LINUX.ORG.RU
ФорумAdmin

Postfix внутренний и внешний

 ,


0

1

Доброго времени суток. Народ, прошу помочь в решении моей проблемы. Натолкните на мысль, как это делается:

Задача следующая - 2 сервера почтовых, один внешний (postfix), второй внутренний (postfix, dovecot)

Каким образом заставить внешний Postfix перенаправлять всю почту для своего домена на внутренний почтовый сервер.

Я сначала предполагал, что за это отвечает параметр transport_maps = hash:/usr/local/etc/postfix/transport_maps

Содержимое этого файла:

domen.org smtp:[10.1.1.5]:25

Однако при отправке письма я получил в логах на внешнем сервере: Recipient address rejected: User unknown in local recipient table (in reply to RCPT TO command)

Как только я добавляю такого же пользователя на внешнем сервере письмо перенаправляется на внутренний сервер.

Скажите, как добиться пересылки письма для моего домена на внутренний сервер без проверки пользователей на внешнем???

И если это не возможно, то как правильно это делается? (проблема в нежелании заводить пользователей на обоих серверах)

Ответ на: комментарий от anonymous

relay_domains

transport_maps

http://www.postfix.org/ADDRESS_CLASS_README.html

Убрать домен из локальных, виртуальных. Только The relay domain class.

Исчерпывающий ответ.

И еще «внешний» и «внутренний» это названия курильщика. Здоровый человек говорит frontend mail server и backend mail server.

constin ★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от Bootmen

Хотел узнать. Зачем вам два почтовика? (двойные заботы) Один всего с двумя сетевухами разве сложнее?

Эта схема довольно часто используется.

1. frontend postfix с защитой от спама, backend какой-нить exchange (чтобы жопой в инет не торчал)

2. Проблемы с интернетом в офисе, backend недоступен, фронтенд держит очередь.

3. проблемы с айпи в офисе (блок провайдера в спам базах) используем frontend для отсылки как релей.

4. нет статик IP в офисе, запускаем vpn и принимаем почту на фронтенд.

5. большой поток писем, у нас много mx/mta серверов и много MDA.

В общем, всякие хрени могут быть.

constin ★★★ ()
Последнее исправление: constin (всего исправлений: 1)
Ответ на: комментарий от Bootmen

постфикс с публичным IP ( и попой в локалке) здесь вполне справится.

Коллега, все зависит от задач и требуемых сопутсвующих сервисов.

К примеру, мой последний почтовый проект:

есть ldap в локалке. Надо: activesync, web, imap, smtp, SSO, spam protection.

Объем хранилища писем что-то около террабайта.

И кластер виртуалок в локалке.

Самая очевидная первая проблема, что ваш один postfix в интернете должен смотреть в ldap в локалке, что небезопасно. Большой объем данных так же подразумевает иметь MDA в локалке. SSO наружу тоже не очень секурно.

Итого: задействованные сервера:

локально

1. ldap (UCS) ( их несколько дублирующих)

2. MDA (imap/activesync) (kopano) вместе с postfix

3. rspamd

4. web интерфейс к mda (kopano)

в интернете

5. frontend postfix ( так как офисный IP перманентно в спамбазе)

Если система распределенная, то плюс минус один сервер где-то там не играет роли, но добавляет удобство.

Ну а для мелких контор или для собственных нужд, я конечно использую 1 виртуалку, где все вместе.

constin ★★★ ()
Ответ на: комментарий от constin

ты что-то путаешь. mda (mail delivery agent) это доставщик в mailbox, обычно lmtp, lda агенты постофиса. Веб интерфейс это клиент постофиса (proto: imap, pop3 etc) плюс msa (proto: smtp etc), в общем, то что называется mua (mail user agent).

anonymous ()
Ответ на: комментарий от constin

что касается ldap. заводят ldap реплику той части, что отвечает за почту, на каждый mx локально или на пул отдельно, если их много. Если канал незащищенный, ldap может tls:

syncrepl rid=123
    provider=ldap://ldap.my.lan:389
    ...
    starttls=yes
далее relay_recipient_maps = ldap: или data = ${lookup ldapm{ldap:/// - у кого какой mx.

В любом случае blind mx это дно.

anonymous ()
Ответ на: комментарий от anonymous

что касается ldap. заводят ldap реплику той части, что отвечает за почту

часть ldap, что отвечает за пользователей - это пользователи. Если ты хочешь , эти части болтались где-то в инете, твое дело. я считаю, что это не секурно.

Безусловно так делать тоже можно. Еще раз повторюсь, вариантов до хрена и это хорошо. Под каждый проект можно выбрать разнообразные схемы.

constin ★★★ ()
Последнее исправление: constin (всего исправлений: 1)