Несколько MX, указывающих на один и тот же сервер

Question

Несколько MX, указывающих на один и тот же сервер

Мне нужна помощь для настройки почтового сервера. Я хотел бы знать, возможно ли иметь несколько MX с разными IP-адресами пабов, указывающими на один и тот же локальный сервер. это связано с тем, что в моей среде существует 2 шлюза (несколько поставщиков услуг), сторожевой таймер t30 (локальный 10.0.0.254), который управляет 12.12.12.5, и сторожевой страж t35 (локальный 10.0.0.253), который управляет 12.12.12.6, для целей отработки отказа. они используют один и тот же маршрутизатор isp 12.12.12.0/28.

watchguard t35 - loc 10.0.0.254 - паб 12.12.12.5

watchguard t30 - loc 10.0.0.253 - паб 12.12.12.6

зона mycompany.com:

mycompany.com. MX 5 mail.mycompany.com
mycompany.com. MX 15 samemail.mycompany.com
mycompany.com. TXT "v=sfp1 a mx ip4:12.12.12.5 ip4:12.12.12.6 ~all"
mail.mycompany.com. A 12.12.12.5
samemail.mycompany.com A 12.12.12.6

зона 12.12.12.in-addr.apra:

5.12.12.12.in-addr.arpa. PTR mail.mycompany.com.
6.12.12.12.in-addr.arpa. PTR samemail.mycompany.com.

на firewall1: nat 12.12.12.5 - 10.0.0.1 общие почтовые порты

на firewall2: nat 12.12.12.6 - 10.0.0.1 общие почтовые порты

MAILSERVER nic config

ip: 10.0.0.1
subnet mask: 255.0.0.0
gw 10.0.0.254 metric 2
gw 10.0.0.253 metric 50

Таким образом, когда первый шлюз выходит из строя, весь запрос запускается (и уходит) с 10.0.0.253 (12.12.12.6) на общих портах (25..443..) вместо шлюза с метрикой 2.

или, может быть, я мог бы назначить другой сетевой адаптер почтовому серверу и изменить все правила на брандмауэрах, а затем работать с метриками INTERFACE, как в примере:

ПОЧТОВЫЙ NIC1

10.0.0.1 
255.0.0.0
10.0.0.254
nic metric 2

NIC2

10.0.0.2
255.0.0.0
10.0.0.253 
nic metric 50

Я хотел бы знать, есть ли какие-либо противопоказания в использовании этого метода, или есть ли альтернативы... другая информация, почтовый сервер - Mdaemon. каждая помощь заметна!

edit: если я использую конфигурацию с двумя шлюзами и разными метриками, мой сервер всегда будет использовать ту, которая имеет самую низкую метрику 10.0.0.254 (12.12.12.5), пока не обнаружит ее в сети. Если я не установлю какой-то конкретный маршрут, сервер не сможет использовать вторичный 10.0.0.253 (12.12.12.6), даже порт 25 и другие общие порты не будут слушать. Я сделал тест, я запустил непрерывный запрос на порт 25 12.12.12.5 и 12.12.12.6, в то время как этот тест я отключил брандмауэр 10.0.0.254 (12.12.12.5), поэтому сервер перестал слушать это, и начал слушать на вторичном межсетевом экране в метрике. Существуют ли сценарии, когда мой сервер может начать связь, не используя 10.0.0.254, когда он находится в сети? тест fw1 вниз

0

networking domain-name-system email-server mx-record mdaemon

Источник

Lorenzo Landi 15 дек '18 в 15:04

1 ответ

Другие вопросы по тегам networking domain-name-system email-server mx-record mdaemon

Kamil J 15 дек '18 в 21:46 2018-12-15 21:46 · Answer 1 · 2018-12-15 21:46

Привет, эта конфигурация не будет делать то, что, как вы предполагаете, будет делать:-(. В основном DNS-записи были бы для домена (скорее всего, вы правильно это сделали, но читатели правильно его увидели)...

зона mycompany.com:

mycompany.com. MX 5 mail.mycompany.com
mycompany.com. MX 15 samemail.mycompany.com
mycompany.com. TXT "v=sfp1 a mx ip4:12.12.12.5 ip4:12.12.12.6 ~all"
mail.mycompany.com. A 12.12.12.5
samemail.mycompany.com A 12.12.12.6

зона 12.12.12.in-addr.apra:

5.12.12.12.in-addr.arpa. PTR mail.mycompany.com.
6.12.12.12.in-addr.arpa. PTR samemail.mycompany.com.

С точки зрения DNS это правильно, но проблема может заключаться в маршрутизации на стороне сервера. Исходя из настроек сети, которые вы публикуете, это не ведет себя как два независимых сетевых соединения на стороне сервера, но все время предпочтительнее использовать 10.0.0.254 / 12.12.12.5, даже если связь была запущена с использованием 10.0.0.253 / 12.12.12.6 (по любой причине). В некоторых случаях это может работать, но в других случаях это не будет работать (например, если другая сторона использовала, например, Cisco ASA - в этот момент он не будет распознан как связанный обмен данными, и он будет прерван).

Чтобы это работало, было бы лучше использовать некоторые параметры HA на стороне шлюза и - например, Виртуальный IP-адрес, резервный шлюз,... И на стороне DNS использовать одну запись MX. Поскольку это "окончание" на том же маршрутизаторе ISP, это не будет проблемой. Почтовый сервер на тот момент имел бы только один интерфейс.

В случае, если вы будете настаивать на двух интерфейсах на почтовом сервере, это может быть возможно, но вы должны убедиться, что ответ будет следовать тому же шлюзу, который будет использоваться для установления соединения. Самым простым способом было бы использовать sNAT на шлюзе / брандмауэре, но в случае почтового сервера это не очень хорошая идея, поскольку вы теряете отслеживание исходного IP-адреса (например, проверку спама на основе исходного IP-адреса), поэтому следует выбрать другой (более сложный подход),