[Postfixbuch-users] Postfix ausgehendes Relay / IP Pool nutzen

Bastian traced at xpear.de
Mi Dez 15 11:24:42 CET 2010


 On Wed, 15 Dec 2010 11:18:41 +0100, Peer Heinlein 
 <p.heinlein at heinlein-support.de> wrote:
> Am Mittwoch 15 Dezember 2010 10:55:56 schrieb Bastian:
>>  Hi, ich hab mich gerade gefragt ob es in Postfix irgendwie möglich
>>  ist, bei einem ausgehenden Mailrelay per Roundrobin immer
>>  unterschiedliche Absender IPS zu nutzen? Die IPs sind alle auf dem
>>  Server konfiguriert.
>
> Mache ich immer wie folgt:
>
> iptables, Source-NAT nutzen.
>
>
> Aber: Manche (genaugenommen: Freenet!) reagieren noch viel 
> empfindlicher
> auf nicht-matchende HELO-Hostnamen, als policyd-weight. Gut gewollt,
> übermotiviert umgesetzt und am Ende vermasselt.
>
> Da Postfix hier nicht mehr wissen kann, welchen HELO er nehmen kann 
> und
> der Hostname im Zweifel auf die falsche Source-IP zeigt, scheitert 
> man
> bei Freenet damit.
>
> Ich mache da also folgendes:
>
> Server hat die IPs 10 bis 15.
>
> Freenet & Co kriegen einen eigenen transport-Weg der auf die IP 11
> gebunden wird und der in sich stimmt.
>
> Alle anderen nehmen den normalen Transportweg, der ja von der 10 
> kommt.
> Für diese schlägt dann iptables zu, der matcht, ob Source-IP die .10 
> ist
> und dann ggf. auf die IPs 12-15 Round-Robin Source-NAT macht.
>
> So kann man Problemfälle aus dem SNAT raushalten und alles wird gut.
>
>
> Oder, falls man nicht ganz so viele Mails hat, wird man das
> sicherheitshalber lieber umdrehen wollen: Alles dort, wo man SNAT
> braucht, routet man auf die .11 und nur dort schlägt dann iptables 
> zu.
> So hält man sich 99% des normalen Mailverkehrs vom SNAT fern, was 
> auch
> nichts schadet.
>
> Peer

 Hallo Peer,
 vielen Dank für den Hinweis! Nur das mit dem Helo finde ich bisschen 
 kritisch, da ich auf solche Absender auch negativ reagiere.
 Habe gerade eben auch noch etwas gefunden, was Wietse auf ner Liste 
 gepostet hat, nur verstehe ich das nicht so ganz :-)

>Try:
>
>/etc/postfix/main.cf
>    check_recipient_access pcre:/etc/postfix/random.pcre
>
>/etc/postfix/random.pcre
>    /^(.)(.*)/  FILTER smtp$1:$1$2
>
>With master.cf transports smtpa .. smtpz and smtp0 .. smtp9 and so on.

 Was hältst Du von der Lösung? Hier könnte man ja für jeden definierten 
 Transport den Helo wieder mit der IP matchen lassen?!
 Nur, kann mir bitte einer erklären was "/^(.)(.*)/  FILTER smtp$1:$1$2" 
 genau  macht? Als anderer Vorschlag wurde auch der genannt: 
 "/^(.*)@([a-z0-9])(.*)/  FILTER smtp$2:$2$3"

 viele Grüße
 Basti



Mehr Informationen über die Mailingliste Postfixbuch-users