Добрый день!После того, как мы открыли наш sendmail для доступа из интернет, резко перегрузилась сеть.
Сам сендмейл (в нашем случае) отбивает спам атаки, но канал перегружен по 25-му порту.
25 порт нам нужен только на входящую почту, т.к. исходящая идет по 465.У меня появилась идея дропать все пакеты, идущие на 25 порт и исходный порт у которых не 25. По моему разумению, основные почтовые системы должны в качестве исходящего порта использовать 25-й. Или я не прав?
Заранее спасибо за помощь!
http://www.spamtest.ru/document.html?context=15928&pubid=19240
спасибо за ссылку, повеселили, хорошо написано :)
>http://www.spamtest.ru/document.html?context=15928&pubid=19240Спасибо, повеселили.
Но речь не очень о борьбе со спамом - с ним борется Касперский, и нас это вполне устраивает.
Речь о попытке разгрузить канал от не сильно нужного трафика.
Фактически, суть вопроса: можно ли утверждать, что соединение от большинства почтовых систем идет с 25-го порта?
>Касперский, и нас это вполне устраивает."Ненужный" трафик к Касперскому не попадает?
Получение и обработка входящего трафика (=писем в частности) -- таки принцип его действия... И именно это Вас устраивает. И именно с этим Вы боретесь?>Речь о попытке разгрузить канал от не сильно нужного трафика.
Проверка rev.DNS; DNSBL; fail2ban на вх.smtp; может быть, даже geoip + iptables...
Переместить почту на другой канал (хостинг, сервис, провайдер...) - /этот/ разгрузится.
>что соединение от
>идет с 25-го порта?Нет, конечно.
1. http://www.technoids.org/dossed.html
2. лучше используйте iptables с connlimit & ratelimit
http://www.debian-administration.org/articles/187>У меня появилась идея дропать все пакеты, идущие на 25 порт и исходный порт у которых не 25.
То есть вы хотите на корню зарубить весь почтовый трафик?
Smtp-сессия. Юзер отправляет письмо из MUA (f.e. TheBat!) через родной сервер MTA_1 на сторонний сервер MTA_2:
MUA(client, порты >=1024)->MTA_1(server,по умолчанию 25 порт, у вас - 465) -
MTA_1 (сервер) закрывает smtp-сессию с MUA (код 221) и открывает новую сессию с MTA_2 уже как клиент:
MTA_1(client, порты >=1024)->MTA_2(server,25 порт)->(LDA|MTA_3) и т.д.То есть MTA-это почтовый роутер, для него любой трафик и входящий, и исходящий.
И номер порта зависит от роли, которую он в данной сессии играет - сервера или клиента.
>[оверквотинг удален]
>на сторонний сервер MTA_2:
>MUA(client, порты >=1024)->MTA_1(server,по умолчанию 25 порт, у вас - 465) -
>MTA_1 (сервер) закрывает smtp-сессию с MUA (код 221) и открывает новую сессию
>с MTA_2 уже как клиент:
>MTA_1(client, порты >=1024)->MTA_2(server,25 порт)->(LDA|MTA_3) и т.д.
>
>То есть MTA-это почтовый роутер, для него любой трафик и входящий, и
>исходящий.
>И номер порта зависит от роли, которую он в данной сессии играет
>- сервера или клиента.Понятно, спасибо за ссылки и ответ!
В вашем случае вам надо или канал расширить или вынести почту с вашего сервера, купите vps и настройте на нем sendmail или воспользуйтесь сервисом «Защищённая почта» к вам будет поступать только чистый почтовый трафик
Всем спасибо за инфу!На всякий случай выкладываю то, что сделано - может кому-то поможет или кто-то подправит...
1. Настроен дроп пакетов, как указано здесь: http://www.debian-administration.org/articles/187. Я разрелил не более 20 новых соединений в 10 секунд.
2. Подтюнингован сендмейл (ratecontrol), как указано здесь: http://www.technoids.org/dossed.html. 40 соединений в минуту.На данный момент система подразгрузилась.
tiv, еще раз огромное спасибо!