Вопросы по маршрутизации почты
Модератор: Модераторы
Сообщений: 5
• Страница 1 из 1
- greensleeve
- Активный пользователь
- Сообщения: 111
- Зарегистрирован: 02 фев 2005, 21:39
- Откуда: Москва
greensleeve » 10 июн 2005, 20:12
Здравствуйте!
Есть белый адрес X.Y.Z.126, почтовый сервер Exchange2003, доменная зона класса "split-brain dns" my_domain.com, т.е. имя внешней и внутреннедоменной зоны совпадают, имя
почтового сервера внутри домена - sigma. Еще есть провайдер с адресом X.Y.Z.102 и почтовиком mail.isp.ru, за которым можно спрятаться при желании (NAT), использовав
адрес 10.0.33.5. Во внешней DNS зоне такие записи:
my_domain.com. IN MX 30 mail.isp.ru.
my_domain.com. IN MX 20 sigma1.my_domain.com.
my_domain.com. IN MX 10 sigma.my_domain.com.
;; ADDITIONAL SECTION:
sigma.my_domain.com. IN A 10.0.33.5
sigma1.my_domain.com. IN A X.Y.Z.126
mail.isp.ru. IN A X.Y.Z.102
Основной маршрут почты (работает постоянно) на файрволле белый адрес X.Y.Z.126, почта идет на Exchange2003 через строки
MX 20 sigma1.my_domain.com / sigma1.my_domain.com. IN A X.Y.Z.126
т.к.
my_domain.com. IN MX 10 sigma.my_domain.com./sigma.my_domain.com. IN A 10.0.33.5
из инета разумеется не работает
Неосновной маршрут - на файрволле 10.0.33.5, почта идет через
MX 30 mail.isp.ru./ mail.isp.ru. A X.Y.Z.102
(MX 10 и 20 вне игры) и через SMTP Relay провайдера используя
my_domain.com. MX 10 sigma.my_domain.com./ sigma.my_domain.com. A 10.0.33.5
попадает к нам на Exchange2003.
Вопрос 1 / получается, что имя хоста не играет роли в пересылке не через SMTP Relay (основной маршрут) т.к. хост называется sigma, а в MX 20 указано sigma1,
но в неосновном маршруте через SMTP Relay mail.isp.ru провайдера имя хоста должно совпадать в доменной зоне и MX записи (sigma) _Почему так?
Вопрос 2 / Часть почты видимо может не отправлятся если на удаленном SMTP серваке включена проверка MX. Это так? А проверка по PTR будет проходить?
Вопрос 3 / Если заюзать еще один белый адрес J.B.C.D и использовать когда провайдер лежит и X.Y.Z.126 не работает, вот это надо прописать вовне:
my_domain.com. IN MX 20 sigma1.my_domain.com.
my_domain.com. IN MX 10 sigma.my_domain.com.
;; ADDITIONAL SECTION:
sigma1.my_domain.com. IN A J.B.C.D
sigma.my_domain.com. IN A X.Y.Z.126
чтобы можно было перевтыкнуть провод и почта продолжала приходить через J.B.C.D?
Спасибо!
Есть белый адрес X.Y.Z.126, почтовый сервер Exchange2003, доменная зона класса "split-brain dns" my_domain.com, т.е. имя внешней и внутреннедоменной зоны совпадают, имя
почтового сервера внутри домена - sigma. Еще есть провайдер с адресом X.Y.Z.102 и почтовиком mail.isp.ru, за которым можно спрятаться при желании (NAT), использовав
адрес 10.0.33.5. Во внешней DNS зоне такие записи:
my_domain.com. IN MX 30 mail.isp.ru.
my_domain.com. IN MX 20 sigma1.my_domain.com.
my_domain.com. IN MX 10 sigma.my_domain.com.
;; ADDITIONAL SECTION:
sigma.my_domain.com. IN A 10.0.33.5
sigma1.my_domain.com. IN A X.Y.Z.126
mail.isp.ru. IN A X.Y.Z.102
Основной маршрут почты (работает постоянно) на файрволле белый адрес X.Y.Z.126, почта идет на Exchange2003 через строки
MX 20 sigma1.my_domain.com / sigma1.my_domain.com. IN A X.Y.Z.126
т.к.
my_domain.com. IN MX 10 sigma.my_domain.com./sigma.my_domain.com. IN A 10.0.33.5
из инета разумеется не работает
Неосновной маршрут - на файрволле 10.0.33.5, почта идет через
MX 30 mail.isp.ru./ mail.isp.ru. A X.Y.Z.102
(MX 10 и 20 вне игры) и через SMTP Relay провайдера используя
my_domain.com. MX 10 sigma.my_domain.com./ sigma.my_domain.com. A 10.0.33.5
попадает к нам на Exchange2003.
Вопрос 1 / получается, что имя хоста не играет роли в пересылке не через SMTP Relay (основной маршрут) т.к. хост называется sigma, а в MX 20 указано sigma1,
но в неосновном маршруте через SMTP Relay mail.isp.ru провайдера имя хоста должно совпадать в доменной зоне и MX записи (sigma) _Почему так?
Вопрос 2 / Часть почты видимо может не отправлятся если на удаленном SMTP серваке включена проверка MX. Это так? А проверка по PTR будет проходить?
Вопрос 3 / Если заюзать еще один белый адрес J.B.C.D и использовать когда провайдер лежит и X.Y.Z.126 не работает, вот это надо прописать вовне:
my_domain.com. IN MX 20 sigma1.my_domain.com.
my_domain.com. IN MX 10 sigma.my_domain.com.
;; ADDITIONAL SECTION:
sigma1.my_domain.com. IN A J.B.C.D
sigma.my_domain.com. IN A X.Y.Z.126
чтобы можно было перевтыкнуть провод и почта продолжала приходить через J.B.C.D?
Спасибо!
Harry33 » 10 июн 2005, 21:05
greensleeve
1. Есть подозрение что MX 10 просто не срабатывает и тебя сразу отправляют на SIGMA1 (MX2) причина может быть самая банальная частные IP в инете не маршрутизируются. Соответственно удаленный хост MX10 просто не воспринимает.
2. Может наоборот? Часть почты может не проходить если включена проверка по PTR ? Если так, то да действительно.
3. не до конца понял...
Вообще если внешняя почта столь важный компонент, есть смысл использовать активку, обеспечивающую резервные подключения и основные DNS сервера, которые отвечают за твою зону DNS расположить у себя.
1. Есть подозрение что MX 10 просто не срабатывает и тебя сразу отправляют на SIGMA1 (MX2) причина может быть самая банальная частные IP в инете не маршрутизируются. Соответственно удаленный хост MX10 просто не воспринимает.
2. Может наоборот? Часть почты может не проходить если включена проверка по PTR ? Если так, то да действительно.
3. не до конца понял...
Вообще если внешняя почта столь важный компонент, есть смысл использовать активку, обеспечивающую резервные подключения и основные DNS сервера, которые отвечают за твою зону DNS расположить у себя.
Знания, которые нельзя применить - бесполезны
- greensleeve
- Активный пользователь
- Сообщения: 111
- Зарегистрирован: 02 фев 2005, 21:39
- Откуда: Москва
greensleeve » 14 июн 2005, 09:38
1. Cогласен что MX 10 в основном маршруте не срабатывает спрошу по -другому почему в основном маршруте имя хоста - принимающего SMYP сервера в MX записи не играет роли т.к. у меня sigma а в MX 20 прописано sigma1 и почта приходит
2. Я имел в виду что несоответствие о котором я написал в первом вопросе не может послужить причиной отсечения соединения каким-нибудь сторонним антиспамом? если да, как такой антиспам работает (по чему идет проверка)?
3. есть два провода от двух разных провайдеров которые физически можно втыкать в WAN файрволла так можно обеспечить некоторую отказоустойчивость а вопрос был как прописывать MX
2. Я имел в виду что несоответствие о котором я написал в первом вопросе не может послужить причиной отсечения соединения каким-нибудь сторонним антиспамом? если да, как такой антиспам работает (по чему идет проверка)?
3. есть два провода от двух разных провайдеров которые физически можно втыкать в WAN файрволла так можно обеспечить некоторую отказоустойчивость а вопрос был как прописывать MX
Harry33 » 14 июн 2005, 10:22
greensleeve
1. Да, в этом случае имя хоста не играет роли. В случае MX записи имя хоста - промежуточный этап. Сервер SMTP ищет IP адрес SMTP сервера в требуемом домене.
2. Действительно, такое несоответствие может стать причиной отказа в попытке соединения. При проверке по реверсной зоне происходит обратный запрос на основании имени хоста, который пытается подключиться, если IP адрес хоста совпадает с тем, что по этому поводу прописано в реверсной зоне, соединение разрешается, в противном случае отклоняется. Заметь проверяется именно соответствие Хост - IP. MX в этом случае вообще не учавствует. Т.е. в твоем конкретном примере никаких проблем быть не должно.
3. Есть возможность одновременно подключить обоих провайдеров на твой WAN?
Правильным решением было бы включение одновременно двух каналов и организация маршрутизации к твоей подсети одновременно двумя провайдерами, но тут уже возникнет вопрос согласятся ли провайдеры это реализовывать.
Теоретически решить эту проблему можно и через DNS.
Записи организовываеш тек как у тебя записано.
my_domain.com. IN MX 20 sigma1.my_domain.com.
my_domain.com. IN MX 10 sigma.my_domain.com.
Только обе A записи должны иметь реальные IP адреса.
1. Да, в этом случае имя хоста не играет роли. В случае MX записи имя хоста - промежуточный этап. Сервер SMTP ищет IP адрес SMTP сервера в требуемом домене.
2. Действительно, такое несоответствие может стать причиной отказа в попытке соединения. При проверке по реверсной зоне происходит обратный запрос на основании имени хоста, который пытается подключиться, если IP адрес хоста совпадает с тем, что по этому поводу прописано в реверсной зоне, соединение разрешается, в противном случае отклоняется. Заметь проверяется именно соответствие Хост - IP. MX в этом случае вообще не учавствует. Т.е. в твоем конкретном примере никаких проблем быть не должно.
3. Есть возможность одновременно подключить обоих провайдеров на твой WAN?
Правильным решением было бы включение одновременно двух каналов и организация маршрутизации к твоей подсети одновременно двумя провайдерами, но тут уже возникнет вопрос согласятся ли провайдеры это реализовывать.
Теоретически решить эту проблему можно и через DNS.
Записи организовываеш тек как у тебя записано.
my_domain.com. IN MX 20 sigma1.my_domain.com.
my_domain.com. IN MX 10 sigma.my_domain.com.
Только обе A записи должны иметь реальные IP адреса.
Знания, которые нельзя применить - бесполезны
Сообщений: 5
• Страница 1 из 1
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 59