Добрый день!

После того, как мы открыли наш sendmail для доступа из интернет, резко перегрузилась сеть.
Сам сендмейл (в нашем случае) отбивает спам атаки, но канал перегружен по 25-му порту.
25 порт нам нужен только на входящую почту, т.к. исходящая идет по 465.

У меня появилась идея дропать все пакеты, идущие на 25 порт и исходный порт у которых не 25. По моему разумению, основные почтовые системы должны в качестве исходящего порта использовать 25-й. Или я не прав?

Заранее спасибо за помощь!

• УОРПС дитектид,Andrey Mitrofanov, 13:06 , 26-Мрт-09
  • УОРПС дитектид,Medlar, 13:17 , 26-Мрт-09
  • УОРПС дитектид,snussi, 13:36 , 26-Мрт-09
    • не-не-не, я в этом ничено не,Andrey Mitrofanov, 15:43 , 26-Мрт-09
• sendmail+iptables,Medlar, 13:58 , 26-Мрт-09
  • sendmail+iptables,snussi, 14:31 , 26-Мрт-09
    • sendmail+iptables,tiv, 14:58 , 26-Мрт-09
• sendmail+iptables,snussi, 11:01 , 27-Мрт-09

http://www.spamtest.ru/document.html?context=15928&pubid=19240

спасибо за ссылку, повеселили, хорошо написано :)

>http://www.spamtest.ru/document.html?context=15928&pubid=19240

Спасибо, повеселили.
Но речь не очень о борьбе со спамом - с ним борется Касперский, и нас это вполне устраивает.
Речь о попытке разгрузить канал от не сильно нужного трафика.
Фактически, суть вопроса: можно ли утверждать, что соединение от большинства почтовых систем идет с 25-го порта?

>Касперский, и нас это вполне устраивает.

"Ненужный" трафик к Касперскому не попадает?
Получение и обработка входящего трафика (=писем в частности) -- таки принцип его действия... И именно это Вас устраивает. И именно с этим Вы боретесь?

>Речь о попытке разгрузить канал от не сильно нужного трафика.

Проверка rev.DNS; DNSBL; fail2ban на вх.smtp; может быть, даже geoip + iptables...

Переместить почту на другой канал (хостинг, сервис, провайдер...) - /этот/ разгрузится.

>что соединение от
>идет с 25-го порта?

Нет, конечно.

1. http://www.technoids.org/dossed.html
2. лучше используйте iptables с connlimit & ratelimit
http://www.debian-administration.org/articles/187

>У меня появилась идея дропать все пакеты, идущие на 25 порт и исходный порт у которых не 25.

То есть вы хотите на корню зарубить весь почтовый трафик?

Smtp-сессия. Юзер отправляет письмо из MUA (f.e. TheBat!) через родной сервер MTA_1 на сторонний сервер MTA_2:
MUA(client, порты >=1024)->MTA_1(server,по умолчанию 25 порт, у вас - 465) -
MTA_1 (сервер) закрывает smtp-сессию с MUA (код 221) и открывает новую сессию с MTA_2 уже как клиент:
MTA_1(client, порты >=1024)->MTA_2(server,25 порт)->(LDA|MTA_3) и т.д.

То есть MTA-это почтовый роутер, для него любой трафик и входящий, и исходящий.
И номер порта зависит от роли, которую он в данной сессии играет - сервера или клиента.

>[оверквотинг удален]
>на сторонний сервер MTA_2:
>MUA(client, порты >=1024)->MTA_1(server,по умолчанию 25 порт, у вас - 465) -
>MTA_1 (сервер) закрывает smtp-сессию с MUA (код 221) и открывает новую сессию
>с MTA_2 уже как клиент:
>MTA_1(client, порты >=1024)->MTA_2(server,25 порт)->(LDA|MTA_3) и т.д.
>
>То есть MTA-это почтовый роутер, для него любой трафик и входящий, и
>исходящий.
>И номер порта зависит от роли, которую он в данной сессии играет
>- сервера или клиента.

Понятно, спасибо за ссылки и ответ!

В вашем случае вам надо или канал расширить или вынести почту с вашего сервера, купите vps и настройте на нем sendmail или воспользуйтесь сервисом  «Защищённая почта» к вам будет поступать только чистый почтовый трафик

Всем спасибо за инфу!

На всякий случай выкладываю то, что сделано - может кому-то поможет или кто-то подправит...

1. Настроен дроп пакетов, как указано здесь: http://www.debian-administration.org/articles/187. Я разрелил не более 20 новых соединений в 10 секунд.
2. Подтюнингован сендмейл (ratecontrol), как указано здесь: http://www.technoids.org/dossed.html. 40 соединений в минуту.

На данный момент система подразгрузилась.
tiv, еще раз огромное спасибо!