[postfix-users] Postfix und DNS

Christian Bricart christian at bricart.de
Di Jan 5 16:21:19 CET 2010 

Morten P.D. Stevens wrote:
> Hi Leute,
>
> kleine Frage zu Postfix und DNS.
>
> Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von
> unbekannten IP´s annimmt. (reject_unknown_client)

Aus der Postfix-Doku:
  | The unknown_client_reject_code parameter specifies the response
  | code to rejected requests (default: 450).
Soll heissen: wenn du diesen Wert nicht auf einen 5xx-Code geändert hast,
dann versucht jeder (standard-konforme) einliefernde Server später
nochmal...

>
> Das funktioniert auch alles einwandfrei... allerdings kann es unter
> Umständen Probleme geben, wenn mal ein DNS Server von uns nicht erreichbar
> ist. In dem Moment kann Postfix kein DNS Lookup auf die IP machen und kann
> daher nicht feststellen, ob es sich um ein unbekannte IP handelt oder
> nicht.
>
> Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server
> ein, falls einer mal down ist.

joh..

>
> Allerdings scheint es Postfix nur mit dem Primären DNS Server zu
> probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw.
> werden von Postfix abgewiesen.

evtl. eine ältere Version der resolv.conf mit nur einem Eintrag in deinem
Postfix-chroot..? (sofern chroot aktiviert..)

>
> Als Lösungsmöglichkeit sehe ich folgende: Einfach auf jedem Postfix Server
> einen einzelnen bind9 installieren, der nur auf localhost hört und somit
> kann Postfix vollkommen unabhängig seine DNS Abfragen machen?

bietet sich je nach Mailaufkommen sowieso an den (zusätzlichen) Resolver
lokal auf der Maschine zu haben.. du wirst überrascht sein, wie viele
DNS-Queries dein Postfix je nach Konfiguration so macht ;-)

>
> Wie macht ihr das? Gibt es dazu eventuell noch bessere Lösungen? Unsere
> DNS Server sind zwar hochverfügbar aber mir geht es um genau die 30
> Sekunden downtime wenn ein DNS Server mal rebootet z.B. wegen
> Sicherheitsupdates.

- auf jden Fall einen caching-DNS (muss ja kein BIND sein - gibt genug
Alternativen..) auf die Postfix-Maschine
- mehrere Netz-lokale DNS-Server/Resolver evtl in einen Load-Balancer
  (LVS/ipvsadm/keepalived/..) hängen - evtl. "über Kreuz" in zwei und
diese beiden HA-IPs in die resolv.conf eintragen.. damit dann kein SPoF
bei Ausfall des Load-Balancers.

Christian

Mehr Informationen über die Mailingliste postfix-users