[Postfixbuch-users] Postfix Tuning - Rückmeldung an P. Heinlein
stepken
stepken at web.de
So Jan 13 19:26:07 CET 2008
Peer Heinlein schrieb:
>> Was ich wollte, was, dass ich ganz selektiv die Google Phalanx von
>> sendenden Servern herunterbremse, jedoch aus anderen Richtungen des
>> Internets ganz normal Mail mit normaler Geschwindigkeit annehme.
>>
>
> Das finde ich suboptimal.
>
> Warum Google ausbremsen, anstatt das Problem generell zu Lösen? Ergebnis
> ist, daß Dich jeder andere x-beliebige Mailser ebenso aufs Kreuz legen
> und ausknocken kann. Und, ja, das WIRD passieren.
>
> Neben der Tatsache, daß Du Deinen Server allgemein soweit absichern mußt,
> daß er nur soviele Mails annimmt, wie er auch performant verkraften kann
> (s.o. Kapitel 11.4) mußt Du ggf. nur noch dafür sorgen, daß Google
> alleine nicht zuviele Resourcen von Dir klaut.
>
> Das steht in
>
> "Measures against clients that make too many connections"
>
> in
>
> http://www.postfix.org/TUNING_README.html
>
Auch wenn aus 20+ Rohren parallel Mails für einen User auf meinen armen
Mailserver einstürmen?
>> Ziel war, dass ich die meinen Mailserver überlastenden Server bremse,
>>
>
> ..was im Zweifel ja ALLE Clients sein können, die mal auf Dich einstürmen.
>
>
Genau deswegen habe ich ausgebufftere Skripte dafür geschrieben ;-)
>> aber nur diese. Ich will ein Mittel gegen DoS selektiv aus einer bzw.
>> mehreren Richtungen gleichzeitig. Wenn also jemand mir 2000000 Mails
>> mit Attachment je Sekunde schicken will, so soll ausschliesslich dieser
>> ausgebremst werden, aber nicht die anderen Mailserver.
>>
>
> Das macht das Limiting in oben besagtem Readme.
>
Nein, leider nein. Nicht wenn sie von verschiedenen SMTP-Clients
gleichzeitig kommen. Ich muss dann selektiv ganze Ranges von IP's
ausbremsen können.
>
>> #!/bin/bash
>> iptables -F
>> iptables -X smtpschutz
>> iptables -N smtpschutz
>> iptables -A INPUT -p tcp --dport 80 --syn -j smtpschutz
>> iptables -A smtpschutz -m limit --limit 10/second --limit-burst 20 -j
>> RETURN iptables -A smtpschutz -j LOG --log-prefix "IPTABLES: SMTP
>> OVERLOAD " iptables -A smtpschutz -j DROP
>>
>> und Ruhe war im Karton. Ich habe dann das Burst - Limit noch ein wenig
>> feingetunt. Aber so lief das System sauber rund.
>>
>
> Eine Methode, aber warum nicht einfach Postfix das ganze sauber selber
> machen lassen...
>
>
Weil Postfix das nicht so intelligent kann. Und da muss man hat
Intelligenz noch hinzu programmieren ;-) Und noch komplexer ist es, wenn
weitere Dienste noch mit laufen, die Last erheblich schwankt.
Have fun, Guido Stepken
Mehr Informationen über die Mailingliste Postfixbuch-users