Postgrey auf mehreren Servern / Backupservern

P

Phill

Registered User
Hallo Zusammen!

Ich habe seit rund zwei Wochen Greylisting im Einsatz und eigentlich funktioniert auch Alles wunderbar. Da ich aber eine vielleicht eigenwillige Konfiguration meiner Systeme habe wollte ich einmal nachfragen was passiert wenn mein Server auf dem Postgrey rennt aussfällt.

Zu meinen Servern: Auf allen Servern rennt Postfix, und auf einem eben Postgrey.


MX1: Hauptmailserver
main.cf:
Code: 
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_policy_service inet:IPVOMPOSTGREYSERVER:60000


MX2, MX3, MX4: Backupmailserver
Main.cf:
Code: 
smtpd_recipient_restrictions = permit_mynetworks, check_policy_service inet: IPVOMPOSTGREYSERVER:60000, permit_mx_backup, reject_unauth_destination


Postgreyserver
Hier läuft Postgrey und lauscht auf der externen IP (nicht loopback).


Soweit rennt alle gut. Wenn MX1 ausfällt werden Mails von MX2, MX3 od. MX4 angenommen und später an MX1 weitergeleitet. Mir stellt sich nur die Frage was passiert wenn jetzt der Postgreyserver ausfällt? Dann müssten doch alle Mails ins Nichts führen, oder? Daher die Frage, was soll ich da machen? Ist es sinnvoller Postgrey auf jedem Server separat zu installieren und mehrere DB’s unabhängig voneinander laufen zu lassen?


mfg Phill
 
Wenn der "check_policy_service" nicht erreichbar ist oder länger braucht als in einem der "smtpd_policy_service_*"-Parameter angegeben, wird er von Postfix übersprungen. D.h. es wird ein 'true' angenommen.

PS: Deine MX2-4 haben den "reject_unauth_destination" nach den "check_policy_service". Es sollte genau andersrum sein, damit kein Open-Relay entsteht.

PPS: Der Vorteil Deiner Konfiguration ist, daß kaum Zeitverzögerung auftritt wenn Du die Greylisting-Time entsprechend kurz hälst.

huschi.
 
Huschi said:
Wenn der "check_policy_service" nicht erreichbar ist oder länger braucht als in einem der "smtpd_policy_service_*"-Parameter angegeben, wird er von Postfix übersprungen. D.h. es wird ein 'true' angenommen.
Click to expand...
Na das ist gut. Dann kommen die Mails also im Fall der Fälle das der Postgreyserver ausfällt trotzdem an (aber ohne Greylisting halt).
Nachtrag: Ich finde diesen Parameter weder in meiner main.cf noch in meiner master.cf. Kannst du mir bitte kurz sagen WAS ich WO eintragen sollte.


Huschi said:
PS: Deine MX2-4 haben den "reject_unauth_destination" nach den "check_policy_service". Es sollte genau andersrum sein, damit kein Open-Relay entsteht.
Click to expand...
Wenn ich das umdrehe bekomme ich aber eine Fehlermeldung von den Backupserver das sie E-Mails nicht annehmen da Sie sich nicht zuständig fühlen. (Ich glaube zumindest das es so war.)
Nachtrag: Es war wenn ich mich richtig erinnere so, dass wenn reject_unauth_destination vor permit_mx_backup steht, dann wollen die Backupserver nicht. Oder muss ich jetzt bei den Backups noch alle Domains in eine Art Zulassungsliste eintragen? Und wenn ja, reicht die Domain, oder brauch ich auch die Subdomains?


Huschi said:
PPS: Der Vorteil Deiner Konfiguration ist, daß kaum Zeitverzögerung auftritt wenn Du die Greylisting-Time entsprechend kurz hälst.
Click to expand...
Stimmt, im Normalfall werden die Mails um die 400 Sekunden gehalten. Ich habe aber auch schon Mails bekommen wo die Zeit unmöglich stimmen kann (weil ich die Mails selber geschickt habe). Bei einer Mail z.B. stand was über 80000 Sekunden.



Vielen Dank jedenfalls für deine Antwort Huschi, du hast mir sehr weitergeholfen.
 
Last edited by a moderator:
Huschi said:
Davon habe ich auch nichts gesagt!
Ich sprach von check_policy_service, der Grundsätzlich immer erst nach reject_unauth_destination stehen sollte.
Click to expand...

Nein hast du nicht, aber wenn ich es so mache:

Code: 
smtpd_recipient_restrictions = permit_mynetworks, permit_mx_backup, reject_unauth_destination, check_policy_service inet: IPVOMPOSTGREYSERVER:60000

dann gilt das Greylisting ja nicht für die Backupfunktion! :confused:


und so verweigert der Server die Annahme:

Code: 
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet: IPVOMPOSTGREYSERVER:60000, permit_mx_backup
 
Last edited by a moderator:
Huschi said:
Doch hab ich wohl. Von 'permit_mx_backup' hab ich nie gesprochen. Den hast Du in der Reihenfolge umgestellt.
Click to expand...
Ja eh, es passt schon. Du hast nicht von permit_mx_backup gesprochen, sondern ich. das habe ich mit "Nein hast du nicht". Egal, wir haben einfach aneinander vorbeigesprochen.


Huschi said:
Wer sagt das?
Ein Email muß alle Restrictions durchlaufen.
Click to expand...
Ja ich hatte es schonmal irgendwie andersrum und irgendwas hat dann nicht richtig funktioniert. Aber ich werde es heute Abend nochmal versuchen wenn ich zuhause bin.
 
Also mit folgenden Einstellungen bekomme ich folgende Fehlermeldung:


Code: 
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:80.82.212.117:60000, permit_mx_backup

policy_time_limit = 200
80.82.212.117:60000_time_limit = 200



Code: 
This is the mail system at host home.kochinger.net.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

                   The mail system

<office@kochinger.net>: host mx2.kochinger.net[80.82.212.121] said: 554 5.7.1
    <office@kochinger.net>: Relay access denied (in reply to RCPT TO command)
 
Du bist anscheinend kein Freund von Logikaufgaben. Ich stelle Dir dennoch eine:

1. Aktuell ist die Konstellation "a b c"
2. Einer sagt b muß vor c kommen.
3. Ein zweiter sagt a sollte nach c kommen

Wie sieht dann das Ergebnis aus?
Und jetzt nimm mal Deine ursprüngliche Konfig von ganz ganz oben und nummerier die mal mit abc durch und stelle sie entsprechend um.

Du hast soviel ausprobiert aber noch nicht einmal so wie ich es vorgeschlagen hab.

huschi.
 
BCA???

Okay fangen wir nochmal an...

Meine Originalconfig auf den Backupservern:

smtpd_recipient_restrictions = permit_mynetworks, check_policy_service inet: IPVOMPOSTGREYSERVER:60000, permit_mx_backup, reject_unauth_destination

daraufhin meinstest du

PS: Deine MX2-4 haben den "reject_unauth_destination" nach den "check_policy_service". Es sollte genau andersrum sein, damit kein Open-Relay entsteht.
Click to expand...

dannhabe ich folgendes gemacht:

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:80.82.212.117:60000, permit_mx_backup

weil du ja meintest das es davor gehört. also was ist daran jetzt bitte falsch? oder meintest du das ich es einfach nur umdrehen soll und permit_mx_backup in der mitte stehen lassen soll?
 
Ok, mit Buchstaben kommst Du also zurecht.
Dann geben wir jetzt den Buchstaben mal Namen in der Reihenfolge Deiner original Config:
a = check_policy_service inet: IPVOMPOSTGREYSERVER:60000
b = permit_mx_backup
c = reject_unauth_destination
Dir logische Reihenfolge nach o.g. Lösung ist also:
permit_mx_backup, reject_unauth_destination, check_policy_service inet: IPVOMPOSTGREYSERVER:60000

Diese Lösung hast Du schon einmal hingeschrieben, aber anscheinen nicht ausprobiert, weil Du dachtest "dann gilt das Greylisting ja nicht für die Backupfunktion!".

Phill said:
daraufhin meinstest du
Click to expand...
Ich sagte a sollte nach c und Du sagtest b muß vor c.
Aber Du machst daraus c a b, was umgesetzt bei Dir so aussieht und nicht funktioniert da Du Dein eigenes "b muß vor c" nicht beachtet hast:
reject_unauth_destination, check_policy_service inet:80.82.212.117:60000, permit_mx_backup
Click to expand...

huschi.
 
Das war meine allererste Config, aber dann greift das Greylisting nicht am Backupserver! Ich habe es gerade wieder getestet!

smtpd_recipient_restrictions = permit_mynetworks, permit_mx_backup, reject_unauth_destination, check_policy_service inet:80.82.212.117:60000


Daher bin ich der Meinung das check_policy_service vor permit_mx_backup gehört. Aber reject_unauth_destination darf nicht vor permit_mx_backup stehen weil dann keine Mails angenommen werden. Also was soll ich da jetzt bitte machen? Das Einzige was funkt ist eben:

smtpd_recipient_restrictions = permit_mynetworks, check_policy_service inet:80.82.212.117:60000, permit_mx_backup, reject_unauth_destination


Oder muss ich meine Domains die der Backupserver behandelt noch in irgendeien Auth-File eintragen, das folgendes vlt doch funktioniert???

smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, check_policy_service inet:80.82.212.117:60000, permit_mx_backup


Ich steh jetzt jedenfalls an!!! So wie du meinst, greift entweder das Greylisting ned, oder aber der Server nimmt die Mails garnicht an!
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top