SPF functionering met 1 actief IP en non-actief failover IP

Edit: dus geen SPF record issue, want probleem is met sommige binnenkomende mails.

Op werk hebben we twee WAN lijnen van verschillende providers met elk een eigen vast IP adres. Router, modems en firewall vallen onder beheer van een externe partner. Het probleem is dat ik niet zeker ben dat de opstelling werkt met onze SPF record die naar het IP van WAN1 verwijst, evenals het IP van WAN2.

Het probleem is dat de firewall (ivm. VPN configuratie verschillende sites, router heeft mogelijk wel beide actief) blijkbaar niet toelaat beide WANs actief te hebben, dus zolang WAN1 actief is, komt er geen verkeer binnen op WAN2, zelfs nog geen ping. Zodra WAN1 onderbroken wordt, gaat WAN2 wel correct functioneren. Dit is volgens onze partner de eigenschap van de voorziening van de firewall.

Spul dat we gebruiken:
Firewall: FortiGate 200B
Router: Cisco 891F

Ik vermoed dat twee ip4 vermeldingen in de SPF record ofwel via round-robin werken, ofwel dat deze door verschillende servers anders geïnterpreteerd worden (bij de ene wordt het eerste IP gebruikt, bij de ander het laatste IP), maar ik vind hier geen informatie over terug en al zeker niet hoe we bovenstaande kunnen oplossen zonder grove wijzigingen aan ons netwerk.

[ Voor 3% gewijzigd door marcop82 op 28-07-2016 11:22 ]

Ah correct, daar maak ik inderdaad een denkfout. We hebben een probleem met binnenkomende mail dat waar sommige partners ons geen mail kunnen sturen.

Een uitloopje van dnsstuff.com:

Overall Results:
0 FAIL
4 WARNING
29 PASS
5 INFO

De fails:

Parent zone provides NS records
Parent zone does not provide glue for nameservers, which will cause delays in resolving your domain name. The following nameserver addresses were not provided by the parent 'glue' and had to be looked up individually. This is perfectly acceptable behavior per the RFCs. This will usually occur if your DNS servers are not in the same TLD as your domain (for example, a DNS server of "ns1.example.org" for the domain "example.com"). In this case, you can speed up the connections slightly by having NS records that are in the same TLD as your domain.

SOA field check
One or more SOA fields are outside recommended ranges. Values that are out of specifications could cause delays in record updates or unnecessary network traffic. The SOA fields out of range are:

serial | ************* SERIAL - we check that your serial number matches the recommended format found in RFC1912 section 2.2.

MX records check
Only one MX record exists within the zone. This is ok, but it is a better practice to have at least two mail servers operating on a domain, to ensure more reliable mail deliverability.

SMTP greeting
Malformed greeting or no A records found matching banner text for following servers, and banner is not an address literal. RFC5321 requires one or the other (should not be a CNAME). If this is not set correctly, some mail platforms will reject or delay mail from you, and can cause hard to diagnose issues with deliverability.

Misschien dat de provider het verknoeid had, want het leek logisch verschillende preferences te gebruiken om dat probleem te vermijden.

[ Voor 12% gewijzigd door marcop82 op 28-07-2016 15:26 ]

Alvast bedankt om mee te helpen denken, ik probeer zelf de oorzaak van het probleem te begrijpen zodat de provider ons geen oplossing voorziet die uiteindelijk en achteraf slecht werkt.

Rolfie schreef op donderdag 28 juli 2016 @ 16:52:
[...]


Klinkt eerder als een foute configuratie. Want dit zou zo niet moeten werken. Als het de zelfde prio heeft, kan dit wel in theorie gebeuren.

Dat leek mij dus ook maar dan wil het zeggen dat onze provider nog niet eens personeel heeft dat een DNS kan beheren. Ik kan dat ook wel niet, maar ik pretendeer dan ook niet, voor mijn werkgever moet ik dat ook niet.

CyBeR schreef op donderdag 28 juli 2016 @ 16:59:
Niet "in theorie", als ze dezelfde prio hebben dan komt mail willekeurig (niet round-robin, technisch gezien) bij de twee IP's aan. Maar dat gezegd is 't wel zo dat een onbereikbare host 1, betekent dat host 2 ook direct geprobeerd wordt.

Zou dit misschien toch fout gaan als het WAN1 én WAN2 IP adres bestaat, maar WAN2 geen trafiek doorlaat voorbij de firewall ? Ik probeer zelf de situatie te snappen want onze provider komt niet met oplossingen voor de boeg die ons geen zekerheden op succes kunnen bieden.

knutsel smurf schreef op donderdag 28 juli 2016 @ 21:46:
Hoeveel public adressen heb je in totaal?

Twee vaste, publieke WAN IP-adressen op die locatie, één vast intern gateway IP-adres achter de firewall.

Kan je de router en firewall zo configureren dat je 1 extern adres hebt voor alles en dat de router de load balancing doet ipv dns het op te laten lossen?

Dat lijkt me dus ook maar ik weet niet hoe dit doorgaans aangepakt wordt en onze provider komt zelf niet met een oplossing hiervoor naar voren. Aangezien ik dat 1 adres niet als een extra SPOF wil inrichten in plaats van juist meer redundantie te voorzien door twee internetlijnen van twee verschillende media en providers.

[ Voor 4% gewijzigd door marcop82 op 29-07-2016 09:35 ]

Daar zijn we ook mee bezig, maar dat zal volgende week of volgende maand niet rond zijn

Buiten het compleet shift-deleten van onze huidige WAN opstelling, nog andere suggesties ?

Bedankt ik ga hiermee verder kunnen. De cloud spamfilter is een interessante optie !