[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

Uwe Driessen driessen at fblan.de
Mo Sep 13 10:03:49 CEST 2010 


On Behalf Of lars
> 
> <schnipp>
> smtpd_recipient_restrictions =
>   reject_non_fqdn_sender,
>   reject_non_fqdn_recipient,
>   reject_unknown_sender_domain,
>   warn_if_reject reject_unverified_sender
>   reject_unknown_recipient_domain,
>   permit_mynetworks,
>   permit_sasl_authenticated,
>   reject_unauthenticated_sender_login_mismatch
>   reject_unauth_destination,
>   reject_unlisted_recipient
>   reject_unverified_recipient,
>   check_policy_service inet:127.0.0.1:12525
>   check_policy_service inet:127.0.0.1:60000
>   permit
> </schnipp>
> 
> ... und dann die Firewall wieder aufgemacht - /var/lib/postfix/verify_cache.db ist
> wieder bescheidene 60K gross, die obskruren Logeinträge sind verschwunden. Prima!
> 
> Aaaber ... da uns nun interessiert, worin der genaue Unterschied zwischen diesern
> Restrictions und den von uns bisher verwendeten besteht, haben wir unsere bisherigen
> gleich danach wieder aktiviert: sieht man mal von den Tests und Typos ab, die wir
> gestern dort beim Ausprobieren drin hatten, lautete die Passage in der ursprünglichen
> main.cf (bis gestern mittag immer bewährt) so:

http://www.postfix.org/postconf.5.html

da kannst du jede Restriktion und Ihre Funktionsweise nachlesen 

reject_unverified_sender brauchst du nicht da du angegeben hast das es keine nach
gelagerten Systeme gibt von denen du die Mailadressen nicht hast.

Weniger ist oft mehr und besser. 


> - und der Logdateiüberlauf ist jetzt auch mit unserer ursprünglichen main.cf
> verschwunden.

Da der cache sehr wahrscheinlich beim Neustart neu angelegt wird und du noch nicht die
Masse der einträge darin hast 

> 2) und noch eine doofe Verständnisfrage: weshalb meldet Postfix nach wie vor ständig
> zwischen 20 und 50 SMTP-Verbindungen zu diesen ziemlich eindeutigen (!?) Spammern als
> ESTABLISHED ... ? sollten die Verbindungen nicht sofort nach dem Abweisen per REJECT
> geschlossen sein?

Werden sie ja auch! Du siehst mit deinen tools immer nur eine Momentaufnahme.

> 
> # lsof -i :25 | grep ESTABLISHED
> 
> (...)
> smtpd   9255 postfix    9u  IPv4  93476       TCP 192.168.123.14:smtp->207-234-145-


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users