zentyal - ДНС + Почта. тормоза с почтой

[layabout]

Здравствуйте. Познакомился с zentyal прикольная вещь, все в одном.
Предыстория: был сервер на novell + bordermanager + netmail = шлюз с ДНС, почтой и прокси. Прокси перенес на Дебиан, там все ОК.
до недавнего времени днс и почта работали на старом сервере пока тот не здох окончательно.
В срочном порядке поставил замену на zentyal, по инетовским инструкциям настроил ДНС и почту. Все работает, НО:

1. ДНС иногда не находит чужие хосты (домены разные в интернете).

Код [Выделить] Expand

inetserver postfix/smtp[5195]: E23D65C17A1: to=<user@dinar.kz>, relay=none, delay=567, delays=557/0.03/10/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=dinar.kz type=MX: Host not found, try again)


2. Клиенты не видят нас, как бы не находят наш сервер, тут вроде тоже проблема с ДНС. 

Код [Выделить] Expand

inetserver postfix/smtpd[6448]: NOQUEUE: reject: RCPT from mail.mgd.kz[212.154.167.215]: 450 4.1.8 <user@cintas.com>: Sender address rejected: Domain not found; from=<user@cintas.com> to=<user@наш домен.kz> proto=ESMTP helo=<mgd.kz>


3. Письму ужасно долго уходят и приходят, было что прошло 6 часов что бы письмо было доставлено, по логам на сервер оно пришло, а вот до юзера нифига ((((

Думаю что неправильно настроил ДНС,  Еще какие то ДНС перенаправители, что это и для чего вообще не пойму.
подскажите помогите.
логи выложу любые по запросу

[hedgeven]

Покажите настройки ДНС (содержимое конфига bind и зоны).

[layabout]

Все ли выложил???  domain.kz - это домен который крутится у нас на сервере
cat /etc/bind/named.conf

Код [Выделить] Expand


include "/etc/bind/named.conf.options";
include "/etc/bind/keys";

// prime the server with knowledge of the root servers
zone "." {
        type hint;
        file "/etc/bind/db.root";
};

// be authoritative for the localhost forward and reverse zones, and for
// broadcast zones as per RFC 1912

zone "localhost" {
        type master;
        file "/etc/bind/db.local";
};

zone "127.in-addr.arpa" {
        type master;
        file "/etc/bind/db.127";
};

zone "0.in-addr.arpa" {
        type master;
        file "/etc/bind/db.0";
};

zone "255.in-addr.arpa" {
        type master;
        file "/etc/bind/db.255";
};

include "/etc/bind/named.conf.local";


cat /etc/bind/named.conf.local

Код [Выделить] Expand


// Generated by Zentyal

acl "trusted" {
    localhost;
    localnets;
};

acl "internal-local-nets" {
    192.168.100.0/24;
};


zone "domain.kz." IN {
    type master;
    file "/etc/bind/db.domain.kz";
};


zone "**.154.212.in-addr.arpa" {
    type master;
    file "/etc/bind/db.**.154.212";
    update-policy {
        // The only allowed dynamic updates are PTR records
        grant domain.kz. subdomain **.154.212.in-addr.arpa. PTR TXT;
        // Grant from localhost
        grant local-ddns zonesub any;
    };
};

zone "10.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "16.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "17.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "18.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "19.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "20.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "21.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "22.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "23.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "24.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "25.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "26.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "27.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "28.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "29.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "30.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "31.172.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};
zone "168.192.in-addr.arpa" {
    type master;
    file "/etc/bind/db.empty";
};



cat /etc/bind/db.domain.kz

Код [Выделить] Expand


$ORIGIN domain.kz.
$TTL 3D
@       IN      SOA     inetserver hostmaster (
                        2014012814      ;serial number
                        8H              ;refresh
                        2H              ;retry
                        4W              ;expiration
                        1D )    ;minimum
;
@       IN      NS      domain.kz
@       IN      A       192.168.100.2
@       IN      A       212.154.**.**
;

domain.kz     IN      A       212.154.**.**

@                       IN      MX      10       domain.kz

_kerberos        IN      TXT         domain.kz

_kerberos._tcp    IN      SRV     100 100 8880 domain.kz
_kerberos._udp    IN      SRV     100 100 8880 domain.kz
_kerberos-master._tcp    IN      SRV     100 100 8880 domain.kz
_kerberos-master._udp    IN      SRV     100 100 8880 domain.kz
_kpasswd._tcp    IN      SRV     100 100 8464 domain.kz
_kpasswd._udp    IN      SRV     100 100 8464 domain.kz


[layabout]

вот это еще наверное надо
з.ы. ** это недостающая часть айпи адреса убранная мною из за параноидальных наклонностей

cat /etc/bind/db.**.154.212

Код [Выделить] Expand


$TTL 3D
$ORIGIN **.154.212.in-addr.arpa.
@       IN      SOA     inetserver.domain.kz.     hostmaster.domain.kz. (
                        2014012814      ;serial number
                        8H              ;refresh
                        2H              ;retry
                        4W              ;expiration
                        1D )            ;
;
                NS      domain.kz.domain.kz.
;
22      PTR     domain.kz.domain.kz.


[hedgeven]

Код [Выделить] Expand

nslookup domain.kz

Non-authoritative answer:
Name: domain.kz
Address: 192.168.100.2
Name: domain.kz
Address: 212.154.**.**

не выдавайте на внешку внутренний ip, создайте вьюхи.

и еще, почтовики любят когда есть SPF запись, так они защищаются от спама

з.ы. вы таки спалили свой ip в конфиге обратной зоны.

[layabout]

не выдавайте на внешку внутренний ip, создайте вьюхи.

озадачили меня))) где это делать так и не понял, через веб интерфейс zentyal  в ДНС настройках (Domain IP Addresses) удалил локальный айпи адрес, перезагрузил, все равно его выдает

и еще, почтовики любят когда есть SPF запись, так они защищаются от спама

вот тут запарка, гуглил до этого, так и не понял какой значение вбивать, я даже МХ запись "наугад" вбил = 10

[hedgeven]

сделайте

Код [Выделить] Expand

dig domain.kz @192.168.100.2
будет ли выдаваться локальный ip?

ну например такая SPF запись

Код [Выделить] Expand

"v=spf1 +a +mx mx:domain.kz ip4:212.154.**.**/32 ~all"

[layabout]

сделайте

Код [Выделить] Expand

dig domain.kz @192.168.100.2
будет ли выдаваться локальный ip?

да выдается

ну например такая SPF запись

Код [Выделить] Expand

"v=spf1 +a +mx mx:domain.kz ip4:212.154.**.**/32 ~all"

куда ее вбивать? прям к консоль?

спасибо за ответы

[hedgeven]

если выдается, то вы все еще не изменили конфигурацию или bind не перечитал новые конфиги.

по поводу куда вбивать - включите логику и еще раз перечитайте про SPF.