[Postfixbuch-users] Postfix Tuning - Rückmeldung an P. Heinlein

Peer Heinlein p.heinlein at heinlein-support.de
So Jan 13 19:09:35 CET 2008 

Am Sonntag, 13. Januar 2008 schrieb stepken:

> Google, die mit Spam überflutet werden und der Mensch hat einfach die
> Weiterleitung auf unseren Mailserver aktiviert. Folge: Von Google kamen
> so viele Mails / Sekunde, dass Spamassassin völlig überlastet war.  Bei
> 10 Mails / Sekunde kommt er noch klar, aber bei mehr als 15 /Sekunde
> stieg die Last des Xeons auf über 30 an. Problem dabei: Ausgehende Mail

Das hat dann aber nix mit Google zu tun, sondern ist dann eben eine ganz 
grundsätzlich falsche Konfiguration. Ich empfehle Kapitel 11 und insb. 
11.4 ab Seite 258. Ganz egal wer wieviel von Dir will -- Dein Server hat 
nicht zusammenzubrechen.

> Was ich wollte, was, dass ich ganz selektiv die Google Phalanx von
> sendenden Servern herunterbremse, jedoch aus anderen Richtungen des
> Internets ganz normal Mail mit normaler Geschwindigkeit annehme.

Das finde ich suboptimal.

Warum Google ausbremsen, anstatt das Problem generell zu Lösen? Ergebnis 
ist, daß Dich jeder andere x-beliebige Mailser ebenso aufs Kreuz legen 
und ausknocken kann.  Und, ja, das WIRD passieren.

Neben der Tatsache, daß Du Deinen Server allgemein soweit absichern mußt, 
daß er nur soviele Mails annimmt, wie er auch performant verkraften kann 
(s.o. Kapitel 11.4) mußt Du ggf. nur noch dafür sorgen, daß Google 
alleine nicht zuviele Resourcen von Dir klaut.

Das steht in

"Measures against clients that make too many connections"

in

http://www.postfix.org/TUNING_README.html

> Ziel war, dass ich die meinen Mailserver überlastenden Server bremse,

..was im Zweifel ja ALLE Clients sein können, die mal auf Dich einstürmen.

> aber nur diese. Ich will ein Mittel gegen DoS selektiv aus einer bzw.
> mehreren Richtungen gleichzeitig. Wenn also jemand mir 2000000 Mails
> mit Attachment je Sekunde schicken will, so soll ausschliesslich dieser
> ausgebremst werden, aber nicht die anderen Mailserver.

Das macht das Limiting in oben besagtem Readme.

> #!/bin/bash
> iptables -F
> iptables -X smtpschutz
> iptables -N smtpschutz
> iptables -A INPUT -p tcp --dport 80 --syn -j smtpschutz
> iptables -A smtpschutz -m limit --limit 10/second --limit-burst 20 -j
> RETURN iptables -A smtpschutz -j LOG --log-prefix "IPTABLES: SMTP
> OVERLOAD " iptables -A smtpschutz -j DROP
>
> und Ruhe war im Karton. Ich habe dann das Burst - Limit noch ein wenig
> feingetunt. Aber so lief das System sauber rund.

Eine Methode, aber warum nicht einfach Postfix das ganze sauber selber 
machen lassen...

Lieben Gruß

Peer



-- 
Heinlein Professional Linux Support GmbH
Linux: Akademie - Support - Hosting

http://www.heinlein-support.de

Zwangsangaben lt. §35a GmbHG:
HRB 93818 B / Amtsgericht Berlin-Charlottenburg, 
Geschäftsführer: Peer Heinlein  -- Sitz: Berlin

Mehr Informationen über die Mailingliste Postfixbuch-users