[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

lars lars at brainlift.de
Mo Sep 13 09:04:58 CEST 2010 

moin, kollegen,

danke für die schnelle - und vor allem noch nächtliche -  hilfe! wir habens jetzt mal mit dieser Konfig getestet ... :

<schnipp>
smtpd_recipient_restrictions =
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unknown_sender_domain,
  warn_if_reject reject_unverified_sender
  reject_unknown_recipient_domain,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauthenticated_sender_login_mismatch
  reject_unauth_destination,
  reject_unlisted_recipient
  reject_unverified_recipient,
  check_policy_service inet:127.0.0.1:12525
  check_policy_service inet:127.0.0.1:60000
  permit
</schnipp>

... und dann die Firewall wieder aufgemacht - /var/lib/postfix/verify_cache.db ist wieder bescheidene 60K gross, die obskruren Logeinträge sind verschwunden. Prima!

Aaaber ... da uns nun interessiert, worin der genaue Unterschied zwischen diesern Restrictions und den von uns bisher verwendeten besteht, haben wir unsere bisherigen gleich danach wieder aktiviert: sieht man mal von den Tests und Typos ab, die wir gestern dort beim Ausprobieren drin hatten, lautete die Passage in der ursprünglichen main.cf (bis gestern mittag immer bewährt) so:

<schnipp>
smtpd_recipient_restrictions =
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_unverified_recipient,
        reject_unauth_destination,
        check_policy_service inet:127.0.0.1:12525
        check_policy_service inet:127.0.0.1:60000
        permit
</schnipp>

- und der Logdateiüberlauf ist jetzt auch mit unserer ursprünglichen main.cf verschwunden.


> Aber so wie du das machst füllst du dir deine verification database
> mit den Adressen, die deine User anschreiben und falschen Adressen bei
> dir.

Mittlerweile haben wir herausgefunden, dass das Vollaufen der Logs durch diese Zeile ... :

"warning: database /var/lib/postfix/verify_cache.db: could not delete entry for"

das Problem gewesen ist - damit war das Logverzeichnis zugemüllt. Suchergebnisse bei www.postfix.org und google zu diesem Logeintrag: 0 :-(

Rechte auf das Verzeichnis für Postfix waren gesetzt! Jetzt arbeitet der Server wieder mit derselben Konfiguration wie zuvor, es kommen sekündlich 2 - 3 Versuche hauptsächlich von.ru-Domains, an unbekannte Benutzer einzuliefern, herein, aber den Server läst es inzwischen kalt. 

Abschliessend sind im Moment zwei Sachen noch nicht ganz klar:

1) weshalb hat der Server uns das Log mit diesen "warning: database"-Zeilen vollgesuppt?

2) und noch eine doofe Verständnisfrage: weshalb meldet Postfix nach wie vor ständig zwischen 20 und 50 SMTP-Verbindungen zu diesen ziemlich eindeutigen (!?) Spammern als ESTABLISHED ... ? sollten die Verbindungen nicht sofort nach dem Abweisen per REJECT geschlossen sein? 

# lsof -i :25 | grep ESTABLISHED

(...)
smtpd   9255 postfix    9u  IPv4  93476       TCP 192.168.123.14:smtp->207-234-145-49.ptr.primarydns.com:32873 (ESTABLISHED)
smtpd   9260 postfix    9u  IPv4  92758       TCP 192.168.123.14:smtp->ns.photon.ru:54005 (ESTABLISHED)
smtpd   9261 postfix    9u  IPv4  96714       TCP 192.168.123.14:smtp->85.113.147.5:53971 (ESTABLISHED)
smtpd   9426 postfix   16u  IPv4  92975       TCP 192.168.123.14:smtp->yachtweb.ru:65493 (ESTABLISHED)
smtpd   9427 postfix   11u  IPv4  93113       TCP 192.168.123.14:smtp->ns.opnet.spb.ru:15852 (ESTABLISHED)
smtpd   9429 postfix   16u  IPv4  93046       TCP 192.168.123.14:smtp->16v.ru:33127 (ESTABLISHED)
smtpd   9432 postfix    9u  IPv4  96690       TCP 192.168.123.14:smtp->ws002.soc-ws.pu.ru:60421 (ESTABLISHED)
smtpd   9465 postfix   16u  IPv4  93238       TCP 192.168.123.14:smtp->narr.rts.spb.ru:59778 (ESTABLISHED)
smtpd   9520 postfix   11u  IPv4  93935       TCP 192.168.123.14:smtp->mail-gfk.leica-gfk.ru:54777 (ESTABLISHED)
smtpd   9521 postfix   16u  IPv4  93969       TCP 192.168.123.14:smtp->mail.krass.spb.ru:58344 (ESTABLISHED)
smtpd   9522 postfix    9u  IPv4  94204       TCP 192.168.123.14:smtp->propelemail.com:42477 (ESTABLISHED)
smtpd   9567 postfix   16u  IPv4  96769       TCP 192.168.123.14:smtp->d2726.agava.net:31298 (ESTABLISHED)
smtpd   9570 postfix   16u  IPv4  96850       TCP 192.168.123.14:smtp->mail-gfk.leica-gfk.ru:63637 (ESTABLISHED)
(...)

# lsof -i :25 | grep ESTABLISHED | wc -l

61




lars at brainlift.de

(J.W.v.Goethe)
http://ww.NachDenkSeiten.de



-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20100913/0079f033/attachment.html>

Mehr Informationen über die Mailingliste Postfixbuch-users