[Postfixbuch-users] postfix probleme
Marcel Hartmann
mail at marcel-hartmann.com
So Feb 18 17:40:53 CET 2007
Hallo,
> Du solltest soviele Map Lookups wie möglich ueber proxymap laufen lassen!
Mein saslauthd rennt bereits mit cache mode, das heißt er sollte nicht jede
Anfrage an mysql senden, sondern den cache benutzen. Proxymap kenne ich
derzeit nicht, ich google da mal nach.
Als ich vorhin den MySQL Server neu gestartet habe waren bereits nach
wenigen Minuten wieder mehrere Tausend Anfragen in Form von Select
Statements. :(
> Am Sonntag, 18. Februar 2007 15:02 schrieb Marcel Hartmann:
>
> > ich beobachte gerade das eine Unmenge an Connections an mein Postfix
> > ankommen.
>
> Wahrscheinlich nicht mehr, als sonst.
Nee stimmt, nur wunderte mich vorhin das die Load so hoch ging, was sonst
nicht der Fall ist definitiv. (Oder ich habe es nicht mitbekommen)
> Sieht so aus, als ob Du Dein Postfix durch eine defekte Config
> zerschossen
> hat. Darum macht Postfix die Verbindungen auf, hält sie aber offen und
> kann den SMTP-Dialog nicht zu Ende führen.
Ich vermute ich habe da etwas falsche Loglines gepostet sorry an alle die
sich da durchlesen mussten/wollten. :-( Nach dem restart des mysql gab es
eine kurze zeit in der postfix nicht die lookups machen konnte denke ich.
>
> Darum werden es immer mehr Verbindungen -- aber das Problem ist hier,
> daß
> Postfix Probleme hat und diese Verbindungen nicht abarbeitet. Das
> Problem
> sind nicht die Verbindungen selber.
Und genau das meine ich und versuche ich zu entschlüsseln :) Aber durch die
vielen Rejects wird es deutlich schwerer da durch zu steigen finde ich,
daher nochmal am Rande, kann ich logs für bestimmte domains in ein anderes
logfile legen?
> > Und das kommt dabei raus:
> >
> > Feb 18 14:45:34 localhost postfix/master[14238]: warning: process
> > /usr/libexec/postfix/trivial-rewrite pid 14301 exit status 1
> > Feb 18 14:45:34 localhost postfix/master[14238]: warning:
> > /usr/libexec/postfix/trivial-rewrite: bad command startup --
> throttling
>
> Ja, und? Mal danach gesucht? Oder geflissentlich überlesen?
Wenn Du mir sagst wo genau? mein postfix wurde ja nicht verändert!
Der trivial-rewrite müsste wie gewohnt laufen imho.
> Durchpflüge main.cf und master.cf. Irgendwo steht da Unsinn drin und
> dieses Postfix-Modul kann deswegen nicht mehr arbeiten.
>
> > Ich vermute das dort gerade eine SPAM Welle eingeht bzw. wieder eine
> > dieser unzustellbaren Mails von irgend einem SPAMMER oder sowas.
>
> Wieso zitierst Du 80 Logzeilen, in denen Postfix SCHREIT daß er mit
> trivial-rewrite nicht mehr reden kann, ziehst daraus aber nicht den
> Hauch
> der Idee, daß trivial-rewrite vielleicht defekt sein könnte und
> schließt
> stattdessen auf eine externe Ursache, die sich weder in den Logzeilen
> als
> Problem wiederfindet, noch mit trivial-rewrite in Verbindung steht?
>
> > conecten lassen kann. Problematisch wird’s nur, wenn dort reale IPs
> > gespooft werden denke ich.
>
> Tut niemand.
Dann kann ich blacklisten wenn sowas in einer bestimmten Anzahl vorkommt?
Mir ist nur aufgefallen das der SPAMMER dort immer andere IP's verwendet.
Wenn ich die bei 10 fehlerhaften zugriffen blocken könnte wäre der Umfang
dieser connections sicher deutlich weniger, aber das ist nur eine Vermutung
von mir.
Wenn blacklisting möglich ist, womit kann ich das realisieren? Ich will
diese hier
raus haben:
Feb 18 04:04:03 localhost postfix/smtpd[29406]: NOQUEUE: reject: RCPT from
unknown[85.105.83.113]: 550 <gibbetfurthermost at domain.net>: Recipient
address rejected: User unknown in local rec
ipient table; from=<> to=<gibbetfurthermost at corestyle.net> proto=ESMTP
helo=<mail.dayen.com.tr>
Mich wundert auch das Mails ankommen, die mit leeren from=<> gesendet
werden, dabei habe
ich das in der main.cf stehen:
smtpd_data_restrictions =
reject_multi_recipient_bounce
... oder habe ich aus Euren Büchern etwas falsch erlesen? Langsam werde ich
unsicher :(
> > Sollte ich die Prozesse hochdrehen die postfix startet?
>
> Nein, trivial-rewrite reparieren.
Wiso geht der mit einmal kaputt?
Die Load ist derzeit wieder etwas weniger geworden. Ist denn die Anzahl der
Prozesse so korrekt ohne angaben?
> > smtp inet n - n - - smtpd
> > smtps inet n - n - - smtpd
> > -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
> > #submission inet n - n - - smtpd
> > # -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes -o
> > smtpd_etrn_restrictions=reject
>
> Fehlt hier ein führendes Leerzeichen? Und ein "-o" vielleicht noch
> dazu?
Ich habe diese in der master.cf aktiv und nicht auskommentiert:
smtp inet n - n - - smtpd
smtps inet n - n - - smtpd
-o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
rewrite unix - - n - - trivial-rewrite
bounce unix - - n - 0 bounce
defer unix - - n - 0 bounce
trace unix - - n - 0 bounce
verify unix - - n - 1 verify
flush unix n - n 1000? 0 flush
proxymap unix - - n - - proxymap
smtp unix - - n - - smtp
relay unix - - n - - smtp
showq unix n - n - - showq
error unix - - n - - error
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - n - 1 anvil
Wo soll da ein Leerzeichen fehlen? Die config ist so wie oben gepostet.
Sollte ich evtl. auch diese Zeile mit rein nehmen mit sinnigen Angaben
im smtpd?
-o smtp_helo_timeout=5 -o smtp_connect_timeout=5
> Wo ist postconf -n?
>
Hier:
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024 daemon_directory =
/usr/libexec/postfix debug_peer_level = 1 default_rbl_reply = $rbl_code
Service unavailable; $rbl_class [$rbl_what] blocked using $rbl_domain
header_checks = pcre:/etc/postfix/maps/header_checks
html_directory = no
inet_interfaces = all
local_recipient_maps = $alias_maps, $virtual_alias_maps mail_owner = postfix
mailbox_size_limit = 268435456 mailbox_transport =
lmtp:unix:/var/lib/imap/socket/lmtp
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
message_size_limit = 41943040
mime_header_checks = pcre:/etc/postfix/maps/mime_header_checks
mydestination = localhost.$mydomain, localhost.localdomain,
$myhostname, $mydomain,
mysql:/etc/postfix/mysqlmaps/mysql-mydestination.cf
mydomain = snitch.de
myhostname = mailrelay.snitch.de
myorigin = mailrelay.snitch.de
newaliases_path = /usr/bin/newaliases.postfix queue_directory =
/var/spool/postfix readme_directory =
/usr/share/doc/postfix-2.1.5/README_FILES
sample_directory = /usr/share/doc/postfix-2.1.5/samples
sender_canonical_maps = mysql:/etc/postfix/mysqlmaps/mysql-canonical.cf
sendmail_path = /usr/sbin/sendmail.postfix setgid_group = postdrop
smtp_helo_name = $myhostname smtp_tls_note_starttls_offer = yes smtp_use_tls
= yes smtpd_banner = Insentic - agentur fuer neue medien ESMTP $mail_name
($mail_version) smtpd_data_restrictions = reject_multi_recipient_bounce
smtpd_error_sleep_time = 1s smtpd_hard_error_limit = 20 smtpd_helo_required
= yes
smtpd_recipient_restrictions = reject_non_fqdn_sender,
reject_non_fqdn_recipient, check_recipient_access
pcre:/etc/postfix/maps/apostroph, reject_unknown_sender_domain,
reject_unknown_recipient_domain, permit_mynetworks,
permit_sasl_authenticated, reject_unauth_destination,
reject_unlisted_recipient, check_recipient_access
hash:/etc/postfix/maps/nogrey_norbl, reject_rbl_client zen.spamhaus.org,
reject_rbl_client list.dsbl.org, check_client_access
hash:/etc/postfix/maps/policyd_weight_whitelist,
reject_invalid_hostname, check_helo_access
pcre:/etc/postfix/maps/helo_checks, check_sender_mx_access
cidr:/etc/postfix/maps/bogus_mx check_recipient_access
hash:/etc/postfix/maps/nogreylisting, check_policy_service
inet:127.0.0.1:10023
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions =
check_sender_access hash:/etc/postfix/maps/check_sender
smtpd_soft_error_limit = 10
smtpd_tls_CAfile = /etc/postfix/ssl/mailrelay.snitch.de.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/mailrelay.snitch.de.pem
smtpd_tls_key_file = /etc/postfix/ssl/mailrelay.snitch.de.pem
smtpd_tls_loglevel = 0
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
soft_bounce = no
tls_random_source = dev:/dev/urandom
unknown_address_reject_code = 550
unknown_local_recipient_reject_code = 550 virtual_alias_maps =
hash:/etc/postfix/virtual, mysql:/etc/postfix/mysqlmaps/mysql-virtual.cf
Danke und lieben Gruß
Marcel
Mehr Informationen über die Mailingliste Postfixbuch-users