[Postfixbuch-users] etwas OT: DNS mit bind9

Andreas Winkelmann ml at awinkelmann.de
Mi Jul 4 07:19:16 CEST 2007


On Tuesday 03 July 2007 23:22, Thomas Klein wrote:

> habe inzwischen den alten Mailserver beim Kunden neu aufgesetzt und
> Postfix umgezogen.
> Die neue Hardware nun: P4 3.0 GHZ mit HT, 2 GB RAM (auf nem kleinen
> IBM-Server), 80 GB SATA HDD. Sicher wären SCSI-Platten mit RAID schöner
> gewesen, aber das war die Grenze des finanziell machbaren.
>
> Habe dort Debian Etch frisch installiert mit bind9. Verwende an sich die
> Standard-Konfiguration von bind9.
>
> /etc/bind/named.conf.options sieht so aus:
>
> auth-nxdomain no;    # conform to RFC1035
>         listen-on-v6 { any; };
>         listen-on { any; };
>         statistics-file "/var/log/named.stats";
>         recursion yes;
>         max-cache-size 128m;
>
> Ansonsten wurde an den config-files nix verändert.
>
> Habe die Cache-Size mal auf 128 MB gesetzt, kommt doch schon einiges an
> DNS-Abfragen über den Tag zusammen (bei z.b. heute 3500 verarbeiteten
> Mails, versendet und empfangen zusammen).  Weiss nicht so recht ob der
> Wert  praktikabel ist.
>
> Was mich aber trotzdem wundert: Die DNS-Abfragen gehen eigentlich
> angenehm schnell (zumindest im Gegensatz zu vorher). Beispiel:
>
>  dig listi.jpberlin.de
> ;; ANSWER SECTION:
> listi.jpberlin.de.      3600    IN      A       213.203.238.6
>
> ;; AUTHORITY SECTION:
> jpberlin.de.            3600    IN      NS      ns.jpberlin.de.
> jpberlin.de.            3600    IN      NS      ns2.jpberlin.de.
>
> ;; Query time: 33 msec
> ;; SERVER: 127.0.0.1#53(127.0.0.1)
>
>
> Aus dem Cache dann:
> ;; Query time: 0 msec
>
> Trotzdem habe ich noch das Problem, daß die reverse-DNS Auflösung bei
> recht vielen Hosts bei ankommenden Mails irgendwie nicht schnell genug
> läuft. Bisher wurde eine Mail von einem unknown-Host mit 550 rejected,
> die "Beschwerden" der User über nicht angekommene Mails war
> dementsprechend hoch, obwohl bei genauerer Überprüfung die
> reverse-Auflösung eigentlich korrekt war. Daher ist das rejecten von
> "unknown hosts" erstmal auskommentiert.

Das hat mit deinem DNS-Server nix zu tun. Es gibt einen unterschied 
zwischen "es antwortet kein DNS-Server wegen Timeout" und "es antwortet ein 
DNS-Server und der sagt, den Eintrag gibt es nicht".

> Vielleicht macht es ja doch Sinn, Mails von "unknown hosts" mit 450 zu
> rejecten, um die Wahrscheinlichkeit einer erfolgreichen DNS-Abfrage zu
> erhöhen?!
>
> Noch eine komische Sache:
> Jul  3 09:18:48   -> erster zustellversuch eines Mailservers, reverse
> DNS meint "unknown", reject wg. greylisting
> Jul  3 09:19:48    -> zweiter zustellversuch, reverse DNS OK, reject wg.
> greylisting
> Jul  3 09:20:48 -> dritter zustellversuch reverse DNS meint wieder
> "unknown", reject wg. greylisting
> Jul  3 09:30:48   -> vierter zustellversuch, reverse DNS OK, mail wird
> angenommen, da 300 sec inzwischen abgelaufen
>
> Es wäre ja noch zu verstehen gewesen, wenn beim 1. Zustellversuch die
> Auflösung nicht geklappt hätte. Beim 2. Versuch war's ja OK, demnach
> hätte beim 3. Versuch ja die Antwort aus dem Cache kommen müssen. Es war
> auch bei allen Zustellversuchen der selbe Mailserver (von der IP her).

Prüf die TTL des Eintrages, evtl. altert er nach einer Minute schon wieder 
raus.

Und zeig am besten Beispiele.

> Ich habe auch den Thread von vor ein paar Wochen schon studiert, der
> sich mit bind beschäftigt.

Wie ich vermutlich dort schon sagte, ein eigener Bind ist kein Allheilmittel 
für DNS-Probleme. Prüf Deine Konfiguration ob sie auch wirklich den eigenen 
DNS-Server benutzt (auch im chroot von Postfix). Und prüf die DNS-Server, die 
Du abfragst. Wenn die Schrott sind, such dir andere. Falls Du keine forwarder 
benutzt, prüfe ob das bei dem Provider Deiner Wahl auch ohne funktioniert.

> Vielleicht hat ja jemand noch ein paar Hinweise, wo es hängen könnte.

-- 
	Andreas



Mehr Informationen über die Mailingliste Postfixbuch-users