[bglug] Re: Re: Sistemistica: Postfix in situazioni particolari.

[Manuel]

paradox ha scritto:

>> A questo punto, sul server in DMZ hai 2 possibilita':
>> - delivery diretto

> è la conf di default in postfix no?

si, esatto

> Quindi come mi pare che accenni tu di 
> seguito, la zona che riporta le traduzioni degli IP pubblici è 
> configurata riportando l'FW come server-web,mail-server,nameserver 
> etc...(ovviamente lui non svolge questi ruoli ma effettua DNAT).

si, ti conviene creare tanti record A che puntano allo stesso IP
e ricordati che nel record MX ci va un nomemacchina (non indirizzo IP) e 
deve essere associato ad un record A (non va bene un cname, e metti 
anche il . finale)

>> b) far settare correttamente nel dns che gestisce la classe di ip 
>> pubblici che usi la zona inversa dell'IP con cui si presenta in 
>> internet il server in DMZ (nattato dal fw, quindi e' l'ip pubblico del 
>> fw)  

> Messa così è un po' criptica questa frase ma credo/spero/suppongo voglia 
> intendere quello che ho scritto appena sopra. :D

non e' la stessa cosa.
tu setti le zone dirette (o chi gestisce il tuo dns) per il dominio in 
oggetto di cui sei autoritativo.
Puoi settare anche quelle inverse, ma non e' detto che sia tu il server 
autoritativo per quelle (mi e' capitata la stesa cosa).
E' un problema di assegnazione degli IP da parte del ripe...
Devi scoprire chi e' il nameserver autoritativo per la risoluzione 
inversa della tua classe di indirizzi e chiedere a chi lo gestisce di:
a) sotto-delegarti la zona (difficile che lo faccia) oppure
b) chiedere di configurare la zona inversa della tua classe gli 
indirizzi che tu gli chiedi

la zona inversa e' quella brutta bestia chiamata in-addr.arpa
funziona cosi': tu ti presenti ad un mailserver remoto con nomemacchina 
(indirizzo.ip) e lui fa una query inversa andando a scoprire se e' 
proprio vero che indirizzo.ip coincide con il nomemacchina con cui ti 
presenti.
E' preferibile che per il mailserver ci sia un indirizzo IP dedicato, in 
maniera che quando fa la risoluzione inversa ci trova solo il puntatore 
al mailserver (non ho verificato pero' di persona se e' vera questa mia 
teoria).
Qui pero' si inizia a parlare di bind, non piu' postfix...

> Il vero problema è che se si capisce che le mail escono male, andare a 
> scovare dove sta il problema è un macello: sarà postfix? sarà il DNS? 
> GHGHGH...molto sux tutto ciò...ad ogni modo l'unica strada è provare :D

il modo migliore e' confrontare i log della tua macchina con quelli 
della macchina che riceve (ed eventualmente rifiuta) le tue mail...
Oppure spesso gia' dall'output di mailq scopri perche' le tue mail 
vengono rifiutate.

Ciao
Manuel