[Postfixbuch-users] Postfix Tuning - Rückmeldung an P. Heinlein

stepken stepken at web.de
So Jan 13 19:26:07 CET 2008 

Peer Heinlein schrieb:
>> Was ich wollte, was, dass ich ganz selektiv die Google Phalanx von
>> sendenden Servern herunterbremse, jedoch aus anderen Richtungen des
>> Internets ganz normal Mail mit normaler Geschwindigkeit annehme.
>>     
>
> Das finde ich suboptimal.
>
> Warum Google ausbremsen, anstatt das Problem generell zu Lösen? Ergebnis 
> ist, daß Dich jeder andere x-beliebige Mailser ebenso aufs Kreuz legen 
> und ausknocken kann.  Und, ja, das WIRD passieren.
>
> Neben der Tatsache, daß Du Deinen Server allgemein soweit absichern mußt, 
> daß er nur soviele Mails annimmt, wie er auch performant verkraften kann 
> (s.o. Kapitel 11.4) mußt Du ggf. nur noch dafür sorgen, daß Google 
> alleine nicht zuviele Resourcen von Dir klaut.
>
> Das steht in
>
> "Measures against clients that make too many connections"
>
> in
>
> http://www.postfix.org/TUNING_README.html
>   
Auch wenn aus 20+ Rohren parallel Mails für einen User auf meinen armen 
Mailserver einstürmen?

>> Ziel war, dass ich die meinen Mailserver überlastenden Server bremse,
>>     
>
> ..was im Zweifel ja ALLE Clients sein können, die mal auf Dich einstürmen.
>
>   
Genau deswegen habe ich ausgebufftere Skripte dafür geschrieben ;-)
>> aber nur diese. Ich will ein Mittel gegen DoS selektiv aus einer bzw.
>> mehreren Richtungen gleichzeitig. Wenn also jemand mir 2000000 Mails
>> mit Attachment je Sekunde schicken will, so soll ausschliesslich dieser
>> ausgebremst werden, aber nicht die anderen Mailserver.
>>     
>
> Das macht das Limiting in oben besagtem Readme.
>   
Nein, leider nein. Nicht wenn sie von verschiedenen SMTP-Clients 
gleichzeitig kommen. Ich muss dann selektiv ganze Ranges von IP's 
ausbremsen können.
>   
>> #!/bin/bash
>> iptables -F
>> iptables -X smtpschutz
>> iptables -N smtpschutz
>> iptables -A INPUT -p tcp --dport 80 --syn -j smtpschutz
>> iptables -A smtpschutz -m limit --limit 10/second --limit-burst 20 -j
>> RETURN iptables -A smtpschutz -j LOG --log-prefix "IPTABLES: SMTP
>> OVERLOAD " iptables -A smtpschutz -j DROP
>>
>> und Ruhe war im Karton. Ich habe dann das Burst - Limit noch ein wenig
>> feingetunt. Aber so lief das System sauber rund.
>>     
>
> Eine Methode, aber warum nicht einfach Postfix das ganze sauber selber 
> machen lassen...
>
>   
Weil Postfix das nicht so intelligent kann. Und da muss man hat 
Intelligenz noch hinzu programmieren ;-) Und noch komplexer ist es, wenn 
weitere Dienste noch mit laufen, die Last erheblich schwankt.

Have fun, Guido Stepken

Mehr Informationen über die Mailingliste Postfixbuch-users