Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |||
centos:mailserver:backup_mailserver [18.02.2009 09:07. ] – link korrigiert michi | centos:mailserver:backup_mailserver [03.12.2009 21:22. ] (aktuell) – Quatsch entfernt (Danke an Sascha!) michi | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== Backupmailserver ====== | ||
+ | Nur mit einem Mailserver in Produktion zu gehen, wirft natürlich für das Thema //geplante Wartungsarbeiten / Downtime// schon einige Fragen auf. Bevor nun die Domäne gar nicht mehr erreichbar ist, ist es schon weitaus angenehmer auf einen Backupmailserver, | ||
+ | Es wird setzen einen sog. **„Store-and-Forward“**-Backup-Server um, d.h. es werden die eMails vom Backup-Server angenommen und sobald der **eigentlichen MX-Server** wieder Ververfügbarkeit ist, an diesen zugestellt. | ||
+ | |||
+ | Für unsere Domäne definieren wir die zugehörigen MX-Records. | ||
+ | # dig nausch.org MX | ||
+ | |||
+ | ;; ANSWER SECTION: | ||
+ | | ||
+ | | ||
+ | |||
+ | Für die dynamische Empfängeradressverifizierung lassen wir Postfix eine Datenbank anlegen. Ebenso definieren wir, für wen genau unser MX als Backup relayen darf und soll. Hierzu tragen wir in die ** / | ||
+ | < | ||
+ | # Datenbank für die dynamische Adressverifizierung anlegen | ||
+ | # eingetragen am 02.02.09 | ||
+ | # | ||
+ | address_verify_map=btree:/ | ||
+ | permit_mx_backup_networks = 88.217.171.167/ | ||
+ | Das Verzeichnis **/ | ||
+ | < | ||
+ | chown postfix: | ||
+ | chmod 700 / | ||
+ | Die bereits unter [[centos: | ||
+ | < | ||
+ | # Postmaster, abuse und andere aufgaben- oder funktionsgebundene E-Mail-Adressen (Role-Accounts) whitelisten | ||
+ | check_recipient_access hash:/ | ||
+ | # Black- und Whitelisting | ||
+ | check_client_access hash:/ | ||
+ | check_helo_access hash:/ | ||
+ | check_sender_access hash:/ | ||
+ | check_recipient_access hash:/ | ||
+ | # Unsauberer eMails nicht annehmen | ||
+ | reject_non_fqdn_sender, | ||
+ | reject_non_fqdn_recipient, | ||
+ | reject_unknown_sender_domain, | ||
+ | reject_unknown_recipient_domain, | ||
+ | # Unsere eigenen Nutzer zulassen-/ | ||
+ | permit_sasl_authenticated, | ||
+ | permit_mynetworks, | ||
+ | # RBL überprüfen (Kapitel 10.11 Realtime Blackhole Lists) | ||
+ | reject_rbl_client zen.spamhaus.org, | ||
+ | reject_rbl_client ix.dnsbl.manitu.net, | ||
+ | reject_rbl_client bl.spamcop.net, | ||
+ | reject_rbl_client dnsbl.njabl.org, | ||
+ | reject_rhsbl_client multi.uribl.com, | ||
+ | # Policyd-Weight | ||
+ | check_client_access hash:/ | ||
+ | check_policy_service inet: | ||
+ | # Greylisting via postgrey checken via Unix-Socket | ||
+ | check_policy_service unix: | ||
+ | # Dynamische Prüfung auf existente Relay-Empfänger | ||
+ | reject_unverified_recipient, | ||
+ | # aktiviert am 02.02.09 | ||
+ | # Backupserver (MX) erlauben | ||
+ | permit_mx_backup, | ||
+ | # alles andere an relaying verbieten | ||
+ | reject_unauth_destination, | ||
+ | # Zu guter Letzt alles durchlassen, | ||
+ | permit</ | ||
+ | Die eigentliche Arbeit - die der Empfänger-Adress-Verifizierung erfolgt dabei durch das Modul **verify** welches in der **master.cf** definiert ist. | ||
+ | | ||
+ | Zur Aktivierung unserer Änderungen **reloaden** wir unseren Postfix einfach 1x. | ||
+ | # service Postfix reload | ||
+ | Nach den erfolgreichen Testläufen definieren wir nun noch, dass Zustellversuche an nicht existierende Empfänger auf dem eigentlichen Zielsystem auch wirklich mit einem **500er** geblockt werden. | ||
+ | # für den Backupmailserverbetrieb eingetragen am 02.02.09 | ||
+ | | ||
+ | Anschließend werden die Änderungen wie gwohnt durch einen Reload aktiviert: | ||
+ | # service postfix reload |