen des Backup MX? Für mich ist auch eine automatische Absicherung wichtig. In der nächsten Zeit werde ich zwei Wochen in den Urlaub fahren - in dieser Zeit habe ich praktisch keine Möglichkeit irgendetwas umzustellen. Die Emails müssen aber auf jeden Fall ankommen. Und lasse ich das Greylisting in dieser Zeit aus würde das Postfach überlaufen..

Falls der Primary-MX für längere Zeit ausfällt, kannst Du den Backup-MX so umkonfigurieren, dass er die Mails lokal zustellt.
Interessant wäre es, wenn dies automatisch geschehen würde; der Backup MX also prüft, ob der Hauptserver erreichbar ist und dann entscheidet wie er zustellt. Ist Dir bekannt ob und wenn ja wie dies mit Postfix zu lösen ist?

Ich bin schon vor langer Zeit von Greylisting auf Policyd-Weight umgestiegen, und muss sagen dass der Spam der abgehalten wird fast mehr ist, und die Mails auch endlich ohne Verzögerung ankommen.

Vielleicht wäre das eine alternative für Dich.
Hmm, klingt interessant. Hast Du da mal einen Link für mich mit weiteren Informationen?
 
Hi, ist eigentlich logisch das ganze, der zweite MX Eintrag wird benutzt wenn der erste Mailserver aus irgendeinem Grund nicht erreichbar ist.
Im Falle von Greylisting ist das aber nicht der Fall. Der einliefernde MTA erhält das erste mal eine temporäre Fehlermeldung (4xx), wartet eine gewisse Zeit (beim ersten Versuch i. d. R. ein paar Minuten) und versucht es dann beim gleichen Host nochmal.
Der zweite MX Host wird nur dann genutzt, wenn der erste gar nicht erreichbar ist, sei es weil der MTA nicht antwortet oder die Domain falsch eingetragen wurde. Oder weil es sich um eine Spamschleuder handelt, die automatisch den MX Host mit der geringsten Priorität wählt.

Aber wo ist denn dann der Nutzen des Backup MX?
Er speichert so lange die Mails zwischen, bis der primäre MX Host wieder erreichbar ist und die Mails annehmen kann. Allerdings ist es mittlerweile so, dass fast alle MTA die Mailzustellung bis zu 48 Stunden lang versuchen, bis die Zustellung endgültig fehlschlägt. Ein Backup MX ist daher eigentlich nur sinnvoll, wenn du ein repliziertes Setup hast (sowohl MTA, als auch Mailstore). Ansonsten reicht ein MX Host aus.

Hmm, klingt interessant. Hast Du da mal einen Link für mich mit weiteren Informationen?
http://policyd-weight.org/
 
Last edited by a moderator:
Danke für Deine Antwort, Roger Wilco!

Im Falle von Greylisting ist das aber nicht der Fall. Der einliefernde MTA erhält das erste mal eine temporäre Fehlermeldung (4xx), wartet eine gewisse Zeit (beim ersten Versuch i. d. R. ein paar Minuten) und versucht es dann beim gleichen Host nochmal.
Der zweite MX Host wird nur dann genutzt, wenn der erste gar nicht erreichbar ist, sei es weil der MTA nicht antwortet oder die Domain falsch eingetragen wurde. Oder weil es sich um eine Spamschleuder handelt, die automatisch den MX Host mit der geringsten Priorität wählt.

Getestet hatte ich das ganze mit einer Arcor Freemail Adresse. Als Greylisting Service nutze ich Postgrey.

Code:
Auszug aus meiner Postfix Konfiguration:
--main.cf--
smtpd_recipient_restrictions = permit_sasl_authenticated
        permit_mynetworks
        reject_invalid_hostname
        reject_non_fqdn_sender
        reject_non_fqdn_recipient
        reject_unauth_destination
        reject_unknown_sender_domain
        reject_rbl_client dnsbl.ahbl.org
        reject_rbl_client cbl.abuseat.org
        check_policy_service inet:127.0.0.1:60000 <-- postgrey
        permit

Allerdings ist es mittlerweile so, dass fast alle MTA die Mailzustellung bis zu 48 Stunden lang versuchen, bis die Zustellung endgültig fehlschlägt. Ein Backup MX ist daher eigentlich nur sinnvoll, wenn du ein repliziertes Setup hast (sowohl MTA, als auch Mailstore). Ansonsten reicht ein MX Host aus.
Einmal geht es mir auch ums Senden - das kann ich nicht, wenn der Server down ist ;) Leider habe ich jetzt auch die schmerzliche Erfahrung gemacht, dass eben nicht alle MTA die Zustellung solange versuchen. Gerade "selbstgebastelte Systeme", die in meinem Umfeld häufiger vorkommen, sind teilweise anders eingestellt.

Zum Thema replizieren - ich hatte mir überlegt, einfach mit rsync das Maildir zu synchronisieren. Das müsste doch eigentlich mit Dovecot im laufenden Betrieb möglich sein, oder?

Schau ich mir gleich einmal an, Danke!
 
Back
Top