[Admin] Mailrouting für Jails auf dem Vereinsserver

Autor: Raphael Eiselstein <rabe_at_uugrn.org>
Datum: Sat, 14 Jun 2014 01:50:13 +0200
Hallo zusammen,

tl;dr
SMTP-RelayHost für Jails ab sofort mail.uugrn.lan statt mail.uugrn.org.

Bitte checkt, eure Mailsetups falls ihr hier Spezialkram drin hattet.


== Kontext ==
Wir haben seit langer Zeit einen internen zentralen Mailserver 
(mail.uugrn.org)[1], welcher in den Jails - früher  obligatorisch, 
inzwischen optional - als SMTP-Relay-Host ("Smart Host") eingetragen 
ist. Ausgehende Mails aus den Jails laufen über diesen SmartHost und 
auch von extern eingehende Mails werden hier je nach MX-Record direkt 
oder via mx1.uugrn.org angenommen und in die Jails verteilt.

Seit Anfang 2013 haben wir auf dem Vereinsserver für die *interne*
Kommunikation das Subnetz 10.253.1.0/24 aka "uugrn.lan". Alle Jails
haben in diesem Subnetz eine IP-Adresse, manche Jails sind sogar
ausschließlich in diesem Subnetz erreichbar. 

== Aktuell ==
Ich habe in allen *laufenden* Jails, in denen in sendmail der smarthost 
"mail.uugrn.org" eingetragen war diesen ersetzt durch "mail.uugrn.lan" 
und aus den jeweiligen *.mc-Files die *.cf erzeugt und mittels "make install" 
nach "sendmail.cf" umbenannt und sendmail restarted. 

Der "übliche" Weg unter FreeBSD also.

Für die allermeisten Jail-Owner dürfte das keine Auswirkung gehabt 
haben außer jemand hat seine sendmail.cf manuell editiert und im 
Makefile vergessen das "make install" abzuklemmen. In diesem Fall bitte
im Jail unter ./zfs/snapshots/*/etc/mail/ nach den Änderungen schauen,
zB:

-----------------------------------------------------------------------------
[root_at_irc ~]# diff -u /.zfs/snapshot/20140613060010/etc/mail/sendmail.cf /etc/mail/sendmail.cf
--- /.zfs/snapshot/20140613060010/etc/mail/sendmail.cf  2013-03-24 21:32:16.948796152 +0100
+++ /etc/mail/sendmail.cf       2014-06-14 01:14:07.047488380 +0200
@@ -111,7 +111,7 @@
 CP.
 
 # "Smart" relay host (may be null)
-DSmail.uugrn.org
+DSmail.uugrn.lan
 
 
 # operators that cannot be in local usernames (i.e., network
 # indicators)
-----------------------------------------------------------------------------

== Ausblick ==
Es ist vorstellbar, dass der "interne, zentrale" Mailserver künftig nur 
noch via mail.uugrn.lan ansprechbar sein wird (daher heute die Änderung
des Default-SmartHosts) und für die Außenkommunikation ein- und ausgehend 
dann entsprechende MX-Server verwendet werden.

Diese müssen dann nichts über die internen Mailrouting-Zusammenhänge wissen 
und werden dann nur und ausschließlich mit externen Mailservern sprechen
oder eben intern mit mail.uugrn.lan.

Vielleicht könnten diese MX-Server eines Tages auch anständige
Verschlüsselung mit ordentlichen Zertifikaten und Zusatzmechanismen wie
zB DANE (basiert auf speziellen Zertifikts-Zusatzinfos, die per DNSsec
verteilt werden).

Support für Mailsetups gibts via irc.uugrn.org: /query rabe

Gruß
Raphael


PS: Links:

1. https://wiki.uugrn.org/UUGRN:Dienste/Mail (Doku noch veraltet)
2. https://wiki.uugrn.org/UUGRN:Networks/10.253.1.0_24


-- 
Raphael Eiselstein <rabe@uugrn.org>               http://rabe.uugrn.org/
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/

Empfangen am 14.06.2014

Dieses Archiv wurde generiert von hypermail 2.2.0 : 14.06.2014 CEST