[Postfixbuch-users] X-policyd-weight: passed - too many local DNS-errors in bl.spamcop.net lookups

Robert Felber r.felber at ek-muc.de
So Aug 10 18:30:25 CEST 2008


On Sun, Aug 10, 2008 at 03:08:28PM +0200, Sebastian Deiszner wrote:
> Hallo,
> 
> ich habe bei einer Kontrolle der Logfiles bemerkt, dass policyd-weight folgende Meldung bringt:
> 
> 
> Aug 10 15:06:18 ks360112 postfix/smtpd[4494]: connect from plane.tuxtools.net[85.131.171.232]
> Aug 10 15:06:18 ks360112 postfix/policyd-weight[4550]: child: spawned
> Aug 10 15:06:18 ks360112 postfix/policyd-weight[4550]: decided action=PREPEND X-policyd-weight: 
> passed - too many local DNS-errors in bl.spamcop.net lookups
> Aug 10 15:06:19 ks360112 postfix/smtpd[4494]: 0E24B7AC25F: client=plane.tuxtools.net[85.131.171.232]
> Aug 10 15:06:19 ks360112 postfix/cleanup[4551]: 0E24B7AC25F: 
> message-id=<489EE7B8.1090900 at campusinform.de>
> Aug 10 15:06:19 ks360112 postfix/qmgr[4486]: 0E24B7AC25F: from=<ich at campusinform.de>, size=892, 
> nrcpt=1 (queue active)
> Aug 10 15:06:19 ks360112 postfix/smtpd[4494]: disconnect from plane.tuxtools.net[85.131.171.232]
> 


Gehe die DNS-Resolver Kette beginnend bei /etc/resolv.conf durch.

Es gibt jetzt ein paar Szenarios, wie du zu einem DNS Ergebniss kommst,
localhost Recursor, localhost forwarder, LAN Recursor, LAN Forwarder,
ISP Recursor, usw, usf.

Meine Empfehlung: ein recursor auf dem policyd-weight host installieren,
und sicherstellen, dass er port-randomisierung fehlerfrei machen kann
(NAT ist evil).

Policyd-weight ist auch bei DNS Laufzeiten sehr kritisch, und laesst
timeouts bei DNS eher durch um nicht die smtpd Prozesse unnoetig lange
in Beschlag zu nehmen.

Trage also im Rahmen deiner Moeglichkeiten dafuer Sorge, dass

a) DNS im QoS deiner Internet Anbindung genug Bandbreite garantiert bekommt
und dazu hoch priorisiert wird

und b) evtl Recursor im LAN nicht ueberlastet sind (dies kann uebrigens
durch die aktuellen DNS Patches eher mal der Fall sein, ich kann mir
vorstellen, dass durch die port-randomisierung schnell mal paar slots
knapp werden - je nach Implementierung, ich habe mir den Bind-Patch
nicht angeschaut).


> bl.spamcop.net ist aber vom Server aus durch ping zu erreichen.

Ping != DNS.


-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany



Mehr Informationen über die Mailingliste Postfixbuch-users