[Postfixbuch-users] Postfix Tuning - Rückmeldung an P. Heinlein

Uwe Driessen driessen at fblan.de
Mo Jan 14 02:47:33 CET 2008 

Stepken schrieb: 
> Uwe Driessen schrieb:
> > Stepken schrieb:
> >
> >> Peer Heinlein schrieb:
> >>
> >>> http://www.postfix.org/TUNING_README.html
> >>>
> >>>
> >> Auch wenn aus 20+ Rohren parallel Mails für einen User auf meinen armen
> >> Mailserver einstürmen?
> >>
> >
> > Jap auch dann und es gibt auch noch den Stress_parameter war die Tage in der Liste.
> >
> > Wenn Amavis nicht als Proxy_Filter rennt sollte das kein größeres Problem sein.
> >
> Spamassassin ist das Hauptproblem, nicht Virenscanner.

Da hilft Ram und noch mal Ram und noch einen oben drauf *gg

> > Dann ist es nur eine Frage von Ram Ram noch mal Ram und mehr wie ein Prozessor der
> darin
> > werkelt.
> Oh nein. Je weniger RAM ich habe, und je weniger Bytes der Prozessor
> durch das RAM schaufeln muss, umso besser ist das. Idealerweise laufen
> die Mails ohne grossen Ramverbrauch direkt auf die Festplatte. Dann erst
> hast Du ein gutes System konfiguriert.

Amavis braucht Ram und das für jeden zusätzlichen Prozess. Und da alles bei dir gescannt
wird ist nicht weniger Ram sondern mehr Ram und mehr gleichzeitige Prozesse die Antwort.

Was hast du denn für Maschinen im Einsatz?  

> Was sollte im RAM sein? Virensignatur, DNSBL-Cache, ein paar regexp für
> Spamfilter ... nicht viel. Und das bitte nur 1x für n simultane
> Datenströme aus dem Netz auf die Festplatte. Alles andere ist krank.

Wie du meinst. 
Es gibt Techniken bestimmte Dinge zu beschleunigen in dem man diese Ihre Arbeit im Ram tun
lässt( und das geht auch ohne dass man Sicherheit einbüsst).
z.B. Amavis Zwischenspeicherung der Mails für scann's von Spamassasin und Virenfiltern.
Die Mails müssen dann nicht für jeden Scan von der Platte gelesen werden.
Gib dem Maschinchen mal 16 GB Ram und lass 100 Amavis Prozesse gleichzeitig zu auf einem
dual- oder quadsystem kann da schon so einiges an Mails pro min durch Amavis gepustet
werden. (und das dann sogar bevor die Mail endgültig angenommen wird) 

Wenn du Leistung benötigst hilft auf die Dauer nur power, power, power.

> >
> Idealerweise kann ich 1 GBit mit 2 SATA Platten sättigen.

Ich dachte da eher an Raid 5/50 oder 0+1
Also min 3/6 oder 4 HD (ich bevorzuge für solche Zwecke SCSI oder SAS)

> > Prüfe was solange in der Filterung braucht, wenn der Kunde so viele Mails haben möchte
> > nimm die Google Weiterleitung aus der Spamerkennung und lass da nur noch die
> > Virenerkennung drüber rennen.
> >
> Werde ich nicht tun. Da das Verhältnis von abgelehnter Mail zu
> einsortierter Mail ca. 30:1 ist, 

und den Rest schickste wieder zu Google? Oder wird gebounced? 


> riskiere ich eine Explosion des
> Volumens der IMAP Postfächer von Kunden. Dann wurde das Volumen schnell
> auf mehrere Terabyte ansteigen und die Kosten würden explodieren,
> insbesondere beim Backup.

Oder der Kunde fängt an zu Überlegen ob er wirklich ein Googlemail Account der
weitergeleitet wird benötigt.

> > Ohne jetzt deine genaue Config zu kennen sind diese Tipps aber alles nur ein Schuss
> ins
> > Blaue.
> >
> Wirklich?

Es gibt immer zu verbessern. Ich vertraue da der Liste und Ihrer Erfahrung aus mehreren
Hundert Installationen. 

> Dialin-Netze erreichen erst garnicht Postfix. Die werden direkt
> geblacklistet.

Mit der Gefahr das auch eigene Kunden evtl. mal aus diesen Netzen zugreifen möchten.


> > dazu eine Map die man sich auf eigene Bedürfnisse zuschneiden kann
> > und in zusammen arbeit mit fail2ban ein gut wirkendes Werkzeug)
> >
> Wozu setzt du es ein?

Um unerwünschtes mit geringer Belastung auf dem Server fernzuhalten aber eigene Kunden
nicht zu behindern (da hat sich doch tatsächlich einer über Weihnachten gewagt nach
Brasilien in den Urlaub zu fliegen und Mails abzurufen und das auch noch aus einem Dialin
das für Spam bekannt ist)

> > Ist aber sehr umstritten auch hier in der Liste und kann auch nicht überall einfach so
> > eingesetzt werden.
> >
> > Prüfe wer da außer google noch so viele Connections aufbaut und den Server in die Knie
> > zwingt.
> >
> Keiner. Weil niemand meinen Server mehr in die Knie zwingen kann. Ruhe is.

Nun dann ist doch alles in Butter.

> > Ansonsten bleibt noch mit dem Kunden zu reden.
> >
> Wer mit Kunden reden muss, verliert Geld. Systeme sollen reibungslos und
> autak laufen, solche Dinge selber regeln. Kundenbenachrichtigungen haben
> automatisch zu erfolgen. Das allerdings muss man durch intelligente
> Skripte regeln, die mit Sensoren den Zustand des Systeme erfühlen und
> proaktiv reagieren, nicht erst dann, wenn die Last auf 30 ist.
> 

Also ich rede des Öfteren mit meinen Kunden und wenn es auch nur mal ist um guten Tag zu
sagen und zu fragen was die Familie macht. Ein offenes Verhältnis zum Kunden hat noch nie
geschadet und wenn es gefestigt ist dann kann man auch so was mal ansprechen.
Nicht nur Plattenplatz kostet Geld auch alles andere an einem Server kostet Geld.
Ich geb dir allerdings recht das Systeme reibungslos zu funktionieren haben. Eine
Benachrichtigung bei einem solchen System erübrigen sich dann und wenn es doch mal probs
gibt dann ist es schöner wenn der Kunde das in seiner Sprache hört wie wenn da eine Mail
ankommt für die man studiert haben muss.
Scripte haben den Nachteil das Sie nur 0 und 1 kennen. alles was diese tun muss man Ihnen
mühsam beibringen.



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users