Re: Ratelimit für sasl_username

[Achim Lammerts]

Hi Hanns,
auch das lässt sich für smtps oder submission getrennt setzen, z. B.:

submission inet n       -       n       -       -       smtpd
   ...
   -o smtpd_client_message_rate_limit=2
   -o anvil_rate_time_unit=60s
   ...

Ich versuche immer, die vorhandenen Mittel auszureizen, bevor ich noch 
ein weiteres Tool installiere.

Vielleicht hilft Dir diese Regel bei postfwd weiter (ungetestet):
sasl_username=~/^(\S+)$/
action=rcpt(sasl_username/1000/86400/450 4.7.1\ only 1000 messages per 
day for $$sasl_username)

Außerdem sollte permit_mynetworks NACH permit_sasl_authenticated in den 
smtpd_*_restrictions gelistet werden …

LG/A

Am 22.02.22 um 18:00 schrieb Hanns Mattes:
> Hei,Achim,
> 
> Am 22.02.22 um 17:47 schrieb Achim Lammerts:
>> Man kann das auch direkt mit Postfix abbilden:
>> https://www.postfix.org/postconf.5.html#smtpd_client_message_rate_limit
>>
>> smtpd_client_message_rate_limit = 2
>> anvil_rate_time_unit = 60s
> 
> Ja, das kenne ich. Auf postfwd kam ich eigentlich, weil das extrem 
> vielseitig ist - mal sehen, was ich irgendwann noch brauche.
> 
>> Diese Einstellung erlaubt z. B. 2 Nachrichten pro Minute.
>> Was spricht dagegen, auch eingehenden Traffic zu limitieren? Was 
>> machst Du bei einer DDOS-Attacke auf den Dienst?
> 
> Gegen eine Limitierung der eingehenden Nachrichten spricht überhaupt 
> nichts, nur möchte ich da andere Grenzen setzen. Bei den gezeigten 
> Beispielen habe ich auch schon Absender limitiert, auf die ich gar nicht 
> gezielt habe.
> 
> Dank und Gruß
> 
> Hanns