[Postfixbuch-users] Verzögerung bei SASL + Dovecot (firewall)

[Stefan Förster]

Hallo Alexander,

ich bin da immer jemand, der einfach mal gerne nachschaut, von daher:

* Alexander Busam <a.busam at hofmann-foerdertechnik.com> wrote:
> Es gibt aber sehr oft Verzögerungen von 10 Sekunden zwischen
> Authentifizierung und Amavis (siehe mail.log).
> 
> Wenn ich die Firewall deaktiviere, funktioniert das ganze unverzüglich.
> Liegt der Fehler darin ?

Es gibt da zumindest einen auffälligen Zusammenhang. Die Policy für
die drei Filterketten ist ja auf "DROP" gesetzt, von daher wäre es das
einfachste, einfach noch einen Sprung zum LOG-Target vorzunehmen.

> # "dovecot -n" command gives a clean output of the changed settings. Use it
> # instead of copy&pasting this file when posting to the Dovecot mailing list.

*hust* Das wäre eventuell einfacher gewesen als die Konfiguration ganz
zu posten.

> log_path = /var/log/dovecot.log

Das wäre evt. interessant gewesen.

>         # Hylafax (fuer eingehende Faxe)
>         $IPT -A INPUT  -p TCP -d $ip_nr -s $ip_lnet \
> 	  --sport 1024: --dport 4559 \
>          -m state --state NEW -j ACCEPT
> 
>         # Hylafax (fuer eingehende Faxe)
>         #$IPT -A OUTPUT  -p TCP -s $ip_nr -d $ip_lnet \
>         #  --sport 1024: --dport 4559 \
>         # -m state --state NEW -j ACCEPT

Und hier könntest Du dann einfach Regel der Form

$IPT -A OUTPUT -j LOG
$IPT -A INPUT -j LOG

einfügen. BTW, ich habe gesehen, daß Du auch Regeln hast, die sich nur
auf 127.0.0.1 beziehen. Abgesehen davon, daß solche Regeln nur
greifen, wenn man als Interface ganz explizit "lo" angibt, weiß ich
nicht, wie sinnvoll Paketfilterung auf dem Lookpback-Interface sein
kann...

> Jul 23 10:45:22 hmmailsrv postfix/smtpd[584]: connect from wsab.hofmann-intern.de[192.168.1.165]
> Jul 23 10:45:22 hmmailsrv postfix/smtpd[584]: setting up TLS connection from wsab.hofmann-intern.de[192.168.1.165]
> Jul 23 10:45:22 hmmailsrv postfix/smtpd[584]: TLS connection established from wsab.hofmann-intern.de[192.168.1.165]: T
> LSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
> Jul 23 10:45:32 hmmailsrv amavis[23942]: (23942-14) process_request: fileno sock=12, STDIN=0, STDOUT=1

Das sind in der Tat exakt 10 Sekunden. Du kannst ja evt. mal TLS
deaktivieren und zusätzlich zum Loggen, welche Pakete da rausfliegen,
mit ngrep & Co. nachsehen, was er da überhaupt treibt (best guess: Er
hänt beim Verarbeiten von "AUTH LOGIN/PLAIN/....").

Ich wette 2 Euro-Cent auf etwas obskures wie ident oder aber GSSAPI
beim Zugriff auf den LDAP-Server.


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
FdI #179: Torx-Schrauben - Hände-Weg-Schrauben (nach Marc Habers Kollegen)