[Postfixbuch-users] reject_unverified_recipient und caching Verständnisfrage
alex handle
alex.handle at gmail.com
Mo Okt 18 14:28:38 CEST 2010
Hallo Liste!
Bin gerade dabei ein Mailgateway für ein paar externe Domains aufzubauen.
Leider habe ich nicht die Möglichkeit die Accountdaten zu
synchronisieren, deshalb habe ich
mir gedacht ich löse das Problem mittels Recipient Verification.
Möchte nämlich kein Backscatter-Source sein ;)
Jetzt besteht leider nur das Problem die richtigen Einstellungen für
das Caching der Empfängeradressen zu finden.
Die Standardeinstellungen zum positiv Caching finde ich ziemlich gut,
jedoch beim negativ Caching gibts noch Probleme.
Generell wollte ich das negativ Caching deaktivieren, da ich denke,
dass die Datenbank ziemlich schnell zugemüllt ist, und
die meisten Spammer immer neue Adressen generieren, jedoch bei der
Einstellung "address_verify_negative_cache = no"
wird immer beim 1. Versuch ein temporärer Fehler zurück gegeben, dies
möchte ich jedoch vermeiden.
Ich habe mir auch den Parameter "address_verify_negative_refresh_time
= 3h" angesehen.
Wenn ich das richtig verstanden habe prüft Postfix jede nicht
existierende Adresse alle 3 Stunden am Backend-Server.
Falls es die Adresse auf einmal doch gibt wird die expire-time
abgwartet ansonsten wird die expire-time erneuert?
Bei einer dictionary attack würde das ja bedeuten, dass erstmal alle
nicht gültigen Adressen in der Verfify DB landen, und dann noch
alle 3 Stunden auf dem Backend-Server verifiziert werden. Das würde ja
heißen, dass die Attacke den Backend-Server mehrmals belastet.
Hab ich hier was komplett falsch verstanden?
Wie löst ihr das Problem in der Praxis?
Was wären hier die optimalen Einstellungen um die DB nicht zuzumüllen
und die Backend-Server nicht zu sehr zu belasten.
Mein Idee wäre folgende:
address_verify_negative_expire_time = 2h
address_verify_negative_refresh_time = 3h
Alle negativ Einträge werden nur 2 Stunden gecached, dann autom. gelöscht.
Die refresh_time ist größer als die expire_time und ein Refresh kommt
deshalb nie zustande.
Vielen Dank für eure Hilfe!
Alex
Mehr Informationen über die Mailingliste Postfixbuch-users