Rate Limit für bestimmte IP-Adressen bzw. Subnetze

[rog7993 at web.de]

Hallo,

ich suche nach einer Möglichkeit, die Anzahl der Mails zu begrenzen, die ein bestimmter Rechner pro
Zeiteinheit an unser Mailgateway versenden darf. Es geht um einen Rechner in der DMZ, wo die
Webanwendung gelegentlich mal eine Mail an den Nutzer verschickt. Hauptsächlich möchte ich mitbekommen,
wenn der Rechner auffällig wird und z.B. Massenspam verschickt, bzw. den Schaden zumindest begrenzen.
Ich hege ein gewisses Misstrauen gegen diesen Rechner. ;-) Der normale ein- und ausgehende Mailverkehr
soll nicht reguliert werden.

Dies wären wohl die passenden Parameter:

   smtpd_client_connection_rate_limit
   smtpd_client_message_rate_limit

in Verbindung mit

   anvil_rate_time_unit

Wie begrenzt man deren Wirkung, so dass sie nur auf die IP-Adresse dieses einen Rechners wirken bzw. auf
ein ganzes Subnetz? Wäre dies das Mittel der Wahl?

   smtpd_client_event_limit_exceptions

Der Default ist offenbar "$mynetworks", also der ausgehende Mailverkehr. Wenn ich den normalen
eingehenden Mailverkehr ebenfalls nicht beschränken will, müsste ich also die IP-Adressbereiche, die von
extern an das Mailgateway schicken dürfen, ebenfalls dort eintragen, oder? In unserem Fall geht dies, da
wir nicht direkt aus dem Internet Mails empfangen, sondern noch ein Dienstleister dazwischen hängt, der
auf Spam und Schadsoftware filtert. Bzw. man könnte ja mit Negation arbeiten, also z.B.

   smtpd_client_event_limit_exceptions = !dmz_network

Alternativ wäre es natürlich denkbar, einen weiteren smtpd auf einem zweiten Port oder einer eigenen
IP-Adresse laufen zu lassen, wo man dann diese Parameter verwendet. Aber das gefällt mir nicht so wirklich.

Liege ich mit meinem Lösungsansatz richtig?

Viele Grüße,
Ingo


PS: Ich habe in der Postfix-Dokumentation diese Warnung gelesen, halte die Nutzung dieser Parameter in
diesem Fall aber für akzeptabel:

"WARNING: The purpose of this feature is to limit abuse. It must not be used to regulate legitimate mail
traffic."