Serveurs délégués multiples

[ccnet]

Bonjour,

j'utilise SME essentiellement comme passerelle SMTP anti spam et anti virus. La configuration donne entièrement satisfaction de ce point de vue. Ma question porte sur le contenu du champ "serveur délégué".
Peut il recevoir deux adresses ip de façon à remettre le courrier au premier, puis au second serveur si le premier ne répond pas ? Les deux serveurs en question font partie d'un cluster Domino sur des sites différents. Il n'y a qu'un seul domaine. Quelqu'un a t il déjà tenté quelque chose de similaire ?
Fsecure Internet Gateway, par exemple, fait cela très bien, mais l'efficacité de son anti spam est bien moindre. Sans parler des possibilités de paramétrages qui sont ridicules comparées à Spamassassin.

Merci et à bientôt de vous lire,
Cordialement.

[Gaston]

Bonjour,
tes reflexions me semblent difficiles à suivre

Ma question porte sur le contenu du champ "serveur délégué".

Ma compréhension de ceci m'amène à dire que tout mail reçu sur le SME sera renvoyé illico presto au serveur désigné ... mais bon, ça se vérifie, teste..

Peut il recevoir deux adresses ip de façon à remettre le courrier au premier, puis au second serveur si le premier ne répond pas ?

ben ça c'est le rôle des champs MX du DNS, non ? si la première IP n'est pas joignable (si la connexion TCP s'effectue c'est perdu), c'est le deuxième MX qui prends en charge la requète, et si c'est un MX "standard", il distribue le courrier là ou c'est prévu, si c'est un MX backup, les maisl sont conservé en queue jusqu'à ce qu'un des MX soit à nouveau disponnible.

Les deux serveurs en question font partie d'un cluster Domino sur des sites différents.

ben si c'est un cluster, tu n'as qu'une seule IP, non (je ne connais pas les spécificités Domino) ? Et puis le rôle d'un cluster c'est d'assurer le failover ...

G.

[fraedhrim]

Bonjour,
ben ça c'est le rôle des champs MX du DNS, non ? si la première IP n'est pas joignable (si la connexion TCP s'effectue c'est perdu), c'est le deuxième MX qui prends en charge la requète, et si c'est un MX "standard", il distribue le courrier là ou c'est prévu, si c'est un MX backup, les maisl sont conservé en queue jusqu'à ce qu'un des MX soit à nouveau disponnible.

Oui mais est-ce que la résolution dns faite par SME est bien une résolution MX et pas une simple résolution DNS "classique" quand on utilise ce champ serveur délégué ? Dans le deuxième cas le principe des MX ne marchera pas. Au mieux il prendra le premier de la liste, au pire il n'arrive pas à résoudre le nom.

A+

[ccnet]

Si c'est difficile à suivre je vais expliquer.

Ma compréhension de ceci m'amène à dire que tout mail reçu sur le SME sera renvoyé illico presto au serveur désigné ... mais bon, ça se vérifie, teste..

La mienne aussi et c'est bien ce qui se passe. Avec une adresse de destination unique, celle du serveur de mail.

ben ça c'est le rôle des champs MX du DNS, non ? si la première IP n'est pas joignable (si la connexion TCP s'effectue c'est perdu), c'est le deuxième MX qui prends en charge la requète, et si c'est un MX "standard", il distribue le courrier là ou c'est prévu, si c'est un MX backup, les maisl sont conservé en queue jusqu'à ce qu'un des MX soit à nouveau disponnible.

Nous sommes d'accord. Mais j'ai par ailleurs écrit : "j'utilise SME essentiellement passerelle SMTP anti spam et anti virus". La conséquence est donc que les mx pointent sur les passerelles et que les serveurs de mails Domino ne sont pas accessibles de l'extérieur. Ce sont les passerelles smtp as-av qui sont accessibles en smtp.

ben si c'est un cluster, tu n'as qu'une seule IP, non (je ne connais pas les spécificités Domino) ? Et puis le rôle d'un cluster c'est d'assurer le failover ...

En effet vous ne les connaissez pas et chaque machine du cluster possède sa propre adresse ip. Le failover des serveurs Domino n'est pas le problème, nous sommes encore d'accord, il est assuré par le cluster.

Un petit résumé peut être plus parlant.

MAIL1 et MAIL2 sont deux éléments d'un cluster Domino.
SME1 et SME2 assurent le relayage vers le domaine local. Ils assurent aussi le filtrage AV et AS.
SME1 et SME2 sont "pointés" chacun par leur mx respectifs.
SME1 relaye le courrier "propre" vers MAIL1, SME2 relaye le courrier "propre" vers MAIL2.
Ce qui est possible grâce au paramètre "Serveur délégué".

Ce que je souhaite ajouter dans ce type de configuration, c'est la possibilité pour SME1 de relayer vers MAIL2 si MAIL1 n'est pas joignable.

C'est plus clair ? Je crois comprendre que vous aviez en tête une autre architecture.
J'ajoute que la solution du round robin ne me convient pas pour le courrier entrant.

[jibe]

Salut,

Peux-tu nous indiquer une doc expliquant comment tout cela fonctionne ? Je sais qu'il est possible de faire du clustering via internet, mais je ne sais pas du tout comment...

Ce qui m'étonne dans ton truc, c'est que tu dis que le failover n'est pas un problème. Si c'est bien le cas, le failover fait que MAIL2 prend de manière transparente le relais de MAIL1 en panne ! Donc, rien à faire de particulier, c'est le gestionnaire de grappe qui s'occupe des redirections... Ou alors, je n'ai rien compris au clustering via internet ?

AMHA, les SME ne devraient que transmettre le traffic et ne jouer aucun rôle dans la gestion du cluster et du failover. Ton souci viendrait-il du fait qu'elles effectuent des fonctions qui devraient plutôt se situer sur les serveurs du cluster ?

Je ne comprends pas tout, là... Mais je serais curieux d'en apprendre plus !

[Gaston]

Nous sommes d'accord. Mais j'ai par ailleurs écrit : "j'utilise SME essentiellement passerelle SMTP anti spam et anti virus". La conséquence est donc que les mx pointent sur les passerelles et que les serveurs de mails Domino ne sont pas accessibles de l'extérieur. Ce sont les passerelles smtp as-av qui sont accessibles en smtp.

C'est pas contradictoire avec ce que j'ai écrit.
Si je comprends bien, un cluster domino, c'est de l'actif/actif ? Comment sait-on lorsqu'un des deux serveurs est down et qu'il faut s'adresser à l'autre ?
Sinon pour revenir au coeur du problème. le fait de déclarer un "serveur délégué" correspond à rajouter une directive dans le smtproute de qmail.
seule la première directive est utilisée, il n'est donc pas possible de renseigner deux IP pour une même règle.
J'ai bien compris que tu ne veux pas de roundrobin, mais, hors une @IP virtuelle pour un cluster, je ne vois pas comment jouer avec.

Si tu trouves, let us know
G.

[ccnet]

J'ai fait quelques recherches hier et ce matin, directement sur Qmail. J'ai appris qu'en effet c'est dans le smtproute que se trouve l'information et qu'hélas seul la première directive est utilisée. Ma conclusion est la même : pas de solution dans qmail en tout cas.

Précisions : le clustering de serveurs Domino concerne les utilisateurs Notes natifs, c'est à dire des clients Notes communiquant avec le serveur via NRPC (c'est bien sur du TCP). Les autres protocoles ne sont pas concernés, d'où le problème en smtp.
C'est un cluster applicatif. Je peux mettre dans la même grappe 2, 3, etc serveurs fonctionnant sous des OS différents. C'est d'ailleur le cas dans une de mes config. Un Win 2000 d'un coté, un RHE de l'autre.

[Franck78]

Les deux serveurs en question font partie d'un cluster Domino sur des sites différents.

Typiquement le genre d'info inutile qui fait embrayer la discussion à coté du problème.

Tout le monde a donné par ailleurs l'explication classiques du MX avec priorité blah blah.

Alors n'est-il pas possible que QMAIL/SME1 utilise 'aussi' ce système pour obtenir l'adresse serveur DOMINO final ?

J'imagine qu'il possède en dur une directive avec l'IP d'un serveur final. Et en le laissant résoudre seul cette question, QMAIL doit bien utiliser le mécanisme des MX non?

bye

[ccnet]

Probablement, les connaisseurs de qmail pourrons confirmer ou non, à condition de gérer tout cela dans un dns interne ? Ces infos mx n'ayant rien à faire à l'extérieur.

J'imagine qu'il possède en dur une directive avec l'IP d'un serveur final.

C'est le cas dans smtproutes :

Code: Tout sélectionner

domaine.fr:[172.16.1.1]

Mais il ne traite que la première ligne trouvé pour domaine.fr. Par contre il utiliserai une autre directive telle que : domaine2.fr:[172.16.1.5] par exemple.

Le fonctionnement que je souhaite est :

Code: Tout sélectionner

domaine.fr:[172.16.1.1]
domaine.fr:[172.16.1.2]

C'est à dire contacter d'abord 172.16.1.1 puis 172.16.1.2 si pas de réponse. Le second SME possèderai le même fichier avec ces mêmes lignes dans l'ordre inverse. Mais ce n'est pas ainsi que qmail fonctionne.

Des produits commerciaux tel que Fsecure ou Trend le font. Mais ils ont bien d'autres défauts.

[Franck78]

à condition de gérer tout cela dans un dns interne. Ces infos mx n'ayant rien à faire à l'extérieur.

Ta machine SME utilise ton serveur dns interne..... c'est pas vraiment le problème.
En admettant que cela marche, le problème est plutôt que la réponse MX? doit être différente selon le serveur QMAIL qui interroge, à moins que tu acceptes un round robin.

Mais disons que c'est un problème secondaire et peut être résolu en utilisant le DNS du SME.

[ccnet]

à moins que tu acceptes un round robin.

Mais non. Si c'était le cas ce post n'existerai pas.

le problème est plutôt que la réponse MX? doit être différente selon le serveur QMAIL qui interroge

Oui dans l'ideal.