Postfix - jedna doména, 2 lokality, 3 servery

[Martin]

Ahoj,

rád bych požádal o radu, jak si ulehčit práci.

Mám jednu doménu pro firmu, jejichž zaměstnanci pracují ve 2 kacelářích v jiných částech města připojených každá 10Mbit linkou mezi nimiž je vytvořen tunel pomocí OpenVPN. V každé kanceláři sedí server s CentOSem + Postfix, Dovecot, Amavis. Uživatelé komunikují pouze se serverem ve své kanceláři.

Dohromady používám 3 servery:
MX1 - v DNS priorita 20 - kancelář č.1
MX2 - v DNS priorita 30 - kancelář č.2
MX3 - v DNS priorita 10 - server v datacentru na 100Mbit lince

Všichni používají emailové adresy jmeno.prijmeni@domena.cz. Chtěl jsem, aby distribuce emailů směrem dovnitř probíhala co nejrychleji a tak jsem nastavil tak, že v DNS má nejvyšší prioritu MX server v datacentru, jehož postfix mrkne na který server se má pošta směrovat a tam ho také dál posílá. Když přijde pošta prvotně na server s nižší prioritou, nic se neděje, všechny obsahují stejné směrovací tabulky.

Tzn. pošta pro katka.novakova@domena.cz přijde nejdříve na mx3.domena.cz, tam se postfix mrkne do /etc/postfix/virtual a zjistí, že emaová adresa je alias pro katka.novakova@mx1.domena.cz a tak se posílá na mx1.domena.cz.

Řeším pomocí virtual_alias_maps v postfixu, což je také největší úskalí. Při jakékoli manipulaci s uživateli musím ručně editovat konfigurační soubory na 3 serverech, což je nejen časově náročné, ale je tu i větší riziko zanesení chyby.

Nenapadne někoho elegantnější řešení, které by mi konfiguraci usnadnilo a popravdě i zvýšilo uživatelský komfort?

Co bych rád já nebo uživatelé:
-----------------------------------------
- založit uživatele pouze jednou, s příznakem ve které kanceláři je jeho domov
- možnost manipulovat s distribučními seznamy ( holky@domena.cz -> katka, petra, lucka )
- nechat na servery, aby si zařídili replikaci ( LDAP ? )
- v případě výpadku konektivity k některému serveru musí dojít
- nemuset fyzicky přidávat uživatele do systému konkrétního serveru
- možnost použití automatické odpovědi, při příchodu zprávy přímmo pro uživatele např. katka ( nikoli na alias holky@ - používám skript vacation s web rozhraním v rámci Roundcube Mail )
- použití hesla uživatele i na fileserveru se sambou ( opět LDAP ? společně se Samba AD ? )
- najít někoho, pro koho je to brnkačka a nechá se ke konfiguraci uplatit :-)

Děkuju,
Martin

[Reklama]

[Filip Jirsák]

Pokud byste uživatele měl v nějaké databázi (třeba LDAP), musíte řešit její replikaci. Pokud byste měl databázi jenom na jednom místě, výpadek dané lokality by vám odstavil všechny tři servery.

Pokud uživatelů není mnoho, zapsal bych si do jednoho souboru uživatele s příznakem, ve které jsou kanceláři, do druhého souboru seznam distribučních skupin s uživateli, a pak bych si napsal skript, který podle těch souborů vytvoří konfigurační soubory pro všechny tři lokality a rozkopíruje je na příslušné servery.

[Martin]

Děkuju za reakci.

Ano, "rozkopírování" konfiguračních souborů mě napadlo a bylo by ulehčením, trochu ale pokukuju po benefitech např. LDAPu, ikdyž v praxi vlastně nevím, jaké jsou v mém případě možnosti využití, např. zda je vůbec reálné v nějakém konfiguračním prostředí přidat uživatele do LDAPu tak, aby "okamžitě" po přidání mohl přijímat emaily. Snad při konfiguraci s virtual mail? A také, jak by šlo kombinovat právě s rozdělením domény na 2 různé servery.

[TKL]

Mrkněte na Zimbru. Ne, že by to nešlo udělat na koleně, ale Zimbra řeší přesně to, co potřebujete a replikaci LDAP (+ vše ostatní) už vyřešili její vývojáři za vás.

[Peter]

Osobne mi unika dovod pouzitia MX recordo tymto sposobom.
Je MX2 a MX3 dostupny cez internet? Nejake specificky dovod pouzit VPN medzi servermi - dufam, ze nie len kvoli mail relay.

Osobne preferujem primarny Mail v DC - dobra konektivita a dostupnost, zabezpecne cez TLS/SSL
Transparetne funguje aj pre roaming clients.

Accounts definovane na jednom mieste, ziadne starosti s distribuxiou konfig; max backup server s rsyncom dat alebo podobne.

Peter

[Reklama]

[Dzavy]

Jojo přesně tohle a spoustu dalšího řeší Zimbra.

[co_to]

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

[Ondřej Caletka]

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

Nemůže být takovým důvodem třeba rychlost, nebo funkčnost poštovních schránek i při výpadku konektivity dané kanceláře?

[Martin]

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

Nemůže být takovým důvodem třeba rychlost, nebo funkčnost poštovních schránek i při výpadku konektivity dané kanceláře?

Naprosto správně. Tisíce uživatelů na serverech není, pouze desítky, nicméně každý má v inboxu desítky až stovky tisíc emailů a tak je pro ně rychlost klient-server důležitá.

[Martin]

Osobne mi unika dovod pouzitia MX recordo tymto sposobom.
Je MX2 a MX3 dostupny cez internet? Nejake specificky dovod pouzit VPN medzi servermi - dufam, ze nie len kvoli mail relay.
Peter

VPN mezi servery je kvůli dostupnosti file serverů pro všechny klienty na obou lokalitách.

Všechny MX servery jsou z internetu dostupné, umístěné lokálně jsou primárně kvůli rychlosti server-klient a dostupnosti pro klienty i v případě výpadku konektivity. Klienti mají na serveru obrovské množství mailů, včetně dost velkých příloh a přesun do DC by musel být spojen s radikálním navýšením kapacity konektivity i zálohy - prozatím to není ekonomicky výhodné.

[Martin]

Mrkněte na Zimbru. Ne, že by to nešlo udělat na koleně, ale Zimbra řeší přesně to, co potřebujete a replikaci LDAP (+ vše ostatní) už vyřešili její vývojáři za vás.

Děkuju za tip, zkusím nastudovat.

[co_to]

Nemuze... Nebo muzete mi vysvetlit, jak presne probiha komunikace dane kancelare v pripade, ze nema pripojeni? Jak se mail tedy odesle? Nijak, ze? Coz je presne ten samy vysledek, jako kdyz je to v DC. Zpravu si mohou samozrejme pripravit v postovnich klientech a po pripojeni ji odeslou.

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

Nemůže být takovým důvodem třeba rychlost, nebo funkčnost poštovních schránek i při výpadku konektivity dané kanceláře?

[Martin]

Nemuze... Nebo muzete mi vysvetlit, jak presne probiha komunikace dane kancelare v pripade, ze nema pripojeni? Jak se mail tedy odesle? Nijak, ze? Coz je presne ten samy vysledek, jako kdyz je to v DC. Zpravu si mohou samozrejme pripravit v postovnich klientech a po pripojeni ji odeslou.

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

Nemůže být takovým důvodem třeba rychlost, nebo funkčnost poštovních schránek i při výpadku konektivity dané kanceláře?

Komunikace v rámci kanceláře, které taktéž není zrovna málo, funguje právě skrze interní poštovní server a vůči světu se jede přes záložní - pomalejší - připojení. Přesun mail serverů mimo prostory kanceláří není hlavně z ekonomických důvodů na programu.

[samalama]

Nemuze... Nebo muzete mi vysvetlit, jak presne probiha komunikace dane kancelare v pripade, ze nema pripojeni? Jak se mail tedy odesle? Nijak, ze? Coz je presne ten samy vysledek, jako kdyz je to v DC. Zpravu si mohou samozrejme pripravit v postovnich klientech a po pripojeni ji odeslou.

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

Nemůže být takovým důvodem třeba rychlost, nebo funkčnost poštovních schránek i při výpadku konektivity dané kanceláře?

Komunikace v rámci kanceláře, které taktéž není zrovna málo...

sa riesi cez smtp...?

[TKL]

Nemuze... Nebo muzete mi vysvetlit, jak presne probiha komunikace dane kancelare v pripade, ze nema pripojeni? Jak se mail tedy odesle? Nijak, ze? Coz je presne ten samy vysledek, jako kdyz je to v DC. Zpravu si mohou samozrejme pripravit v postovnich klientech a po pripojeni ji odeslou.

Kolik desitek tisic uzivatelu ma ta firma, ze je treba mit rozdeleny mail-server pro kancelare? Jeden server s jednou konfiguraci v DC je stoprocentne vase spravna cesta. Ja mam take rad vymysleni koncepce klidne netradicne a pekne, ale tohle dle meho neni dobry napad, protoze je to zhola zbytecne.

Nemůže být takovým důvodem třeba rychlost, nebo funkčnost poštovních schránek i při výpadku konektivity dané kanceláře?

Komunikace v rámci kanceláře, které taktéž není zrovna málo...

sa riesi cez smtp...?

Samozřejmě, je to úplně běžné a není na tom nic divného.
Dá se pak cokoliv zpětně dohledat, nebo v případě nejasností snadno doložit, co kdo a kdy řekl/napsal. Funguje to tak v obrovském množství firem a je to tak naprosto v pořádku.