Hey Norbert,
auf ein, zwei Punkte deiner letzten Antwort möchte ich nochmal eingehen.
Zitat
Warum eigentlich zwei MTA? erwartest du ständige Downtimes?
ZitatIch persönlich halte die Lösung eventuell für oversized, aber ich kanns auch nur anhand deiner Fakten einschätzen.
hmmm... Wenn du das oversized auf die zwei MTAs beziehst könntest du recht haben. Hier war Ausfallsicherheit der Vater meiner Gedanken. 99% garantierte Verfügbarkeit bedeutet, dass übers Jahr son VServer auch mal 3,5 Tage ausfallen darf. Ein Ausfall, der länger als ein paar Stunden dauert ist aber wohl höchstunwarscheinlich. Daher ist dein Einwand an dieser Stelle wohl gerechtfertigt!
Wollte mir ggf. die Möglichkeit auch offen halten Amavis, Spamassasin und ClamAV auf den Postfix-Kisten laufen zu lassen. Das Ganze ist sehr resourcenhungrig. Amavis braucht je nachdem wieviel Prozesse du laufen hast viel RAM (naja..wenn man nich mehere Cores zur Verfügung hat, ist das eh humbuck), Spamasssin belastet - wenn du eine Vielzahl aufweniger RegEX-Prüfungen durchlaufen läßt - die CPU stark. Zumindest ein kleiner VServer (1 gb ram, keine garantierte Cores) hat dann je nach Mailaufkommen ordentlich was zu tun. Daher dachte ich ich kann LoadBalancing mit Ausfallsicherheit kombinieren (anstatt einen dickeren VServer).
Habe aber eh Forefront für Exchange lizenziert. Von daher kann ich auf dem Relay auf Spam- & Virenprüfung verzichten. Damit ist meine ganze Argumentationskette natürlich hinfällig! Hab die Sache wohl nicht zu Ende gedacht. Wie gesagt --> guter Einwand deinerseits. Werde wohl auf einen zweiten MTA verzichten und mir die Sache am Montag noch mal genau durch den Kopp gehen lassen.
Oversized auf Bezug einen eigenen Relay einzusetzten lasse ich jedoch nicht gelten Du hast recht wenn du behauptest ein SMTP-Forward ins LAN ist nur ein sehr kleines Risiko, jedoch lehne ich INet-Dienste im LAN prinzipiel ab. Ich kenn mich, wenn ich Anfang Ausnahmen zuzulassen, packt mich iwann die Bequemlichkeit und schwup die wups wird OWA (https?) und ActiveSync auch ins LAN geroutet.... Ein leitender Angestellter ist eh schon ganz scharf auf OWA und ActiveSync. Nenene
Außerdem wird der SMTP-Dienst nur über eine schmale, schlechte ADSL-Leitung (feste IP) laufen, die eh je nach Zeit überlastet ist. Hab zwar noch ne SDSL-Leitung zur Verfügung, die ich aber außschließlich für VPN/StandortVernetzung (TerminalServer, AD-Replikation und DFS-R) reserviert ist. Tausende eingehende Connections (blind, falsch adressierter Spam) möchte ich der ADSL-leitung nicht noch zusätzlich auflasten.
Zitat
Ja, wobei die Prio egal ist, da bei identischer Priorität sowieso der mit dem alphabetisch ersten Namen die Hauptlast hat.
Hmm funktioniert DNS-RoundRobin bei MX-Einträgen in der Praxis nicht richtig? Geht das nur mit A-Records? Müßte das noch mal nachschlagen. Ist aber höchstwarscheinlich eh hinfällig (wohl doch nur ein MTA)
Zitat
Hmm kenne diese Funktion nicht, aber wenn du es konfigurieren kannst, warum nicht.
ZitatIch glaube du überschätzt die anfallende Last. Damit hat ein Exchange keine Probleme. Glaubs mir. Aber ja, deine Lösung hat ihre Vorteile.
Möchte, wenn ich SMTP einsetzte definitiv auf meinem ersten MTA ungültige Empfänger ablehnen, so dass der einliefernde MTA bounced. Ich finde das gehört sich einfach so! Ein Blackhole hatte ich mit der pop/fetchmail-"Lösung". Ist nicht wirklich höflich. Zudem kommt die ADSl-Leitung wieder ins Spiel - wobei allein das rejecten ungültiger Adressen für mich Grund genug ist.
Zur Empfängerprüfung gibts in Kombi Postfix/Exchange wohl drei Lösungen. Hier ist wohl auschließlich die Prüfung (mit gecachten Ergebnissen) die einzig sinnvoll einsetzbare. Die anderen beiden wären manuelles Pflegen der gültigen eMail-Adressen (schrecklich) oder anonmye LDAP-Anfragen im AD zulassen. Wenn ich die zweite Lösung einsetzten würde, würde wohl bei mir im Oberstübchen was falsch laufen, wenn ich mir gleichzeitig über einen SMTP-Dienst im LAN Gedanken mache
Zudem halte ich die SMTP-Prüfung im übrigen für perfekt und elegant gelöst!
Zitat
Dann würde ich dir empfehlen dir den ISA Server bzw. seinen Nachfolger TMG 2010 anzuschauen. Damit kannst du eine Exchangeveröffentlichung auch ohne DMZ realisieren und mit drei NICs, würdest du dir noch die Möglichkeit einer "DMZ" schaffen.
Kenn mich auf diesem Gebiet(Produkte) in der Tat sehr schlecht aus. Werde mir das mal genauer ansehen. Danke für den Tipp!
Gruss gense