postfix, tls и два канала

0

1

В наличии:
- почтовый сервер(postfix-dovecot) за NAT
- самописный TLS-сертификат
- два канала с PTR под разные домены(example.com, example.net

работает основной(example.com), с резервного даже не проброшены порты на сервер.
Хочется, что бы при падении основного канала почта ходила через резервный. На вход и выход.

Вариант один, незамысловатый:
- перебить PTR на двух каналах под один домен, типа(example.com и mx.example.com)
- настроить на основном домене(example.com) MX с разными приоритетами на разные каналы
- настроить example.com как MX в example.net(возможно ли такое? цинк на RFC?)

Вариант второй, наркоманский:
- Мне мерещется жуткая конструкция с тремя(!!!) SMTP - по одному на домен-канал с сертификатами и один внутренний для настройки отправки у клиентов.

Вариант третий, простой:
- плюнуть на псевдо-отказоустойчивость и простои по пол-часа раз в квартал.
- скучно.

Просьба подсобить идеологически-верным решением и/или указать на фатальные недостатки первого варианта.

PS. Внешние сервисы не подойдут - разнарядка: «всё держать у себя».

Спасибо за внимание.

Ссылка

←	Как актуализировать устаревшую базу данных из более свежего экземпляра?

Пропадает wifi при отключении LAN

→

Абсолютно не важно под какой домен есть PTR, он просто должен существовать.

У меня один SMTP и один PTR - mx.domain.ru и сертификат тоже один.
Он отправляет почту для хреновой тонны доменов, проблем никаких.

Тебе надо выбрать основной домен, настроить на нем mx1.domain.net , mx2.domain.net с разными приоритетами и настроить на эти МХ все домены.

Изнутри можно, в принципе, сделать и три сервера, но лучше разруливать исходящий траффик на роутере (который тебе НАТ делает).

Причем тут TLS я так и не понял, учитывая что у тебя самопальный сертификат.

blind_oracle
(05.12.13 10:52:51 MSK)

Ответ на: комментарий от blind_oracle 05.12.13 10:52:51 MSK

Причем тут TLS я так и не понял, учитывая что у тебя самопальный сертификат.

Там прописывается доменное имя под которое он изготавливается.
Или учитывая общую самописность это просто мулька?
Или это просто «контактные данные» не несущие никаких ограничений?

Yustas
(05.12.13 10:54:44 MSK) автор топика

PTR по сути без разницы какой, лишь бы он был, и не содержал «ppp», «dyn», «adsl» и прочее, часто по этим критериям спам-фильтры срабатывают.

То есть по пунктам...
Исходящая почта:
Поставить PTR, например, mx01.example.com и mx02.example.com.
Ну и мониторить доступность каналов, но это, я так понимаю, уже реализовано.

Входящая почта:
Поставить на обоих доменах по 2 mx-записи с соответствующими приоритетами, если нужно чтобы по разным каналам почта для разных доменов ходила.

example.com:

mx01.example.com.    IN    A    1.1.1.1
mx01.example.com.    IN    A    2.2.2.2
example.com.         IN    MX   10 mx01.example.com.
example.com.         IN    MX   20 mx01.example.com.

example.net:

example.net.         IN    MX   10 mx02.example.com.
example.net.         IN    MX   20 mx01.example.com.

По приоритетам, почта на example.com пойдет на 1.1.1.1, если он недоступен, пойдет на 2.2.2.2. Почта на example.net наоборот пойдет сначала на 2.2.2.2, а потом на 1.1.1.1.

ZigmunD
(05.12.13 11:06:24 MSK)

Ответ на: комментарий от Yustas 05.12.13 10:54:44 MSK

Про TLS +1.

Тоже стоит 1 сертификат и обслуживает несколько доменов.

ZigmunD
(05.12.13 11:08:34 MSK)

Ссылка

Ответ на: комментарий от ZigmunD 05.12.13 11:06:24 MSK

Поставить PTR, например, mx01.example.com и mx02.example.com.

Я сомневался, можно ли использовать MXы c иным доменом, и забыл как раотает PTR.
Надо больше спать, чёрте-что мерещится стало xD

Yustas
(05.12.13 11:09:37 MSK) автор топика

Ссылка

Всё, спасибо blind_oracle'у и ZigmunD'у.
Вопрос естественным образом решился.

Yustas
(05.12.13 11:11:19 MSK) автор топика

Ссылка

Ответ на: комментарий от Yustas 05.12.13 10:54:44 MSK

Да, если сертификат самопальный это уже до фонаря какой там CommonName прописан. Я юзаю реальный, но wildcard сертификат вида *.domain.ru, так что он подойдёт как к mx1.domain.ru, так и к mx2.domain.ru - никаких заморочек. Такой сертификат сейчас можно купить совсем занедорого где-то вроде.

blind_oracle
(05.12.13 11:15:19 MSK)