Extremne zatizeny postfix

David Olszyñski hisaak na ysoft.cz
Sobota Leden 12 16:16:22 CET 2002


Dobry den.

Mam velice neprijemny problem a nenasel jsem zatim zadne uspokojive
reseni. Na jednom serveru mam velice zatizeny postfix. V narazech tam
prijde i 30 spojeni za jednu vterinu. Normalne to pak pod 5 neklesa.
Skoro vzdy jde o prichozi maily pro neexistujici uzivatele (casto
kvuli errors-to z ruznych spamu pro jine servery). Problem je v tom,
ze ta spojeni chodi z tisicu ruznych ip adres z mnoha ruznych siti.
Load to vyhani i nad 10 a maily normalnim uzivatelum prestavaji prichazet.
Zkousel jsem ruzne menit nastaveni postfixu a alespon zmirnit dopady, ale
jde hlavne o to, aby se ty pocitace k postfixu vubec nedostaly.
Napsal jsem si skript, ktery podle toho, co se objevuje v maillogu,
blokuje na urcitou dobu prislusne ip adresy pomoci iptables. Nechal
jsem to chvili bezet a behem nekolika hodin tam bylo pres deset tisic
ip adres a jadro to celkem pochopitelne prestavalo stihat (v topu bylo vse
na 0% krome 99% u systemu).

Otazkou tedy je, jak to vyresit. Ty problemove ip adresy nemaji skoro
nikdy zaznam v dns a zhusta jde o open relaye. Kdyby nekdo vedel o nejakem
efektivnim zpusobu, jak zabranit pristupu vsem takovym ip adresam, byl
bych vdecny.

Napadlo me taky spoustet postfix treba z tcpserveru a blokovat ty ip
adresy v cdb, ale kdyz jsem zkousel spoustet postfix treba jen z xinetd
(pomoci smtpd -S), tak to po helo a mail from zacalo psat do logu hlasky
postfix/smtpd[22140]: warning: connect #1 to subsystem private/cleanup:
Connection refused
postfix/smtpd[22140]: warning: connect #2 to subsystem private/cleanup:
Connection refused
...
a neudelalo to nic dalsiho.

Nevite nekdo aspon jak na tohle? A myslite si vubec, ze by to pomohlo
(tedy ze tcpserver s cdb by to stihal)? To "reseni" s iptables fungovalo
dobre az na ten limit cca 10tis. adres.

Budu velice vdecny za kazdou radu ci zkusenost.

Rozmyslel jsem, jestli to radeji nemam napsat do sendmail na linux.cz, ale
pripadne mi, ze je to i o necem dalsim nez jen o postfixu.

David Olszynski



Další informace o konferenci Linux