Здравствуйте, коллеги.
Взываю к ветеранам почтовых смотрителей за советом.

Наш любимый провайдер последнее время очень любит косячить, в следствии чего приходится переходить на резервный канал. На резервном канале перестает приходить почта даже внутри локалки. В логе такая картинка

Jul 23 11:52:18 mail postfix/error[10364]: B2BB89AC006: to=<admin@domain.ru>, relay=none, delay=6.9, delays=6.3/0.41/0/0.21, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.domain.ru[1.1.1.1]:7025: Connection timed out)

Он продолжает цепляться за внешний адрес провайдера. Почтовик представляет из себя ZCS 8 с минимальными наворотами. Как мне заставить его смотреть на 127.0.0.1? Это будет первым шагом к решению проблем по доставке писем извне, находясь на резервном, т.к. они хоть внутри сети ходить будут.

Исходные данные:

hostname: mail.domain.ru
hosts: 
127.0.0.1 mail.domain.ru mail
192.168.0.5 mail.domain.ru mail
1.1.1.1 mail.domain.ru mail
2.2.2.2 mail.domain.ru mail
main.cf:
mynetworks = 127.0.0.0/8 192.168.0.0/24 1.1.1.1/29 2.2.2.2/24 [::1]/128 [fe80::]/64

На хостинге:
хост   тип      значение ttl
@	MX	10 mail	 3600			
@	MX	20 mail2 3600
mail	A	1.1.1.1	 3600			
mail2	A	2.2.2.2	 3600	
+dkim
+spf

В один момент времени всегда активно только одно подключению к Интернету. Основная задача именно заставить почту работать во всех направлениях (снаружи внутрь, внутри локалки) вне зависимости от текущего канала. На данный момент отправка проходит нормально под любым провайдером.

Добрейшее утро. Сегодня у меня оно началось с очередной спам-атаки: 49к писем в очередях с одного домена-отправителя. В ящики пользователям дрянь не попала, но сервак был почти намертво подвешен обработкой этой полезнейшей корреспонденции. Домен тут же получил +10.0 очков в amavisd.conf.in.

Однако никому нет дела, что родной zmamavisd справляется, ведь работать в веб-морде чуть больше чем невозможно. Не задумываясь я вновь подключил DNSBL, что бы не утруждать zimbr'у анализом содержимого писем. Спустя полчаса вспомнил, почему их отключал... отвалилась отправка с почтовых клиентов.

Клиенты цепляются как по 25, так и 587 порту с STARTTLS, сидят дружно с мобильных операторов и вероятно мало что о себе сообщают почтовику.

mail postfix/smtpd[6316]: NOQUEUE: reject: RCPT from unknown[217.118.93.186]: 554 5.7.1 Service unavailable; Client host [217.118.93.186] blocked using pbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=217.118.93.186; from=<admin@domain.com> to=<adm.sergei@receptioner.com> proto=ESMTP helo=<[10.214.80.21]>

Провайдерский 217.118.93.186 присутствует в спам листе, т.к. мобильные операторы выдают всем по-дефолту серый IP.

Аналогичная картинка у меня была ранее при использовании dnsbl.sorbs.net и, кажется, spamcop.

В связи с этим простой вопрос администраторам Зимбры: какие листы Вы используете и какие проблемы в связи с этим вылезают? Нашальство очень любит свои айфонопады, плюс ко всему там поддерживается кошерный для них s/mime, и работоспособность почтовых клиентов превыше устойчивости почтовой системы.

Secondary question: насколько эффективны по вашему опыту такие опции проверок через dns, как:

reject unknown client hostname
reject unknown helo hostname
reject unknown sender domain

Странность такая случилась с утра: При попытке зайти по адресу сервера (\\192.168.0.9) сервер запрашивает авторизацию, ввожу - Отказано в доступе, снова запрос данных.

Если ходить по имени (\\filesrv), все работает.

Проблема в том, что бухи не в домене, и их ни в какую не пускает на сервер, все МФУ разучились складывать сканы в папки, vpn-юзеры не могут подцепиться к серву и т.д.

Если коротко о том, что случилось, так это я менял маску в dhcp с 24 на 23, следовательно и на интерфейсах серверов тоже ее менял. Сейчас, в панике вернул маски на серверах и своем хосте. Результатов ноль.

CentOS 5.9 x86_64 smb.conf (3.5.21)

[global]
netbios name = filesrv
security = ads
server string = filesrv
workgroup = KOMISGROUP
realm = KOMISGROUP.RU
auth methods = winbind
password server = 192.168.0.7
hosts allow = 192.168.
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = \
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = yes
preferred master = No
log file = /var/log/samba/log.%m
log level = 3
panic action = /usr/share/samba/panic-action %d
smb ports = 139
username map = /etc/samba/smbusers
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
display charset = cp1251
unix charset = cp1251
dos charset = cp866
vfs object = recycle

[Privat]
        comment = Privat
        path = /work/privat
        write list = @«%D\work users»
        admin users = @«%D\domain admins»
        read only = no
        create mask = 0660
        directory mask = 0770
        printable = no
        locking = no

Кусок лога (отказ доступа по ip):

[2014/07/07 12:46:40.176745,  3] smbd/sesssetup.c:1254(reply_sesssetup_and_X_spnego)
  NativeOS=[] NativeLanMan=[] PrimaryDomain=[]
[2014/07/07 12:46:40.176787,  3] libsmb/ntlmssp.c:747(ntlmssp_server_auth)
  Got user=[admin] domain=[KOMISGROUP] workstation=[ADMINISTRATOR] len1=24 len2=274
[2014/07/07 12:46:40.176855,  3] smbd/map_username.c:188(map_username)
  Mapped user admin to root
[2014/07/07 12:46:40.177268,  3] auth/auth.c:216(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [KOMISGROUP]\[admin]@[ADMINISTRATOR] with the new password interface
[2014/07/07 12:46:40.177309,  3] auth/auth.c:219(check_ntlm_password)
  check_ntlm_password:  mapped user is: [KOMISGROUP]\[root]@[ADMINISTRATOR]
[2014/07/07 12:46:40.177339,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2014/07/07 12:46:40.177360,  3] smbd/uid.c:429(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2014/07/07 12:46:40.177386,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2014/07/07 12:46:40.227522,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2014/07/07 12:46:40.227576,  2] auth/auth.c:314(check_ntlm_password)
  check_ntlm_password:  Authentication for user [admin] -> [root] FAILED with error NT_STATUS_ACCESS_DENIED
[2014/07/07 12:46:40.227612,  3] smbd/error.c:80(error_packet_set)
  error packet at smbd/sesssetup.c(111) cmd=115 (SMBsesssetupX) NT_STATUS_ACCESS_DENIED

Куда посоветуете копать? Меня сожрут скоро.