[Postfixbuch-users] Spamwelle die dreihunderzweiundvierzigste?!

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Do Aug 30 15:04:04 CEST 2007


Egon Gruber wrote:

> Seit Montag habe ich dasselbe Problem. Gestern Vormittag und vor allem 
> auch habe ich sehr viele Mailzustellungsversuche
> von Clients, viele ohne PTR, viele aus Dial-In-Netzen.
> 
> Ich habe nun heute den Standartwert von smtdp von 100 anfangs auf 200, 
> dann 300 und
> nun schlussendlich auf 850 gesetzt, wobei nun glücklicherweise der Wert 
> von 600
> nur selten überschritten wird. Mit RAM-Speicherplatz und CPU habe ich 
> keinerlei Probleme.
> 
> Jetzt läuft der SMTP Connect relativ ohne Probleme. Vorher war dieser 
> extrem lansam
> und zwischen Telnet und Helo dauerte es oft bis zu einer Minute oder 
> mehr. So wurden auch
> einige Mails verzögert zugestellt und unser Monitoringsystem hat immer 
> wieder Alarm geschlagen,
> dass der Mailservice (Port 25) nicht aktiv sei.

Das ist eindeutig ein Zeichen, dass zuviele smtpd in Gebrauch sind und der
Client warten muss, bis einer frei wird. Abhilfe schafft da nur, zum einen
die Zahl der smtpd zu erhöhen (geht nicht problemlos mit einem
Proxy-Filter) und die Konfig so anzupassen, das Clients, von denen man
keine Mails anzunehmen wünscht, direkt abgewiesen werden.

> Denke das Hauptproblem ist, dass sehr viele Clients (unknown, aus 
> DIAL-IN-Netzen) eine
> Verbindung aufbauen und somit Ressourcen besetzen.
> 
> Einige diese Verbindungen werden bis zum Timeout von 300s aufrecht 
> gehalten, obwohl
> diese mittels RBL (554) sofort abgewiesen wurden. Somit besetzen diese 
> Clients
> für 300s (Standarteinstellung) den smtpd.

smtpd_delay_reject = no
smtpd_client_restrictions =
	permit_mynetworks,
	permit_sasl_authenticated,
	check_client_access pcre:/etc/postfix/client_blacklist_pcre
	reject_rbl_client zen.spamhaus.org
	
Damit sollte er gar nicht bis zum HELO kommen, und der Reject findet
statt, sobald Postfix die IP bzw den reverse_DNS kennt. Damit sollte auch
der smtpd_timeout (Default = 300s) nicht mehr so kritisch sein.
> 
> smtpd_recipient_restrictions =
>                 reject_non_fqdn_recipient,
>                 reject_non_fqdn_sender,
>                 reject_unknown_sender_domain,
>                 reject_unknown_recipient_domain,
>                 permit_mynetworks,
>                 reject_unauth_destination,
>                 check_recipient_access hash:/etc/postfix/recipient_checks,
>                 check_sender_access hash:/etc/postfix/sender_checks,
>                 reject_rbl_client sbl-xbl.spamhaus.org,

sbl-xbl ist in zen enthalten.

>                 reject_rbl_client korea.services.net,
>                 reject_rbl_client zen.spamhaus.org,
>                 check_sender_access    
> hash:/etc/postfix/rhsbl_sender_domain_exceptions,
>                 reject_rhsbl_sender dsn.rfc-ignorant.org,

Schau dir mal HELO-Checks an, die sind bei mir für einen großen Teil der
rejects verantwortlich:
- reject_invalid_helo_hostname
- reject_non_fqdn_helo_hostname
- eigenes HELO/IP für exerne Clients verbieten


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users