Hallo, Stefan :-) > okay, bis hierhin kann ich folgen, aber dass würde ja bedeuten das > jeder backup MX auch ein open- relay darstellt. Das kann doch nicht > sein?! Also der Backup-MX ist ein Relay für deine Domain und dort ein offenes in Bezug auf alle localparts deiner Domain, d.h. alles was irgendwas@deine.domain als Empfänger hat, wird angenommen. > Auch hier muss es ja einen Schutz geben. Oder muss ich das so verstehen, > dass der Backup MX nur für die domains für die er zuständig ist die > mails zwischenspeichert, dann aber nur an mx1 relayed also dann auch > kein versenden über mx2 funktioniert? Genau so, der Backup-MX sammelt alles ein was er in die Finger bekommt, da er keinen Zugriff auf deine Benutzerdatenbank hat, kann er auch nicht weiter prüfen. Er ist aber nur ein Relay, d.h. er packt alles in seinen Spool und muss sie dann an den normalen MX zustellen sobald dieser wieder erreichbar ist. Problem mit den Spammern ist nun folgendes: Dein normaler MX prüft die localparts ob sie auch wirklich vorhanden sind und weist bei nicht vorhandenen Mails die Einlieferung ab. Nicht so der Backup-MX der erstmal alles annimmt. Was ein Spammer nun tut ist, er schickt seinen Müll mit Millionen von verschiedenen localparts an den Backup-MX, der ihn nicht abweist und die Mail annimmt. Will nun der Backup-MX die Mail an den normalen MX weiterreichen und er stellt fest, dass dieser ihn wegen eines falschen localparts abweist (no such user, relaying denied), dann generiert er eine Mail an den Absender, das die Zustellung fehlgeschlagen ist. Die landen dann aber bei dem unglücklichen, dessen Mailadresse misbraucht wurde. An der Stelle bastele ich noch, so dass man exim vielleicht beibringen kann als Relay die Mails anzunehmen (wo mein Backup-MX schon etwas unter meiner Kontrolle sein sollte) und sie dort ebenfalls abweist, wenn der Localpart ungültig ist. Abhilfe ist ein catchall nach /dev/null oder eine Skript-Lösung mittels fetchmail vom Backup-MX etc. Aber das hat halt leider den Nachteil, dass auch Unzustellbarkeitsmails die ich eventuell ja haben will weil sich ein echter Nutzer vertippt hat ebenfalls im Nirvana landen. > Na gut , mann muss ja nicht zwangsläufig NFS verwenden. drbd sollte > eigentlich reichen Hatte damals auch daran gedacht einen IMAP zu implementieren, der seine Mails in einer Datenbank hält, die repliziert wird (ala DBBalancer). Nur ein vollständiges IMAP ist schon ein größeres Projekt.. > Wär ein schönes Projekt!!! Also 2 MAilcluster mit drbd, je einer auf > einer seite und datensynchronisation per VPN. NA, wer hat Lust? Ja :-) Das ganze müsste nur auch hinreichend performant sein, wenns zwei Rechner sind würde ja auch ein einfacher Tunnel reichen. Cheers, Jan
Attachment:
signature.asc
Description: OpenPGP digital signature