Postfix Verständnisfrage $hostname + PTR record

[ServeMyPurpose]

Hallo zusammen,

ich hab mich in den letzten Tagen mal ein wenig mit Postfix befasst bzw. bin grade dabei das Buch "Book of Postifx" zu lesen.

Da ich plane Postfix auf unserem root vServer einzusetzen hätte ich diesbezüglich noch eine Unklarheit zu beseitigen bevor ich mich step-by-step an die Konfiguration begebe.

Zur Schilderung meines Problems:

Die statische IP unseres vServers zeigt auf einen A record. Ich nehm mal als Beispiel: myvserver.example.de

Den PTR record habe ich im Konfigurationsmenü unseres hosted Server Providers entsprechend auf myvserver.example.de gesetzt.

Der MX Record der Domain exmample.de zeigt auf den A Record myvserver.example.de

Soweit nichts außergewöhnliches. Was ist aber nun wenn ich folgendes beabsichtige.

Der $hostname von Postfix soll nach Möglichkeit auf mail.example.de lauten. Allerdings besagen alle Tutorials und auch das Buch über Postfix, das der $hostname dem DNS Eintrag des PTR records entsprechen sollte, um nicht von anderen Mailservern "gebounct" zu werden.

Ist es dabei wichtig, das der $hostname von Postfix wirklich exakt dem PTR record entspricht, in meinem Fall also myvserver.example.de oder ist es nur entscheidend das der PTR record überhaupt korrekt aufgelöst wird?

Gibt es also für mein Beispiel eine Konfiguration die es mir ermöglicht, das der Hostname meines vservers von dem $hostname meines Postfix MTA abweicht, ohne das ich in die oben beschriebene PTR Problematik hineinrutsche?

 

[mr_brain]

Der PTR/RDNS der IP-Adressen mit denen Postfix versendet sollte dem myhostname" entsprechen.

 

[ServeMyPurpose]

Ok aber dann versteh ich folgendes nicht ganz.

Wenn ich beispielsweise smtp.web.de pinge erhalte ich die IP 217.72.192.157
zurück. Ein rDNS Lookup auf eben diese IP bringt aber den DNS Eintrag smtp-ha.web.de. Das widerspricht ja zunächst mal der o.g Bedingung oder interpretier ich das falsch?

 

[mr_brain]

Wer sagt, das smtp.web.de der ausliefernde Mailserver von Web.de ist?

 

[Joe User]

Der PTR/RDNS der IP-Adressen mit denen Postfix versendet sollte dem myhostname" entsprechen.

Warum? Es reicht wenn die IP-Adresse einen gültigen PTR-Record und der Hostname des Mailservers einen gültigen A-Record und MX-Record hat. Alles Andere ist völlig unnötige Kosmetik...

 

[ServeMyPurpose]

Warum? Es reicht wenn die IP-Adresse einen gültigen PTR-Record
​

Also muss der PTR-Record nicht zwingend identisch zum $hostname des MTAs sein so wie von mir oben beschrieben?
D.h ich könnte ohne weiteres als $hostname meines MTAs mail.example.de vergeben wohingegen mein PTR record dem hostname des vservers entspricht (myvserver.example.de) ohne das ich damit unter Umständen von anderen Mailservern geblockt werde?

Was aber passiert dann wenn mein MTA sich anderen als mail.example.de bekannt gibt (HELO) diese zur Verifikation versuchen per rDNS die ServerIP in DNS aufzulösen und als Antwort myvserver.exmaple.de erhalten.
Wird dann die Verbindung "rejected" weil die Antwort hätte mailexmaple.de lauten müssen oder reicht die Tatsache das die IP per rDNS auflösbar ist?

 

[danton]

Sofern mail.example.de auf die IP deines Servers auflöst, sollte das kein Problem darstellen. Habe ich bei mir auch so, der Server hat server. example.net, Postfix meldet sich mit mail.example.net und löst auch zur IP meines Servers auf. Bisher hatte ich keine Probleme damit.

 

[Joe User]

Also muss der PTR-Record nicht zwingend identisch zum $hostname des MTAs sein so wie von mir oben beschrieben?
D.h ich könnte ohne weiteres als $hostname meines MTAs mail.example.de vergeben wohingegen mein PTR record dem hostname des vservers entspricht (myvserver.example.de) ohne das ich damit unter Umständen von anderen Mailservern geblockt werde?

Richtig, allerdings muss mail.example.de auch einen gültigen A-Record haben.

Was aber passiert dann wenn mein MTA sich anderen als mail.example.de bekannt gibt (HELO) diese zur Verifikation versuchen per rDNS die ServerIP in DNS aufzulösen und als Antwort myvserver.exmaple.de erhalten.
Wird dann die Verbindung "rejected" weil die Antwort hätte mailexmaple.de lauten müssen oder reicht die Tatsache das die IP per rDNS auflösbar ist?

Nein, es wird nur rejected wenn entweder die IP-Adresse keinen PTR hat, oder der PTR nicht rückwärts auflöst (fehlender A-Record für den Hostnamen des PTR oder falsche IP-Adressee im A-Record für den PTR), oder für mail.example.de kein A-Record existiert.

Klingt komplizierter als es ist

 

[ServeMyPurpose]

Danke erstmal für eure Antworten
Ich hab noch was aus dem FAQ Bereich des Hetznerforums etwas gefunden.

Der Reverse-DNS-Eintrag meines Rechners lautet anders als der im HELO-Befehl meines Mailservers genannte Hostname. Ist das ein Problem?

Beispiel: Der Reverse-DNS-Eintrag zur IP-Adresse eines Rechners lautet "www.grossefirma.de", der Mailserver auf diesem Rechner meldet sich im HELO-Befehl aber als "mail.grossefirma.de"

Manche Spamfilter stufen Mails von solchen Absendern eher als "spammig" ein, daher sollten derartige Inkonsistenzen vermieden werden. Im obigen Beispiel könnte der Reverse-DNS-Eintrag und der Hostname des Mailservers beispielsweise "srv01.grossefirma.de" lauten, "www.grossefirma.de" könnte als CNAME-Eintrag (Alias) ohne sichtbare Auswirkungen auf "srv01.grossefirma.de" umgeleitet werden.

Kann man also unterm Strich sagen das man im Idealfall den hostname des MTA dem ReverseDNS Eintrag der ServerIP auf dem der MTA läuft angleichen sollte und ggf. über CNAMEs Aliase anlegt anstatt Gefahr zu laufen doch an der ein oder anderen Stelle Probleme zu bekommen je nach Konfiguration des MTAs mit dem man kommuniziert.

 

[Joe User]

Andersrum wird ein Schuh daraus: Wenn der andere MTA solche Mails als potentiellen Spam behandelt, dann ist der andere MTA beziehungsweise dessen Konfiguration kaputt. Die entsprechenden RFCs sind hier eindeutig und wer die ignoriert, gehört selbst ignoriert...

 

[mr_brain]

Warum? Es reicht wenn die IP-Adresse einen gültigen PTR-Record und der Hostname des Mailservers einen gültigen A-Record und MX-Record hat. Alles Andere ist völlig unnötige Kosmetik...

Die meisten DSL-Anschlüsse haben ein gültigen RDNS/PTR.

Den A-Record und MX-Record kann ich via DynDNS mittels CNAME immer gültig halten.

Damit wäre Spammern es leicht gemacht.

 

[Joe User]

CNAME ist bei Hostnamen für Mailserver nicht zulässig.
Zudem sind fast alle Dialup-Netze in den entspechenden Blacklists gelistet und können auf diesem Wege rejected werden.