[Postfixbuch-users] Multi Postfix Relay mit SSL

R. Svejda rsvejda at balsec.ch
Do Sep 18 09:00:14 CEST 2008 


Peer Heinlein wrote:
> Am Mittwoch 17 September 2008 schrieb R. Svejda:
>
>
>   
>> Kann ich im DNS mx1 und mx2 als MX definierien (klassisch nach
>> Vorschrift mit A Record und Reverse-DNS Eintrag) und;
>> smtp im DNS zweimal auf die gleichen Addressen legen wie mx1 und mx2
>> damit einmal der und einmal der andere genommen wird und;
>>     
>
> Ja, aber es erhöht nicht die Ausfallsicherheit. Geht ein Mailrelay 
> nicht, kriegen die Kunden in 50% der Fälle keinen Versand zustande. 
>
> Besser IMHO: eine IP auf einen Mailserver binden, auf dem anderen die 
> gleiche IP nur vorbereiten und im Fehlerfall manuell "schwenken". Sorgt 
> ggf. für eine kurze Downtime bis der Admin eingreift, sorgt 
> anschließend aber dafür, daß stunden- und tagelang alles funktioniert, 
> zum Beispiel auch bei geplanten längeren Umbauten. Da kommt man mit 
> Round-Robin nicht weit.
>
>   
Peinlich, ich vergess / verdräng die 'Dummheit des Round Robin' regelmässig.
>> Geht das glatt oder habe ich etwas übersehen was dagegen spricht..
>> Könnte man eventuell sogar 2 Zertifikate definieren und auf
>> verschiedenen Ports/IPs lauschen?
>>     
>
> Unterschiedliche Ports werden nix bringen, auch wenn das geht. Aber 
> mehrere IPs gehen und über die Aufrufparameter in der master.cf 
> könntest Du verschiedenen IPs dann auch verschiedene Zertifikate 
> zuweisen.
>
> Nur: Andere Mailserver werden sich i.d.R. nicht großartig darüber 
> aufregen, wenn sie Dich als mx1 ansprechen und ein Zertifikat auf den 
> Hostnamen smtp bekommen. Da geht für Mailserver (!) die Welt nicht 
> unter (für Mailclients allerdings schon). 
>
> Insofern könnte man aber auch getrennte Zertifikate auch verzichten wenn 
> man da geringfügig schludert. Da geht die Welt nicht unter. 
> Andererseits bin ich eh dafür, daß MX und smtp über unterschiedliche 
> IPs laufen selbst wenn es der gleiche Postfix ist -- dann kann man auch 
> getrennte Zertifikate machen, außer einmalig 10 Zeilen Extra-Tipparbeit 
> macht das dann auch keinen Aufwand mehr.
>
> Ergo: Alles kann, nix muß.
>
> Mit freundlichen Grüßen
>
> Peer Heinlein
>
>
>   
Ich werde mir eine IP freischaufeln und Deine 2-IP Lösung umsetzen.

Danke Peer, auch für die Buch Neuauflage, ist wirklich gut!

Mehr Informationen über die Mailingliste Postfixbuch-users