[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

lars lars at brainlift.de
So Sep 12 21:15:32 CEST 2010 

hallo,

wir haben auf einem unserer Mailserver seit heute ("Immer wieder Sonntags", ein Schelm, wer Böses und/oder Spammer" dabei denkt ... ?!) massenweise Anfragen auf unbekannte Adressen. Dummerweise lassen die die verify_cache.db vollaufe, und das innerhalb kürzester Zeit.

Die Maillogs (und entsprechend /var/) sind vollgelaufen mit Meldungen solcher Art:

Sep 12 18:43:25 webmail postfix/verify[19531]: warning: database /var/lib/postfix/verify_cache.db: could not delete entry for valija.erohina at unser-server.de
Sep 12 18:43:25 webmail postfix/verify[19531]: warning: database /var/lib/postfix/verify_cache.db: could not delete entry for valija.gavrilova at unser-server.de

... und zwar mit einer ganzen Menge:

root at webmail.unser-server.de:/var/log# grep "verify_cache" messages | wc -l
15560520

Im syslog steht:

Sep 12 08:43:42 webmail postfix/verify[13659]: fatal: error reading /var/lib/postfix/verify_cache.db: Unknown error 4294936309
Sep 12 08:43:43 webmail postfix/smtpd[10826]: warning: problem talking to service verify: Success
Sep 12 08:43:43 webmail postfix/local[13048]: warning: problem talking to service verify: Connection reset by peer
Sep 12 08:43:43 webmail postfix/master[1781]: warning: process /usr/lib/postfix/verify pid 13659 exit status 1

Das syslog ist ebenso voll wie mail.log und messages! Logs verschoben, Neustart durchgeführt. Knapp eine Minute (!) nach dem Neustart sieht es bereits wieder so aus:

root at webmail.unser-server.de:/# grep verify_cache /var/log/mail.log | wc -l
71754

Wietse empfiehlt zwar im Adress-verify-Howto (http://www.postfix.org/ADDRESS_VERIFICATION_README.html): "Do not put this file in a file system that may run out of space", aber ein solches ist mir in den letzten Jahren noch nicht begegnet ... ;-)

Scherz beiseite - der hauptgrund scheint mir darin zu liegen, dass dieser Server mit Mailanfragen bombardiert wird - sehe ich das richtig? Es sind ständig haufenweise Ports 25 offen nach diesem Muster:

smtpd   2389 postfix   16u  IPv4   7274       TCP 192.168.1.1:smtp->mail.investcapitalbank.ru:47235 (ESTABLISHED)
smtpd   2393 postfix   16u  IPv4   7352       TCP 192.168.1.1:smtp->super.muctr.net:64897 (ESTABLISHED)
smtpd   2394 postfix   16u  IPv4   7370       TCP 192.168.1.1:smtp->foodgrad.ru:51131 (ESTABLISHED)
smtpd   2395 postfix   16u  IPv4   8264       TCP 192.168.1.1:smtp->proxy.lenreg.ru:51208 (ESTABLISHED)
smtpd   2396 postfix   16u  IPv4   7398       TCP 192.168.1.1:smtp->postman.rtfx.com:57694 (ESTABLISHED)
smtpd   2397 postfix   16u  IPv4   7418       TCP 192.168.1.1:smtp->postman.rtfx.com:57683 (ESTABLISHED)
smtpd   2399 postfix   16u  IPv4   8394       TCP 192.168.1.1:smtp->ns1.hot-factory.jp:57830 (ESTABLISHED)
smtpd   2403 postfix   16u  IPv4   8416       TCP 192.168.1.1:smtp->sdsu.edu:49726 (ESTABLISHED)
smtpd   2405 postfix    9u  IPv4   8459       TCP 192.168.1.1:smtp->193.138.158.66.ip-space-by.digitalus.nl:48360 (ESTABLISHED)
smtpd   2409 postfix   16u  IPv4   7725       TCP 192.168.1.1:smtp->bilalov.com:55637 (ESTABLISHED)
smtpd   2410 postfix   16u  IPv4   8446       TCP 192.168.1.1:smtp->antispam-5.montevideo.com.uy:48811 (ESTABLISHED)
smtpd   2413 postfix   16u  IPv4   7842       TCP 192.168.1.1:smtp->mout3.asco.de:39854 (ESTABLISHED)

Ein Relaytest von aussen schlägt aber fehl, wenn ich es richtig sehe:

Sep 12 20:23:58 webmail postfix/smtpd[3307]: connect from dyndsl-095-033-107-206.ewe-ip-backbone.de[95.33.107.206]
Sep 12 20:24:20 webmail postfix/smtpd[3307]: NOQUEUE: reject: RCPT from dyndsl-095-033-107-206.ewe-ip-backbone.de[95.33.107.206]: 554 5.7.1 <lars at dyn-ip-von-aussen.de>: Relay access denied; from=<spammer at spam.jp> to=<lars at dyn-ip-von-aussen.de> proto=ESMTP helo=<ich.ru>

Was passiert da? Bzw. wie stellen wir das ab? Abwarten? Im Moment haben wir erstmal für den betroffenen Server Port 25 an der externen iptables-Firewall geblockt, die master.lock gelöscht, die verify_cache.db gelöscht, System-Updates durchgeführt, schliesslich noch einmal einen Neustart. Die Firewall wieder aufgemacht, 30 sekunden später waren erneut über 70000 "warning: database /var/lib/postfix/verify_cache" im Log. 

Das System: Debian 5.0.3

mail_version = 2.7.1

uname -mrs:

Linux 2.6.29-xs5.5.0.17 i686

Die Postfix-Konfig:

# postconf -n

(...)
inet_interfaces = all
mailbox_size_limit = 0
mydestination = unser-server.de, mail.unser-server.de, localhost.unser-server.de, localhost
myhostname = mail.unser-server.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
(...)
recipient_delimiter = +
relayhost = 
(...)
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_recipient_restrictions = 
reject_non_fqdn_sender,
reject_non_fqdn_recipient,	
reject_unknown_sender_domain,	
reject_unknown_recipient_domain,		
permit_mynetworks,	
permit_sasl_authenticated,	
reject_unverified_recipient,	
reject_unauth_destination,        
check_policy_service inet:127.0.0.1:12525        
check_policy_service inet:127.0.0.1:60000	
permit
(...)

Danke im Voraus für Hinweise und Tipps!


Beste Grüße


lars aus bremen



“Mit dem Wissen wächst der Zweifel”
(J.W.v.Goethe)
http://ww.NachDenkSeiten.de



-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100912/e03fce3e/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users