[postfix-users] Einstellung zum Schutz vor Masssenmails

Christian Boltz postfix-users at cboltz.de
So Aug 12 15:24:21 CEST 2012 

Hallo Franc, hallo Leute,

Am Mittwoch, 8. August 2012 schrieb francwalter at gmx.net:
> ich habe einen Postfix 2.9.3-2 auf Ubuntu 12.04 laufen und gerade das
> Problem, dass ein Massenmail (Serienmail mit über 500 Adressaten) das
> über eine Warenwirtschaft (Büro Plus Next) versendet wird, dort sehr
> schnell mit unklaren Fehlermeldungen abgebrochen wird. 

Nachdem hier alle die Erhöhung diverser Limits durchgekaut haben - 
manchmal ist auch das Gegenteil sinnvoll ;-)

Ich hatte mal den Fall, dass der interne Mailserver eines Kunden seine 
Mails in vielen gleichzeitigen Verbindungen übertragen wollte. 
Dummerweise stand er hinter einer recht dünnen Leitung, sodass die 
einzelnen Verbindungen kaum noch Bandbreite bekamen und in Timeouts 
liefen.
Das hat sich dann hochgeschaukelt - immer mehr Mails warteten auf ihren 
Versand, es wurden mehr Verbindungen aufgemacht, die mangels Bandbreite 
ziemlich sicher einen Timeout bekamen, ...

Ich habe das Problem mit
    smtpd_client_connection_count_limit=2
(maximal 2 Verbindungen pro IP) gelöst. Das klingt erstmal nach 
Ausbremsen - in der Praxis hat der Kunde seine Mail aber recht schnell 
rausbekommen (viel allem schneller als mit den ganzen Timeouts ;-)

Ein positiver Nebeneffekt ist die DoS-Vorbeugung - mit dieser 
Einstellung kann Dir eine einzelne IP nicht mehr alle smtpd blockieren.

Wichtig: für localhost:10025 (den Amavis-"Rückkanal") musst Du in der 
master.cf ein höheres Limit setzen, sonst wird es lustig[tm].

> Im Mail-Log des Servers ist kein Hinweis auf eine Ablehnung, ein paar
> Mails des Serienmails sind dort zu finden, aber dann hört es auf.
> Kein Fehler dort.

Auch keine Hinweise auf Timeouts, Lost Connection o. ä.?
Verfolge mal alles ab dem Connect (z. B. anhand der pid) - irgendwas 
steht garantiert im Log, und im Zweifelsfall hilft ein Vergleich mit 
einer funktionierenden Mail, um rauszufinden, wo es hakt.


Gruß

Christian Boltz
-- 
netstat -tulpen ... nein rosen geht nicht.
[Daniel Lord in suse-linux]

Mehr Informationen über die Mailingliste postfix-users