[Postfixbuch-users] LDAP-Lookup und Ausfallsicherheit

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Do Nov 29 11:29:01 CET 2007 

Thomas Stiefel wrote:
> Hallo zusammen,
> 
> wir haben folgende Ausgangssituation:
> Wir betreiben 3 Postfix-Server als SMTP-Relays, die im Internet hängen 
> und schon mal einiges an SPAM vorfiltern. Die Mails werden dann an einen 
> Domino-Server DOM2 (ebenfalls in der DMZ) per SMTP weitergeleitet, auf 
> dem weitere Checks laufen. Wir haben allerdings in der letzten Zeit das 
> Problem, dass wir sehr viele Mails mit falschen Empfänger-Adressen 
> bekommen, die das Domino-System unnötig belasten.
> 
> Daher wollen wir per LDAP direkt eine Abfrage auf Benutzer im 
> Domino-Directory ausführen und alle Mails abweisen, die nicht an eine 
> gültige Adresse gehen. Ich habe auf dem DOM2 den LDAP-Server 
> konfiguriert und gestartet sowie auf unserem Testsystem mittels  
> relay_recipient_maps  ein LDAP-Lookup eingerichtet, das auch wie 
> gewünscht funktioniert.
> 
> Das Problem ist nun allerdings, dass wir während des Offline-Backups des 
> Domino-Servers temporäre Lookup-Fehler erhalten und die Mails dann 
> temporär abgelehnt werden:
> 
> 451 <user at domain.de>: Temporary lookup failure

Mit Address_verify_db kann man das etwas abmildern, aber es ist kein
vollwertiger Ersatz für eine Liste aller gültigen Empfänger.

> Da sich auf das Testsystem in der Regel nur ein paar wenige SPAM-Mails 
> verirren ist das nicht ganz so tragisch, aber auf den Produktiv-Servern 
> können wir das nicht gebrauchen. Daher bräuchten wir eine Lösung, damit 
> auch in der Zeit wo der DOM2 down ist die Mails weiterhin angenommen und 
> zugestellt werden. Nach einiger Recherche und reiflicher Überlegung bin 
> ich auf 2 mögliche Szenarien gekommen.
> 
> Variante A:
> Ich könnte auf dem internen Domino-Server DOM1 im Intranet auch einen 
> LDAP-Server aktivieren und diesen als 2. Ziel für den Lookup 
> konfigurieren. Wobei sich hier die Frage stellt wie man das am besten 
> konfiguriert. Die einfachste wäre wohl ein DNS-Alias, der auf beide 
> Server zeigt und somit sollte Postfix dann hoffentlich automatisch auf 
> DOM1 zugreifen, wenn DOM2 down ist.
> 
> Variante B:
> Ich habe in einer Mail von Sandy gelesen, dass man wohl auch per Script 
> das LDAP-Directory abfragen und das Ergebnis in eine Hash-DB schreiben 
> kann. Es müsste hier allerdings neben der Internet-Adresse auch das Feld 
> Kurzname aus dem Domino-Directory mit abgefragt werden.
> 
> Die LDAP-Query für Postfix lautet:  query_filter = 
> (|(mail=%s)(uid=%u)(uid=%s))
> 
> Die Variante B würde ich ganz klar bevorzugen, da ich hier nicht nur 
> keinen 2. LDAP-Server laufen lassen müsste und den Zugriff aus der DMZ 
> ins Intranet nicht erlauben müsste, sondern vor allem auch die Anzahl 
> der LDAP-Abfragen minimieren könnte - was den Domino-Server zusätzlich 
> entlasten würde.
> 
So hatte ich das auch gelöst. Dem Postfixserver den Zugriff auf LDAP
gestatten und per cron ein Script aufrufen, welches die gültigen User und
Domains zusammenstellt. Dann kann ich den Server auch mehrere Stunden
abschalten, ohne das Mails abgewiesen werden. Zusätzlich werden neue User
automatisch übernommen, die Konfiguration der Accounts findet also nur auf
dem Dominoserver statt.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users