Recentemente configurei o ECMP no firewall da nossa rede para nos conectar totalmente a vários ISPs.
Foi fácil configurar o SPF corretamente, mas esse negócio anti-spam estilo anos 70 nem tanto... Algumas de nossas contrapartes (executando suas próprias instâncias do postfix que precisam continuar aceitando e-mails enviados por mim) insistem em executar o postfix com "reject_unknown_client_hostname", aqui está a definição dos documentos: "Rejeite a solicitação quando 1) o mapeamento de endereço IP do cliente->nome falhar, ou 2) o mapeamento de nome->endereço falhar, ou 3) o mapeamento de nome->endereço não corresponder ao endereço IP do cliente." Basicamente, o registro PTR para um determinado IP precisa estar correto.
Como nosso servidor postfix não sabe qual IP público ele realmente estará egressando para uma determinada conexão, temos que enviar o mesmo nome de servidor na mensagem EHLO, independentemente de qual link ele sai.
A melhor solução que podemos encontrar, sem precisar executar uma instância postfix inteira, é ter registros PTR em ambos os IPs públicos apontando para o mesmo nome de registro A e, então, ter dois registros A para esse nome, um para cada IP. Sei que essa é geralmente uma ideia horrível, pois muitas bibliotecas de SO nem retornam mais de um registro A para um cliente, e isso certamente levará a falhas intratáveis. Quais outras opções existem?
O nome do host HELO que o MTA usa para SMTP não precisa necessariamente corresponder ao PTR para seu endereço IP público visível. Ele só precisa resolver para esse IP público.
No entanto, cada endereço IP público precisa de um registro PTR adequado, e esse PTR precisa corresponder ao seu respectivo registro A confirmado de encaminhamento ( FCrDNS ).