URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 89258
[ Назад ]

Исходное сообщение
"Qmail и очередь"

Отправлено nikosh , 29-Июн-10 11:13 
Пять дней назад очередь начала быстро забиваться, дошло до такого, что висело порядка 26к писем.
Пришлось все почистить, но темпы роста не останавливаются и забивается где-то на 10-15 писем в минуту. После порога в 3500 начинаются затруднения с отправкой и письма начинают отправляться в течении нескольких минут

Сейчас qmHandle показывает примерно такую статистику

Total messages: 3541
Messages with local recipients: 0
Messages with remote recipients: 3541
Messages with bounces: 3274
Messages in preprocess: 0

. Т.е. если я правильно понимаю, большее количество сообщений это ответы моего сервера? почему они висят и не отправляются?
Куда копнуть глубже, что бы решить проблему и сбавить темпы. Сервер не релей


Содержание

Сообщения в этом обсуждении
"Qmail и очередь"
Отправлено DeadLoco , 29-Июн-10 11:20 
>. Т.е. если я правильно понимаю, большее количество сообщений это ответы моего
>сервера? почему они висят и не отправляются?

А почему бы не заглянуть внутрь этих баунсов? Скорей всего, вас бомбят письмами на несуществующие ящики в вашем домене (что порождает баунсы), причем обратные адреса также несуществующи, что приводит к накоплению баунсов в вашей очереди.


"Qmail и очередь"
Отправлено nikosh , 29-Июн-10 11:36 
>>. Т.е. если я правильно понимаю, большее количество сообщений это ответы моего
>>сервера? почему они висят и не отправляются?
>
>А почему бы не заглянуть внутрь этих баунсов? Скорей всего, вас бомбят
>письмами на несуществующие ящики в вашем домене (что порождает баунсы), причем
>обратные адреса также несуществующи, что приводит к накоплению баунсов в вашей
>очереди.

Не подскажете, где именно можно просмотреть тела баунсов?
в /queue/bounce что-то не похоже на ответы моего сервера, похоже на ответы дургих серверов
а в /queue/mess выборочно потыкал, в основном спам


"Qmail и очередь"
Отправлено DeadLoco , 29-Июн-10 11:40 
>Не подскажете, где именно можно просмотреть тела баунсов?

Вот не подскажу, с кумейлом незнаком.


"Qmail и очередь"
Отправлено nikosh , 29-Июн-10 11:47 
>>Не подскажете, где именно можно просмотреть тела баунсов?
>
>Вот не подскажу, с кумейлом незнаком.

Похоже , что это не баунсы забивают очередь, а тонны спама, с разных адресов с одинаковым телом. Попали под атаку получается
--------------
RBL Не поднят


"Qmail и очередь"
Отправлено теоретик , 29-Июн-10 12:01 
>Похоже , что это не баунсы забивают очередь, а тонны спама, с
>разных адресов с одинаковым телом. Попали под атаку получается

Чтобы такого не происходило, нужно настраивать MTA на реджект писем идущих на несуществующие адреса. Сразу после 'rcpt to' в smtp-сессии.


"Qmail и очередь"
Отправлено nikosh , 29-Июн-10 12:03 
>>Похоже , что это не баунсы забивают очередь, а тонны спама, с
>>разных адресов с одинаковым телом. Попали под атаку получается
>
>Чтобы такого не происходило, нужно настраивать MTA на реджект писем идущих на
>несуществующие адреса. Сразу после 'rcpt to' в smtp-сессии.

Надо переезжать на другой МТА, я думаю. Но как вырулить в текущей ситуации? спам, разные адреса, но один IP


"Qmail и очередь"
Отправлено DeadLoco , 29-Июн-10 12:19 
>Надо переезжать на другой МТА, я думаю. Но как вырулить в текущей
>ситуации? спам, разные адреса, но один IP

Может быть, просто закрыть 25 порт для этого айпи?
Переезжать особого смысла нет, все МТА более-менее эквивалентны по функционалу, проще с кумейлом разобраться.

А начинать нужно с проверки своего МТА на релей-пробой:

# telnet relay-test.mail-abuse.org


"Qmail и очередь"
Отправлено теоретик , 29-Июн-10 12:26 
>Переезжать особого смысла нет, все МТА более-менее эквивалентны по функционалу, проще с
>кумейлом разобраться.

А разве кумейл ещё развивается? Я слышал, что его давно забросили и завести его сейчас можно только наставив кучу патчей от разных умельцев... Или я ошибаюсь?


"Qmail и очередь"
Отправлено nikosh , 29-Июн-10 12:27 
>>Переезжать особого смысла нет, все МТА более-менее эквивалентны по функционалу, проще с
>>кумейлом разобраться.
>
>А разве кумейл ещё развивается? Я слышал, что его давно забросили и
>завести его сейчас можно только наставив кучу патчей от разных умельцев...
>Или я ошибаюсь?

Увы, но вы правы, большинство проблем решается только накатыванием патчей, что в данном случае смотрится как то не очень красиво.


"Qmail и очередь"
Отправлено nikosh , 29-Июн-10 14:02 
127.:allow,RELAYCLIENT=""
:allow,RBLSMTPD=""

содержимое tcp.smtp, при этом кто то умудряется все же рассылать через данный сервер спам, как такое возможно? и это не клиенты


"Qmail и очередь"
Отправлено DeadLoco , 29-Июн-10 22:33 
>как такое возможно? и это не клиенты

Вы попробовали вот это:

# telnet relay-test.mail-abuse.org

?

При заходе телнетом без логина-пароля на указанный сервер, этот сервер начинает долбить ваш МТА на предмет возможностей отрелеить левую почту. Всего перебирается около двух десятков способов пробоя. При первом же пробое вам напишет, как именно пробивается ваш МТА. ПОсле устранения дыры - запускаете снова, и так до тех пор, пока не скажет, что отрелеить не удалось.


"Qmail и очередь"
Отправлено nikosh , 30-Июн-10 06:47 
>[оверквотинг удален]
># telnet relay-test.mail-abuse.org
>
>?
>
>При заходе телнетом без логина-пароля на указанный сервер, этот сервер начинает долбить
>ваш МТА на предмет возможностей отрелеить левую почту. Всего перебирается около
>двух десятков способов пробоя. При первом же пробое вам напишет, как
>именно пробивается ваш МТА. ПОсле устранения дыры - запускаете снова, и
>так до тех пор, пока не скажет, что отрелеить не удалось.
>

Попробовал, оказывается есть и дырка

>>> rcpt to: <"nobody%mail-abuse.org">

<<< 250 ok

вопрос только, как заштопать


"Qmail и очередь"
Отправлено Vitaly_loki , 30-Июн-10 08:45 
>[оверквотинг удален]
>>так до тех пор, пока не скажет, что отрелеить не удалось.
>>
>
>Попробовал, оказывается есть и дырка
>
>>>> rcpt to: <"nobody%mail-abuse.org">
>
><<< 250 ok
>
>вопрос только, как заштопать

Есть набор костылей, к-е патчат 90% кода qmail-smtpd и других модулей http://www.fehcom.de/qmail/spamcontrol.html

Там как раз есть способ заштопать эту дырку с % символом


"Qmail и очередь"
Отправлено DeadLoco , 30-Июн-10 14:18 
>Попробовал, оказывается есть и дырка
>>>> rcpt to: <"nobody%mail-abuse.org">
><<< 250 ok
>вопрос только, как заштопать

К сожалению, с кумейлом не могу ничем помочь. Сам остановился на экзиме.


"Qmail и очередь"
Отправлено nikosh , 30-Июн-10 14:31 
Опять через меня гору всякого слать начали, где же копать

"Qmail и очередь"
Отправлено DeadLoco , 30-Июн-10 14:41 
>Опять через меня гору всякого слать начали, где же копать

Думаю, что в самом деле есть смысл обдумать переход на другой МТА.
Я использую exim-dovecot, если будут вопросы - попробую ответить.


"Qmail и очередь"
Отправлено nikosh , 30-Июн-10 15:20 
>>Опять через меня гору всякого слать начали, где же копать
>
>Думаю, что в самом деле есть смысл обдумать переход на другой МТА.
>
>Я использую exim-dovecot, если будут вопросы - попробую ответить.

Думаю что критерии то основные поставить успел в плане борьбы со спамерами
Хотелось бы
1 - ограничение на количество сессий. как в tcpserver, т.е. он может управлять им на основе загрузки сервера, по количеству и т.п.
2 - проверка обратной зоны
3 - проверка на валидность пользователей
4 - блэк-листы.

---
Ну и в целом - виртуальные домены, желательно пользователей в базе и какое-то средство управления доменами. аля vpopmail


"Qmail и очередь"
Отправлено DeadLoco , 30-Июн-10 19:33 
>Хотелось бы
>1 - ограничение на количество сессий. как в tcpserver, т.е. он может
>управлять им на основе загрузки сервера, по количеству и т.п.
>2 - проверка обратной зоны
>3 - проверка на валидность пользователей
>4 - блэк-листы.
>
>---
>Ну и в целом - виртуальные домены, желательно пользователей в базе и
>какое-то средство управления доменами. аля vpopmail

Ну, вот как у меня.

Есть экзим. Виртуальные домены, пользователи и алиасы в мускле, управляются постфиксадмином - по привычке. Входящая почта прогоняется ацлями на стадиях CONN и RCPT  - здесь проверяется соответствие RFC, делается реверс-лукап и SPF, проверяются отправитель и получатели, проверяются блеклисты. Здесь, еще до получения тела письма, режется 95% спама. На стадии DATA письмо прогоняется спамассассином и, если грязное, получает хедер "Спам". Затем письмо сбрасывается довекоту для локал деливери в мейлдиры. Экзим и сам умеет локал деливери, но так а) концептуально красивее и б) можно задействовать сортировку почты средствами dovecot-sieve. Если в письме обнаруживается хедер "Спам", оно кладется юзеру не во входящие, а в "Junk".


"Qmail и очередь"
Отправлено nikosh , 30-Июн-10 19:37 
>[оверквотинг удален]
>Есть экзим. Виртуальные домены, пользователи и алиасы в мускле, управляются постфиксадмином -
>по привычке. Входящая почта прогоняется ацлями на стадиях CONN и RCPT
> - здесь проверяется соответствие RFC, делается реверс-лукап и SPF, проверяются
>отправитель и получатели, проверяются блеклисты. Здесь, еще до получения тела письма,
>режется 95% спама. На стадии DATA письмо прогоняется спамассассином и, если
>грязное, получает хедер "Спам". Затем письмо сбрасывается довекоту для локал деливери
>в мейлдиры. Экзим и сам умеет локал деливери, но так а)
>концептуально красивее и б) можно задействовать сортировку почты средствами dovecot-sieve. Если
>в письме обнаруживается хедер "Спам", оно кладется юзеру не во входящие,
>а в "Junk".

Спасибо за информацию, думаю стоит поковыряться в данном направлении и соскакивать с кумэйла в ближайшее время


"Qmail и очередь"
Отправлено nikosh , 05-Авг-10 14:53 

>[оверквотинг удален]
>Есть экзим. Виртуальные домены, пользователи и алиасы в мускле, управляются постфиксадмином -
>по привычке. Входящая почта прогоняется ацлями на стадиях CONN и RCPT
> - здесь проверяется соответствие RFC, делается реверс-лукап и SPF, проверяются
>отправитель и получатели, проверяются блеклисты. Здесь, еще до получения тела письма,
>режется 95% спама. На стадии DATA письмо прогоняется спамассассином и, если
>грязное, получает хедер "Спам". Затем письмо сбрасывается довекоту для локал деливери
>в мейлдиры. Экзим и сам умеет локал деливери, но так а)
>концептуально красивее и б) можно задействовать сортировку почты средствами dovecot-sieve. Если
>в письме обнаруживается хедер "Спам", оно кладется юзеру не во входящие,
>а в "Junk".

Перехал на Экзим, большинство проблем отпало. Благодарствую.