forum.lissyara.su

Всех приветствую!

Не так давно поставил Zimbra 8.7. Ubuntu 16.04 LTS x64
Все довольны. Встала задача добавить второй домен и письма, уходящие с него повесить на второй ip. Домен добавился без вопросов. Письма же уходят с основного IP, что неприемлимо, т.к. используется и SPF и обратная зона для валидации. Проект очень серьезный, попадание в банлисты недопустимо в принципе.

Вопрос: как настроить Zimbra на отправку писем с конкретного ip для конкретного домена?

Заранее благодарен

Добрый день!
Вроде Zimbra сделана на PostFix.
Может эта статья тебе поможет: https://habrahabr.ru/post/167269/

Отправлено спустя 54 минуты 29 секунд:

Dominator писал(а):...Встала задача добавить второй домен и письма, уходящие с него повесить на второй ip...

Это плохая идея. Я бы даже сказал, что это ошибочная постановка задачи.

Dominator писал(а):...Письма же уходят с основного IP, что неприемлимо, т.к. используется и SPF и обратная зона для валидации...

Как раз тут все правильно. Письма так и должны уходить с основного IP. Зря паникуете. Просто исправьте для второго домена SPF запись и все.
Делов-то на пять минут. И обратную зону не нужно трогать.

Dominator писал(а): Проект очень серьезный,

суръезные проекты и бубунту несовместимы. проверено.

Amaka писал(а):Зря паникуете. Просто исправьте для второго домена SPF запись и все.
Делов-то на пять минут. И обратную зону не нужно трогать.

Тут ситуация в том, что еще и письма будут от нескольких сервисов рассылаться юзерам. Каждый сервис - отдельный проект.
Не очень охота попасть в бан листы из-за 15000 сообщений в день. С учетом того, что это число будет расти. Вот разрабы и говорят, что каждого сервиса надо свой IP задействовать

Dominator писал(а): Тут ситуация в том, что еще и письма будут от нескольких сервисов рассылаться юзерам. Каждый сервис - отдельный проект.
Не очень охота попасть в бан листы из-за 15000 сообщений в день. С учетом того, что это число будет расти. Вот разрабы и говорят, что каждого сервиса надо свой IP задействовать

Тогда и Zimbra тут не нужна. Она для другого предназначена.
Ваша схема должна быть такой.
1. Ваша Zimbra обслуживает почтовые ящики нескольких доменов. Это нормально. Если ходите на нее даже могут указывать MX записи этих доменов.
2. Рассылки с неё быть не должно. Для этого на отдельный ip-адрес в DMZ ставиться smtp-сервер (например, Postfix). Этот сервер будет делать массовые рассылки от ваших проектов. Т.е. он будет принимать все исходящие письма с проектного сервера и дальше его будет релеить в интернет.
Чтобы этот сервер-релей не попал в бан сразу, он должен быть правильно настроен. Т.е.:
1. Прямая и обратные записи в зонах DNS должны быть корректными для вашего релея.
2. Его ip-адрес должен быть указан в SPF записи домена, от имени которого релей шлет письма.
3. Релей должен быть оптимизирован для массовых рассылок. Т.е. Этот сервер должен уметь держать большую очередь писем, т.к. он имеет много шансов попасть под политику "серых списков". И тогда ему придется держать у себя большую очередь. Что-то еще, сейчас уже не помню. Возможно, вы заходите ограничить количество повторных попыток отправки только 3-мя.

Amaka писал(а): 2. Рассылки с неё быть не должно. Для этого на отдельный ip-адрес в DMZ ставиться smtp-сервер (например, Postfix). Этот сервер будет делать массовые рассылки от ваших проектов. Т.е. он будет принимать все исходящие письма с проектного сервера и дальше его будет релеить в интернет.

Спасибо! Теперь понял как сделать!
Пара вопросов осталась, т.к. еще знаний в почтовых системах маловато:
1. Наружу пробрасывать какие-либо порты надо для сервера рассылки?
2. IP должен быть один с правильной обратной DNS зоной, допустим, для того, слать ответы от техподдержки? Или пара писем явно не машинных не влияет на вероятность попадания в бан-листы при условии правильной DKIM и SPF?

Dominator писал(а):...Спасибо! Теперь понял как сделать!
Пара вопросов осталась, т.к. еще знаний в почтовых системах маловато:
1. Наружу пробрасывать какие-либо порты надо для сервера рассылки?
2. IP должен быть один с правильной обратной DNS зоной, допустим, для того, слать ответы от техподдержки? Или пара писем явно не машинных не влияет на вероятность попадания в бан-листы при условии правильной DKIM и SPF?

Добрый день!
1. Пробрасывают порты наружу для серверов, которые стоят в локальной сети и принимают входящие соединения из интернета. Твой сервер рассылки не будет ничего принимать. Он только сам рассылает. Поэтому, пробрасывать порты не нужно. Но раз ты задал такой вопрос, то я могу предположить, что твой сервер рассылки стоит в локальной сети и имеет ip-адрес из приватного диапазона адресов. Тогда, отправляя письма в интернет, он светиться не своим адресов, а адресом твоего шлюза. Поэтому, в прямой зоне DNS нужна SPF запись с указанием ip-адреса твоего шлюза.

2. В обратной зоне DNS на один ip-адрес может указывать несколько имен. Но, если их несколько, то все должны быть правильными.
Главное знать последовательность проверки почтовыми серверами.

Она такая:
Сначала почтовый сервер видит входящее соединение с ip-адреса, например, ip=8.9.10.11. Имени сервера он не знает. Видит только адрес.
Он задает вопрос DNS серверу: "какое имя у хоста с адресом 8.9.10.11"?
Предположим ответ такой :
11.10.9.8.in-addr.arpa. 86400 IN PTR mail.mydom.ru.
После этого почтовый сервер спрашивает "Какой адрес имеет хост с именем mail.mydom.ru"?
Предположим ответ:
mail.mydom.ru. 588 IN A 8.9.10.122
Это несоответствие, после которого сервер может и не принять письма.
Или применить политику "серых списков". Т.е. временно отклонить твои письма. При этом твоя рассылка забуксует. И именно для этих случаев нужно иметь возможность держать на сервере очередь из писем, которые не отправлены сразу (т.е. забуксовали). Почтовая очередь , - это расход ресурсов.

Правильный ответ должен был быть там:
mail.mydom.ru. 588 IN A 8.9.10.11.
Когда прямая и обратная зоны соответствуют одному хосту, это хорошо для передачи писем.

Пардон, что долго не отвечал! Работы привалило знатно

Получилось почти все кроме одного момента. Не могу прописать в конфиге postfix зимбры информацию следующего характера: если у тебя такой-то домен, то вот тебе ip релея, через который будешь слать. Что самое интересное, если слать через через веб-морду письмо, он обращается к релею (что и требуется), а если через почтовый клиент, то шлет с основного IP, игнорируя параметры.
Думаю, что тут дело в том, что в случае почтового клиента не идет обращения к LDAP базе, где все прописано.

Побочный релей был сделан так: поднят LXC контейнер с серой сетью и SNAT через дополнительный IP, а в настройка exim прописаны IP из серой сети, которые могут слать письма через него.

Dominator писал(а):... Не могу прописать в конфиге postfix зимбры информацию следующего характера: если у тебя такой-то домен, то вот тебе ip релея, через который будешь слать. Что самое интересное, если слать через через веб-морду письмо, он обращается к релею (что и требуется), а если через почтовый клиент, то шлет с основного IP, игнорируя параметры...

Добрый день! Можно в этом месте подробнее с примерами логов?