Mailrelayarchitektur mit seperatem Submissionserver

Daniel Gompf tech at kdmails.de
Mi Mai 11 12:15:06 CEST 2016 

Hallo Sören

Am 11.05.2016 um 11:40 schrieb Berger, Sören:
> Hallo zusammen,
> ich baue gerade an einem neuen Mailrelaysetup und hätte eine Architekturfrage für meinen Submissionserver. Ich habe inzwischen verschiedene Ansätze (siehe unten) ausprobiert und bin mir nicht sicher welchen ich implementiere bzw. weiter verfolgen soll.
> 
> Nehmen wir mal folgende Konfiguration an:
> 
> mx1.example.de 192.168.10.1
> mx2.example.de 192.168.10.2
> mx3.example.de 192.168.10.3
> 
> mailrelay.example.de 192.168.10.1 192.168.10.2 192.168.10.3
> smtp.example.de 192.168.10.1 192.168.10.2 192.168.10.3
>  
> Die 3 Mailrelays sind für die Spam- und Virenfilterung, Zustellung der Mails in den Mailcluster und Versand ins Internet. smtp.example.de zeigt auf die gleichen Mailrelays. Auf ihnen ist auf Submission konfiguriert.
> 
> Aus folgenden Gründen würde ich gerne den Submission Server davon trennen:
> 
> * Mailclients kommen eventuell mit dem DNS Round Robin nicht klar. Das heißt, dass ich die MX nicht einfach neu booten kann.

Da gibt es keine Probleme

> * Eine Trennung der Dienste ist eine klarer strukturierte Architektur

Du trennst Sie doch durch Submission und SMTP, evtl. gibst du dem
Submission eine weitere IP

> * Die Konfiguration wird zwar auf mehr Hosts verteilt, aber dadurch übersichtlicher.

Nein, du hast doch auf allen die gleiche die gleiche hast

> 
> Ich habe bis jetzt folgende Ansätze verfolgt:

von den dreien würde ich den ersten wählen wenn ich keine weitere Wahl
hätte.
Hier mal mein Vorschlag.

Setzt doch deinen Spam-Scanner ab evtl. sogar als eigenen Server
(Redundanz nicht vergessen, wenn du schon 3 Mailserver betreibst), lass
dann von allen Mailservern die Mails dort scannen (Milter oder
Prequeue). Pass die policy-banks an somit kannst du für deine
angemeldeten Nutzer oder die Nutzer der Submission-IP andere Prüfungen
setzen.

Und für die ganzen Regeln (Weiterleitungen, Umschreibungen, Transport,
Nutzer,...) legst du dir eine zentrale Datenbank (SQL, LDAP) an. Hier
kann man auch über lokale Replikate nachdenken, Postfix will ja nur lesen.

Daniel

Mehr Informationen über die Mailingliste Postfixbuch-users