[Postfixbuch-users] policyd-weight auf mehreren Servern

[Robert Felber]

On Tue, May 29, 2007 at 01:14:54PM +0200, Stefan G. Weichinger wrote:
> 
> Grüsse,
> 
> anlässlich der Tatsache, daß die rejects auf meinen Servern seit knapp 2
> Wochen exorbitant angestiegen sind (an und für sich eh OK, das Zeug, das
> reinkommt, ist ca. gleichgeblieben), habe ich gestern endlich mal
> policyd-weight aktiviert. Zuvor hatte ich ein paar RBLs in der main.cf
> und Greylisting via policyd, jetzt eben policyd-weight plus das Greylisting.
> 
> Jetzt entstehen da so ein paar Fragen:
> 
> - Worauf basieren die weights in den defaults von policyd-weight?
>   Wie wurden/werden die festgelegt? Empirisch? Aus der Auswertung
> gewisser Server oder ...? Macht es Sinn, dort selbst zu schrauben?

- Empirisch, nach Mitteilungen von "echten" False Positives. 
- Macht es Sinn - eher nicht, bzw, nur wenn man sich die Muehe macht
  seine Verschraubungen selbst zu debuggen.

Folgendes Problem:
bzgrep "rate: " /var/log/mail/maillog* | perl -pse 's/.*rate: ([0-9.-]+).*/$1/' | sort -u | wc -l
    343

Das heisst, es gibt ~343 scoring Konstellationen, also, 343 unterschiedliche
Ergebnisse. Ich scheitere momentan an einer sinnvollen Dokumentation die
jeder versteht _und_ die Komplexitaet so beschreibt, dass man guten Gewissens
rumdoktern kann und biete von daher in der man-page/config-file nur 
erstmal die sinnvollsten settings an.

Der wichtigste Knopf, wenn man sich nicht weiter mit der Konfig befassen
moechte, ist $REJECTLEVEL.

RBLs hinzufuegen kann bereits kritisch werden wenn man andere scores
nicht entsprechend anpasst.

> - Wenn ich 2 MXs für eine Domain hab, wäre es wohl sinnvoll, beide
> Postfixes mit ein und demselben policyd-weight-Daemon reden zu lassen.
> 
> Das mit dem "$BIND_ADDRESS = 'all';" hab ich schon gelesen, das ist auch
> nicht die Frage.
> 
> Wieviel gewinne ich wirklich durch das Arbeiten mit einem gemeinsamen
> Daemon?

Du hast einen gemeinsam benutzten Cache. UU muessen div. clients nicht
mehrmals ausgewertet werden.

> Ich sehe den Vorteil darin, frage mich aber, ob ich damit nicht
> ein weiteres Risiko einbaue, wenn der Rechner mit dem policyd-Daemon
> abschmiert (ich meine, ich *weiss*, daß das das Risiko steigert, es geht
> mir um die Abwägung von Kosten/Nutzen ...).

Wenn er abschmiert, gibts ein 4xx.

> - Momentan lasse ich den Daemon per Zeile in der postfix-master.cf
> spawnen, das hab ich mir aus einem Posting in der Mailinglist gekupfert.
 
> Auf diese Weise würde aber obiges BIND-all-Szenario wohl nicht
> funktionieren, oder doch?

Nein, wuerde nicht.

 
> Meine Alternative wäre, den Daemon per runit am Laufen zu halten.

IIRC gibt es Probleme mit daemon-tools. Ich weiss nicht mehr, ob's da einen
workaround gab. Ich suche.


-- 
    Robert Felber (PGP: 896CF30B)
    Munich, Germany