[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

lars lars at brainlift.de
So Sep 12 22:34:40 CEST 2010 

Hallo, Uwe,


> On Behalf Of lars
>> 
>> # postconf -n
> Komplette postconf -n wäre besser

meinetwegen, aber die u.E. unrelevanten parameter haben wir einfach weggekürzt. aber gut, es sei:

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
home_mailbox = Maildir/
inet_interfaces = all
mailbox_size_limit = 0
mydestination = unser-server.de, mail.unser-server.de, localhost.unser-server.de, localhost
myhostname = mail.unser-server.de
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost = 
smtp_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtp_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_delay_reject = no
smtpd_recipient_restrictions = 
check_policy_service inet:127.0.0.1:12525        
check_policy_service inet:127.0.0.1:60000	
reject_non_fqdn_sender,	
reject_non_fqdn_recipient,	
reject_unknown_sender_domain,	
warn_if_reject reject_unverified_sender 	
reject_unknown_recipient_domain,		
reject_unverified_recipient,	
reject_unauth_destination,	
permit_mynetworks,	
reject_unlisted_recipient	permit_sasl,	
permit_sasl_authenticated,	
reject_unauthenticated_sender_login_mismatch	
permit

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = 
smtpd_sasl_security_options = noanonymous
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
transport_maps = hash:/etc/postfix/transport
virtual_transport = virtual


> Habt Ihr relays dahinter von denen Ihr die Mailadressen nicht habt?

nein

> Warum benutzt du
> reject_unverified_recipient?

empfiehlt Wietse so in der Doku


> Evtl. in den restriction vor dem permit_sasl
> reject_unlisted_recipient
> und direkt nach permit_sasl
> reject_unauthenticated_sender_login_mismatch
> und in der conf noch ein
> smtpd_delay_reject = no
> setzen.

danke für die tipps! aber das haben wir gerde ausprobiert, keine änderung ... das spam-bombardement werden wir so auch kaum abstellen können; unsgeht es im moment schlicht darum, den mailverkehr wieder zum funktionieren zu bekommen ...



> Ansonsten bleibt noch die Menge der offenen Verbindungen pro einliefernden Host pro
> Zeiteinheit zu begrenzen 
> 
> smtpd_client_connection_count_limit =
> smtpd_client_connection_rate_limit =
> smtpd_client_message_rate_limit =
> smtpd_client_recipient_rate_limit =
> anvil_rate_time_unit =

wenn ich es recht verstehe, dürfte das nichts bringen, da

smtpd   5390 postfix   16u  IPv4  15137       TCP 192.168.123.14:smtp->www.opnet.spb.ru:58350 (ESTABLISHED)
smtpd   5397 postfix   16u  IPv4  15860       TCP 192.168.123.14:smtp->static.78-46-245-100.clients.your-server.de:33015 (ESTABLISHED)
smtpd   5398 postfix   16u  IPv4  15828       TCP 192.168.123.14:smtp->icnw.moris.ru:52715 (ESTABLISHED)
smtpd   5406 postfix   16u  IPv4  15543       TCP 192.168.123.14:smtp->pro-athletics.office-net.ru:59006 (ESTABLISHED)
smtpd   5409 postfix   11u  IPv4  15973       TCP 192.168.123.14:smtp->smtpout27.cybernet.ch:57928 (ESTABLISHED)
smtpd   5411 postfix   16u  IPv4  15963       TCP 192.168.123.14:smtp->skip-smtp1.skipcity.jp:48697 (ESTABLISHED)
smtpd   5413 postfix   11u  IPv4  16092       TCP 192.168.123.14:smtp->newtech.siberia.net:49252 (ESTABLISHED)
smtpd   5417 postfix   16u  IPv4  15740       TCP 192.168.123.14:smtp->smtp-gw.fsdata.se:57688 (ESTABLISHED)
smtpd   5421 postfix   16u  IPv4  15906       TCP 192.168.123.14:smtp->mailc.sitel.net:52321 (ESTABLISHED)

allesamt von unterschiedlichen Hosts kommen:

root at webmail.unser-server.de:/etc/postfix# host www.opnet.spb.ru
www.opnet.spb.ru    	A	80.250.182.5
root at webmail.unser-server.de:/etc/postfix# host icnw.moris.ru
icnw.moris.ru       	A	85.95.164.44
root at webmail.unser-server.de:/etc/postfix# host pro-athletics.office-net.ru
pro-athletics.office-net.ru	A	62.117.107.139

usw. ... 


beste grüsse


lars at brainlift.de

(J.W.v.Goethe)
http://ww.NachDenkSeiten.de



-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100912/e49d7de6/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users