mgeorge Posted August 26, 2010 Report Share Posted August 26, 2010 Καλησπέρα και καλό φθινόπωρο. Ζητώ συγγνώμη για την μακροσκελή περιγραφή αλλά μόνο έτσι νομιζω οτι θα μπορέσω να δώσω μια σαφή εικόνα του προβλήματος μου. Θα ήθελα τα φώτα σας ... Μια εταιρεία έχει 2 άκρα, Κεντρικά στην Αθήνα με 30 users και Υποκατάστημα στην Θεσσαλονίκη με άλλους 25 users. Υπάρχει ένα Active Directory Domain (το εσωτερικό τους domain έχει ίδιο όνομα με το domain που χρησιμοποιούν στο Internet για web page & email) πχ etaireia.com . Υπάρχει VPN ανάμεσα στα 2 ακρα. Έχω φτιάξει 2 AD Sites, έχω DC & DNS σε κάθε site και έχω εγκαταστήσει 2 Exchange 2007 std, ένα σε κάθε site.Όλα αυτά δουλευουν κανονικά χωρίς κανένα πρόβλημα, είτε με το AD, είτε με τους Exchange. Επειδή και στα 2 άκρα οι Internet γραμμές που έχει ο πελάτης είναι ασταθείς έχει φτιάξει το εξής configuration, με στατικές IP παντού: Αθήνα: 1 ADSL OTENET ώς κύρια γραμμή Internet και email και ώς 1η Backup γραμμή για το VPN Αθήνα - Θεσσαλονίκη 1 Vivodi ώς 1η backup Internet & email γραμμή και ώς κύρια γραμμή για το VPN 1 On Telecoms ADSL ώς 2η Backup για Internet, email και VPN Θεσσαλονίκη: 1 ADSL OTENET ώς κύρια γραμμή Internet και email και ώς 1η Backup γραμμή για το VPN Αθήνα - Θεσσαλονίκη 1 Vivodi ώς 1η backup Internet & email γραμμή και ώς κύρια γραμμή για το VPN 1 Forthnet ADSL ώς 2η Backup για Internet, email και VPN Οι routers είναι Cisco και διαχειρίζονται τις 3 γραμμές με τη σειρά που έχω προαναφέρει. Λαμβάνουν SMTP traffic και από τις 3 γραμμές (εισερχόμενη αλληλογραφία) και στέλνουν το SMTP traffic από όποια από τις 3 γραμμές είναι up, με την σειρά που έχω περιγράψει παραπάνω (πχ αν είναι όλες up, το SMTP traffic όπως και το internet traffic φεύγει από την OTENET, αν αυτή είναι down από την Vividi κ.ο.κ.). Το κάθε άκρο έχει internet & email ανεξάρτητα , ΔΕΝ περνάνε όλοι από την αθήνα. Μέχρι τώρα τα emails τα τραβούσαν με POP3 τα PC από το Internet και απλά τα αποθήκευαν στα γραμματοκυβώτια τους στον Exchange. Για να χρησιμοποιήσουμε λοιπόν πλήρως τους Exchange για αποστολή / λήψη φτιάξαμε 6 A Records με τα αντίστοιχα MX και PTR Records στον DNS που φιλοξενει την ζώνη μας πχ etaireia.com (η διαχείριση του domain είναι κάπου στο Internet, όχι σε κάποιον από τους έλληνες παρόχους, ούτε εσωτερικά στην εταιρεία). Τα MX records μας έχουν την ακόλουθη μορφή: email1.etaireia.com με real IP πχ 1.1.1.1 και βάρος 30 (αφορά την γραμμή της OTENET στην αθηνα) email2.etaireia.com με real IP πχ 2.2.2.2 και βάρος 30 (αφορά την γραμμή της Vivodi στην αθηνα) email3.etaireia.com με real IP πχ 3.3.3.3 και βάρος 40 (αφορά την γραμμή της ΟΝ telecoms στην αθηνα) email4.etaireia.com με real IP πχ 4.4.4.4 και βάρος 30 (αφορά την γραμμή της OTENET στην Θεσσαλονίκη) email5.etaireia.com με real IP πχ 5.5.5.5 και βάρος 30 (αφορά την γραμμή της Vivodi στην Θεσσαλονίκη) email6.etaireia.com με real IP πχ 6.6.6.6 και βάρος 30 (αφορά την γραμμή της Forthnet στην Θεσσαλονίκη) Όταν όλες οι γραμμές είναι UP τότε όλα είναι οκ. Αν όμως πέσει πχ η πρώτη γραμμή της Αθήνας (η ΟΤΕΝΕΤ) , είναι ρυθμισμένος ο router και δρομολογεί όλη την κίνηση internet & smtp από τη γραμμή της Vivodi. Αυτό έχει ως αποτέλεσμα , αν ο παραλήπτης του email κάνει Reverse DNS Check να έχει 50 % πιθανότητες να πάρει ώς απάντηση την IP 1.1.1.1 που αφορά το MX Record της Otenet -που δεν λειτουργεί προσωρινά επειδή εχει διακοπεί η ADSL- και όχι το 2.2.2.2 που αφορά την Vivodi, με αποτέλεσμα να μας βάλουν τελικά σε spam lists (μιας και το Reverse DNS check που κάνει ο παραλήπτης τον οδηγεί σε μια γραμμή που δεν λειτουργεί, δεν απαντά). Το ερώτημα μου λοιπόν είναι το εξής: Πώς μπορώ να αντιμετωπίσω το συγκεκριμένο πρόβλημα; Το να αλλάζω με το χέρι το βάρος που έχουν τα MX Records στον DNS μου δεν είναι αποδεκτή επιλογή μιας και παίρνει αρκετό χρόνο να γίνει η ενημέρωση των DNS και απο την άλλη δεν ξέρω αν, όταν η γραμμή χαλάσει θα είναι τελείως κομμένη ή θα ανεβοκατεβαίνει. Αν χρησημοποιήσω SmartHost στον Send Connector του Exchange πχ αυτόν της OTENET και πέσει η ADSL της OTENET, όλη η εξερχόμενη αλληλογραφία θα φεύγει μέσω της Vividi για να πάει στον smarthost της OTENET, με αποτέλεσμα (υποθέτω) επειδή η ΟΤΕΝΕΤ θα βλέπει οτι το smtp traffic δεν έρχεται από δικό της δίκτυο να το απορρίπτει. Υπάρχει τρόπος να κάνω την Otenet να αποδεχτεί smtp traffic που έρχεται απο τις στατικές IP που έχω από τους άλλους providers; Υπάρχει άλλος τροπος να το λύσω αυτό πχ μέσω κάποιας sercure σύνδεσης που να αποδέχεται ο provider ανεξαρτήτως του ποιος provider μου δίνει Internet κάθε στιγμή; Εσείς πως έχετε αντιμετωπίσει το θέμα των emails εαν έχετε γραμμές internet από 2 - 3 διαφορετικούς παρόχους; Ευχαριστώ για το κουράγιο και την διάθεση όποιου κατάφερε να τα διαβάσει όλα αυτά... Τώρα αν μπορεί να δώσει και απάντηση... Όπως και να έχει ευχαριστώ εκ των προτέρω!!!! Με τιμή, Γιώργος Link to comment Share on other sites More sharing options...
spanougakis Posted August 27, 2010 Report Share Posted August 27, 2010 Οι DNS Servers που είναι authoritative για το domain σας που βρίσκονται? Αν είναι εκτός εταιρίας πιστεύω ότι το reverse DNS check δεν θα ασχοληθεί με το αν κάποια γραμμή είναι up ή down... Link to comment Share on other sites More sharing options...
mgeorge Posted August 27, 2010 Author Report Share Posted August 27, 2010 Ναι οι Public DNS είναι σε κάποια ετειρεία στο Internet (Αμερική) και δεν εχουν καποια σχέση με τους έλληνες παρόχους. Γιώργος Link to comment Share on other sites More sharing options...
klag Posted August 27, 2010 Report Share Posted August 27, 2010 Να πω μία ίσως χαζή ιδέα? Βέβαια Στέκει.Το Site σου δεν το έχεις σε κάποιον πάροχο hosting? Σίγουρα το έχεις.Γιατί δεν βάζεις Smart host τον mail server του hoster σου μιας και σίγουρα αυτός έχει ανοιχτό mail server για το Domain σου. Τα ΜΧ records ενοείται πως θα τα κρατήσεις όπως έιναι ώστε να έρχονται τα mail απ' ευθείας στον exchange σου. Κάποτε θυμάμαι ότι το είχα κάνει αυτό και έπαιζε μια χαρά. Δεν θυμάμαι όμως αν είχαμε μιλήσει τότε με τον hoster και είχε ανοίξει τον Server του για τις δύο Static IP που είχα τότε (μία για κάθε σύνδεση). Link to comment Share on other sites More sharing options...
costasppc Posted August 28, 2010 Report Share Posted August 28, 2010 Σε γενικές γραμμές, ο hoster δεν θα το επιτρέψει. Η MediaTemple για παράδειγμα δεν το επιτρέπει. Επίσης νομίζω (διορθώστε με αν κάνω λάθος) ότι όταν θέλεις να χρησιμοποιήσεις Exchange ή κάποιον άλλο on premises mail server, πρέπει να κλείνεις το mail από τον hoster. Κώστας Link to comment Share on other sites More sharing options...
klag Posted August 30, 2010 Report Share Posted August 30, 2010 Σε γενικές γραμμές, ο hoster δεν θα το επιτρέψει. Η MediaTemple για παράδειγμα δεν το επιτρέπει. Επίσης νομίζω (διορθώστε με αν κάνω λάθος) ότι όταν θέλεις να χρησιμοποιήσεις Exchange ή κάποιον άλλο on premises mail server, πρέπει να κλείνεις το mail από τον hoster. Κώστας Ναι καλό είναι να κλείνεις το mail of hoster αλλά δεν είναι απαραίτητο. Το μόνο πρόβλημα που μπορεί να έχεις καμιά φορά είναι αν κάποιος έχειτο domain toy στον ίδιο και πάει να σου στείλει mail να πηγαίνει στον εσωτερικό mail server αλλά αυτό συμβαίνει σε πολύ extreme καταστάσεις και σε hosters που δεν ξέρουν την δουλειά τους. Link to comment Share on other sites More sharing options...
Vangelis Posted August 30, 2010 Report Share Posted August 30, 2010 Καλησπέρα και απο μένα, Απο ότι περιγράφεις στο παραπάνω post και βλέποντας το αποτέλεσμα των όσον συμβάινουν έχω να πω τα εξής,,, Όταν κάποιος θέλει να σου στείλει mail αυτή την στιγμή και κάνει ένα querry στον Public DNS Server σου, θα πάρει ώς Mail servers όλους όσους ανέφερες παραπάνω με metric 30. Αυτό το σενάριο σε οδηγεί ώστε να αποφεύγεις το traffic απο τα εισερχόμενα email και να τα κάνεις spread στις 4 διαφορετικές γραμμές σου. 2 Στην Αθήνα και 2 στην Θεσσαλονίκη. (Load Ballancing). Βλέποντας το setup σου ομως.... email1.etaireia.com με real IP πχ 1.1.1.1 και βάρος 30 (αφορά την γραμμή της OTENET στην αθηνα) email2.etaireia.com με real IP πχ 2.2.2.2 και βάρος 30 (αφορά την γραμμή της Vivodi στην αθηνα) email3.etaireia.com με real IP πχ 3.3.3.3 και βάρος 40 (αφορά την γραμμή της ΟΝ telecoms στην αθηνα) email4.etaireia.com με real IP πχ 4.4.4.4 και βάρος 30 (αφορά την γραμμή της OTENET στην Θεσσαλονίκη) email5.etaireia.com με real IP πχ 5.5.5.5 και βάρος 30 (αφορά την γραμμή της Vivodi στην Θεσσαλονίκη) email6.etaireia.com με real IP πχ 6.6.6.6 και βάρος 30 (αφορά την γραμμή της Forthnet στην Θεσσαλονίκη) Έχεις 1 domain με 6 ΜΧ Records όλα έχουν metric 30 και Αθήνα / Θεσσαλονίκη και με 40 στους υπόλοιπους 2. Όταν όλες οι γραμμές είναι UP τότε όλα είναι οκ. Αν όμως πέσει πχ η πρώτη γραμμή της Αθήνας (η ΟΤΕΝΕΤ) , είναι ρυθμισμένος ο router και δρομολογεί όλη την κίνηση internet & smtp από τη γραμμή της Vivodi. Αυτό έχει ως αποτέλεσμα , αν ο παραλήπτης του email κάνει Reverse DNS Check να έχει 50 % πιθανότητες να πάρει ώς απάντηση την IP 1.1.1.1 που αφορά το MX Record της Otenet -που δεν λειτουργεί προσωρινά επειδή εχει διακοπεί η ADSL- και όχι το 2.2.2.2 που αφορά την Vivodi, με αποτέλεσμα να μας βάλουν τελικά σε spam lists (μιας και το Reverse DNS check που κάνει ο παραλήπτης τον οδηγεί σε μια γραμμή που δεν λειτουργεί, δεν απαντά). Γιατί ο παραλήπτης να έχει 50% πιθανοτητες???Αφού του στέλνεις με συγκεκριμένη ΙP το mail, σε αυτή θα κάνει reverse lookup να δεί εάν υπάρχει εγγραφή στην συγκεκριμένη IP .Εάν υπάρχει θα απαντήση ο DNS και εφόσον ΥΠΑΡΧΕΙ, δεν θα την θεωρήση SPAM. To εάν είναι πάνω η κάτω η γραμμή ΔΕΝ πρόκειται να μπείς σε SPAM list. Όσο αφορά αυτό το κομμάτι με την λίστα το πιο πιθανό που μου μυρίζει είναι ότι έχεις ALLOW το SMTP απο όλο το δίκτυο σου και κάποιος Η/Υ έχει malware και στέλνει ανελέητα SPAM απο την Primary Ιντερνετ IP σου δλδ ΟΤΕΝΕΤ. Πιά IP μπαίνει σε Black list? Όλες? Μπορείς να κόψεις το SMPT traffic απ όλους και να το αφήσεις allow μόνο απο τον Exchange και στην Αθήνα και στην Θεσσαλονίκη. ΔΕΣ ΤΟΝ EXCHANGE σου εάν έχει ανοιχτό το Mail Relay? Άν το έχει ΚΛΕΙΣΤΟ! Βεβαιώσου απο το Queue του exchange σου για τα τι email φεύγουν προς τα έξω. Άλλαξε τα metric στους DNS Servers σου! Δές παρακάτω email1.etaireia.com με real IP πχ 1.1.1.1 και βάρος 20 (αφορά την γραμμή της OTENET στην αθηνα) email2.etaireia.com με real IP πχ 2.2.2.2 και βάρος 10 (αφορά την γραμμή της Vivodi στην αθηνα) email3.etaireia.com με real IP πχ 3.3.3.3 και βάρος 30 (αφορά την γραμμή της ΟΝ telecoms στην αθηνα) email4.etaireia.com με real IP πχ 4.4.4.4 και βάρος 50 (αφορά την γραμμή της OTENET στην Θεσσαλονίκη) email5.etaireia.com με real IP πχ 5.5.5.5 και βάρος 40 (αφορά την γραμμή της Vivodi στην Θεσσαλονίκη) email6.etaireia.com με real IP πχ 6.6.6.6 και βάρος 60 (αφορά την γραμμή της Forthnet στην Θεσσαλονίκη) Με αυτόν τον τρόπο διασφαλίζεις πως η VIVODI θα λαμβάνει τo Mail Traffic του οργανισμού και η ΟΤΕΝΕΤ θα στέλνει, έαν πέσει τα mail θα έρχονται και θα φεύγουν απο την OTENET. Κάνε Reverse Lookup σε όλες τις IP σου να δείς ότι υπάρχει εγγραφή C:\Users\Administrator>nslookup> set type=ptr> xxx.xxx.xxx.xxxServer: netfaster.wlanAddress: 192.168.2.1 Non-authoritative answer:xxx.xxx.xxx.xxx.in-addr.arpa name = mail.domain.com H Θεσσαλονίκη παίρνει τα mail σου απο την Αθήνα μέσω VPN οπότε ΔΕΝ θέλεις το traffic του VPN μέσω της VIVODI, οπότε βάλτο στην ON TELECOM Οπότε θα έχεις: Mail Incoming VIVODI , Mail Outgoing Otenet, Exchange Routing Οn Telecom. Στην Θεσσαλονίκη μόνο το VPN θα γίνεται Primary μέσω Forthnet. Στην θεσσαλονίκη τί έχουν σαν Send Connector στον Exchange?Προφανός ο κάθε Mail (Hub Transpor) Εxchange πρέπει να έχει τον δικό του Send Connector προς το Internet. Επίσης θα σου πρότεινα να κάνεις και εγγραφές SPF. Δές Εδώ και εδώ. Το να λαμβάνεις mail απο την Θεσσαλονίκη είναι το Fail Over σενάριο εάν πέσει όλη η Αθήνα. Οπότε βάλε μεγάλα metric όπως σου έγραψα παραπάνω. Παρόλα αυτά, το να μπαίνεις σε Spam list μέσω των DNS εγγραφών το βλέπω λίγο δύσκολο, κάτι άλλο γίνεται ,κάνε αυτό με το Firewall και το SMTP protocol να δείς συμπεριφορά. V Link to comment Share on other sites More sharing options...
Blackman Posted August 30, 2010 Report Share Posted August 30, 2010 θα συμφωνίσω με όσα γράφει ο Βαγγέλης. για το θέμα των spam list, επειδή δεν είναι τόσο απλά τα πράγματα... θα σου πρότινα να κάνεις ένα έλεγχο στο δίκτυο σου με κανένα WireShark για να δεις μήπως έχεις από πουθενά κάποια περίεργη κίνηση. Δες πως εντόπισα εγώ τελικά το γιατί έμπαινα σε spamlist... http://autoexec.gr/blogs/blackman/archive/2009/09/15/malware-netstat.aspx Link to comment Share on other sites More sharing options...
mgeorge Posted September 1, 2010 Author Report Share Posted September 1, 2010 Κύριοι ευχαριστώ πολύ για τις απαντήσεις σας... Ήταν πολύ ενδιαφέρουσες και αρκετά κατατοπιστικές. Το port 25 είναι κλειστό από όλα τα pc σε αθήνα & θεσσαλονίκη εκτός από τους 2 Exchange servers. O κάθε Exchange server έχει δικό του send connector και στέλνει emails αυτόνομα. Το VPN υλοποιείται πρωτίστως από τα κυκλώματα της Vivodi (πρόκειται για 3Mbps εγγυημένο κύκλωμα) και οι άλλες γραμμές αποτελούν backup της Vivodi (όσον αφορά την VPN σύνδεση). Από την Δευτέρα χρημιμοποιώ smart host τον smtp-out.otenet.gr με authentication και για την ώρα όλα φαίνονται οκ. Πιθανότατα την επόμενη εβδομάδα θα γυρισω την αποστολή των emails απ' ευθείας από την εταιρεία και όχι μέσω smart host οπότε θα δω και πως θα πάει... Ευχαριστώ πολύ Γιώργος Link to comment Share on other sites More sharing options...
costasppc Posted September 1, 2010 Report Share Posted September 1, 2010 Aν γυρίσεις την αποστολή απευθείας από τον Exchange θα χρειαστείς οπωσδήποτε SPF record και RDNS. K. Link to comment Share on other sites More sharing options...
Recommended Posts