Пять дней назад очередь начала быстро забиваться, дошло до такого, что висело порядка 26к писем.
Пришлось все почистить, но темпы роста не останавливаются и забивается где-то на 10-15 писем в минуту. После порога в 3500 начинаются затруднения с отправкой и письма начинают отправляться в течении нескольких минутСейчас qmHandle показывает примерно такую статистику
Total messages: 3541
Messages with local recipients: 0
Messages with remote recipients: 3541
Messages with bounces: 3274
Messages in preprocess: 0. Т.е. если я правильно понимаю, большее количество сообщений это ответы моего сервера? почему они висят и не отправляются?
Куда копнуть глубже, что бы решить проблему и сбавить темпы. Сервер не релей
>. Т.е. если я правильно понимаю, большее количество сообщений это ответы моего
>сервера? почему они висят и не отправляются?А почему бы не заглянуть внутрь этих баунсов? Скорей всего, вас бомбят письмами на несуществующие ящики в вашем домене (что порождает баунсы), причем обратные адреса также несуществующи, что приводит к накоплению баунсов в вашей очереди.
>>. Т.е. если я правильно понимаю, большее количество сообщений это ответы моего
>>сервера? почему они висят и не отправляются?
>
>А почему бы не заглянуть внутрь этих баунсов? Скорей всего, вас бомбят
>письмами на несуществующие ящики в вашем домене (что порождает баунсы), причем
>обратные адреса также несуществующи, что приводит к накоплению баунсов в вашей
>очереди.Не подскажете, где именно можно просмотреть тела баунсов?
в /queue/bounce что-то не похоже на ответы моего сервера, похоже на ответы дургих серверов
а в /queue/mess выборочно потыкал, в основном спам
>Не подскажете, где именно можно просмотреть тела баунсов?Вот не подскажу, с кумейлом незнаком.
>>Не подскажете, где именно можно просмотреть тела баунсов?
>
>Вот не подскажу, с кумейлом незнаком.Похоже , что это не баунсы забивают очередь, а тонны спама, с разных адресов с одинаковым телом. Попали под атаку получается
--------------
RBL Не поднят
>Похоже , что это не баунсы забивают очередь, а тонны спама, с
>разных адресов с одинаковым телом. Попали под атаку получаетсяЧтобы такого не происходило, нужно настраивать MTA на реджект писем идущих на несуществующие адреса. Сразу после 'rcpt to' в smtp-сессии.
>>Похоже , что это не баунсы забивают очередь, а тонны спама, с
>>разных адресов с одинаковым телом. Попали под атаку получается
>
>Чтобы такого не происходило, нужно настраивать MTA на реджект писем идущих на
>несуществующие адреса. Сразу после 'rcpt to' в smtp-сессии.Надо переезжать на другой МТА, я думаю. Но как вырулить в текущей ситуации? спам, разные адреса, но один IP
>Надо переезжать на другой МТА, я думаю. Но как вырулить в текущей
>ситуации? спам, разные адреса, но один IPМожет быть, просто закрыть 25 порт для этого айпи?
Переезжать особого смысла нет, все МТА более-менее эквивалентны по функционалу, проще с кумейлом разобраться.А начинать нужно с проверки своего МТА на релей-пробой:
# telnet relay-test.mail-abuse.org
>Переезжать особого смысла нет, все МТА более-менее эквивалентны по функционалу, проще с
>кумейлом разобраться.А разве кумейл ещё развивается? Я слышал, что его давно забросили и завести его сейчас можно только наставив кучу патчей от разных умельцев... Или я ошибаюсь?
>>Переезжать особого смысла нет, все МТА более-менее эквивалентны по функционалу, проще с
>>кумейлом разобраться.
>
>А разве кумейл ещё развивается? Я слышал, что его давно забросили и
>завести его сейчас можно только наставив кучу патчей от разных умельцев...
>Или я ошибаюсь?Увы, но вы правы, большинство проблем решается только накатыванием патчей, что в данном случае смотрится как то не очень красиво.
127.:allow,RELAYCLIENT=""
:allow,RBLSMTPD=""содержимое tcp.smtp, при этом кто то умудряется все же рассылать через данный сервер спам, как такое возможно? и это не клиенты
>как такое возможно? и это не клиентыВы попробовали вот это:
# telnet relay-test.mail-abuse.org
?
При заходе телнетом без логина-пароля на указанный сервер, этот сервер начинает долбить ваш МТА на предмет возможностей отрелеить левую почту. Всего перебирается около двух десятков способов пробоя. При первом же пробое вам напишет, как именно пробивается ваш МТА. ПОсле устранения дыры - запускаете снова, и так до тех пор, пока не скажет, что отрелеить не удалось.
>[оверквотинг удален]
># telnet relay-test.mail-abuse.org
>
>?
>
>При заходе телнетом без логина-пароля на указанный сервер, этот сервер начинает долбить
>ваш МТА на предмет возможностей отрелеить левую почту. Всего перебирается около
>двух десятков способов пробоя. При первом же пробое вам напишет, как
>именно пробивается ваш МТА. ПОсле устранения дыры - запускаете снова, и
>так до тех пор, пока не скажет, что отрелеить не удалось.
>Попробовал, оказывается есть и дырка
>>> rcpt to: <"nobody%mail-abuse.org">
<<< 250 ok
вопрос только, как заштопать
>[оверквотинг удален]
>>так до тех пор, пока не скажет, что отрелеить не удалось.
>>
>
>Попробовал, оказывается есть и дырка
>
>>>> rcpt to: <"nobody%mail-abuse.org">
>
><<< 250 ok
>
>вопрос только, как заштопатьЕсть набор костылей, к-е патчат 90% кода qmail-smtpd и других модулей http://www.fehcom.de/qmail/spamcontrol.html
Там как раз есть способ заштопать эту дырку с % символом
>Попробовал, оказывается есть и дырка
>>>> rcpt to: <"nobody%mail-abuse.org">
><<< 250 ok
>вопрос только, как заштопатьК сожалению, с кумейлом не могу ничем помочь. Сам остановился на экзиме.
Опять через меня гору всякого слать начали, где же копать
>Опять через меня гору всякого слать начали, где же копатьДумаю, что в самом деле есть смысл обдумать переход на другой МТА.
Я использую exim-dovecot, если будут вопросы - попробую ответить.
>>Опять через меня гору всякого слать начали, где же копать
>
>Думаю, что в самом деле есть смысл обдумать переход на другой МТА.
>
>Я использую exim-dovecot, если будут вопросы - попробую ответить.Думаю что критерии то основные поставить успел в плане борьбы со спамерами
Хотелось бы
1 - ограничение на количество сессий. как в tcpserver, т.е. он может управлять им на основе загрузки сервера, по количеству и т.п.
2 - проверка обратной зоны
3 - проверка на валидность пользователей
4 - блэк-листы.---
Ну и в целом - виртуальные домены, желательно пользователей в базе и какое-то средство управления доменами. аля vpopmail
>Хотелось бы
>1 - ограничение на количество сессий. как в tcpserver, т.е. он может
>управлять им на основе загрузки сервера, по количеству и т.п.
>2 - проверка обратной зоны
>3 - проверка на валидность пользователей
>4 - блэк-листы.
>
>---
>Ну и в целом - виртуальные домены, желательно пользователей в базе и
>какое-то средство управления доменами. аля vpopmailНу, вот как у меня.
Есть экзим. Виртуальные домены, пользователи и алиасы в мускле, управляются постфиксадмином - по привычке. Входящая почта прогоняется ацлями на стадиях CONN и RCPT - здесь проверяется соответствие RFC, делается реверс-лукап и SPF, проверяются отправитель и получатели, проверяются блеклисты. Здесь, еще до получения тела письма, режется 95% спама. На стадии DATA письмо прогоняется спамассассином и, если грязное, получает хедер "Спам". Затем письмо сбрасывается довекоту для локал деливери в мейлдиры. Экзим и сам умеет локал деливери, но так а) концептуально красивее и б) можно задействовать сортировку почты средствами dovecot-sieve. Если в письме обнаруживается хедер "Спам", оно кладется юзеру не во входящие, а в "Junk".
>[оверквотинг удален]
>Есть экзим. Виртуальные домены, пользователи и алиасы в мускле, управляются постфиксадмином -
>по привычке. Входящая почта прогоняется ацлями на стадиях CONN и RCPT
> - здесь проверяется соответствие RFC, делается реверс-лукап и SPF, проверяются
>отправитель и получатели, проверяются блеклисты. Здесь, еще до получения тела письма,
>режется 95% спама. На стадии DATA письмо прогоняется спамассассином и, если
>грязное, получает хедер "Спам". Затем письмо сбрасывается довекоту для локал деливери
>в мейлдиры. Экзим и сам умеет локал деливери, но так а)
>концептуально красивее и б) можно задействовать сортировку почты средствами dovecot-sieve. Если
>в письме обнаруживается хедер "Спам", оно кладется юзеру не во входящие,
>а в "Junk".Спасибо за информацию, думаю стоит поковыряться в данном направлении и соскакивать с кумэйла в ближайшее время
>[оверквотинг удален]
>Есть экзим. Виртуальные домены, пользователи и алиасы в мускле, управляются постфиксадмином -
>по привычке. Входящая почта прогоняется ацлями на стадиях CONN и RCPT
> - здесь проверяется соответствие RFC, делается реверс-лукап и SPF, проверяются
>отправитель и получатели, проверяются блеклисты. Здесь, еще до получения тела письма,
>режется 95% спама. На стадии DATA письмо прогоняется спамассассином и, если
>грязное, получает хедер "Спам". Затем письмо сбрасывается довекоту для локал деливери
>в мейлдиры. Экзим и сам умеет локал деливери, но так а)
>концептуально красивее и б) можно задействовать сортировку почты средствами dovecot-sieve. Если
>в письме обнаруживается хедер "Спам", оно кладется юзеру не во входящие,
>а в "Junk".Перехал на Экзим, большинство проблем отпало. Благодарствую.