FreeBSD + Postfix: > 7000 Requests in Warteschlange

findus · 17 Juni 2008

Moin Moin.

Das Szenario in Kurz: Wir betreiben bereits seit geraumer Zeit einen Mail-Relay auf Basis von FreeBSD und Postfix der dazu dient, einkommende E-Mails auf SPAM zu überprüfen und an den internen Exchange-Server weiterzuleiten. (Ausgehende E-Mails werden ebenfalls über das System verschickt.)

In der Vergangenheit lief der Server super, allerdings haben wir vor kurzem den ISP gewechselt und damit neue öffentliche IP-Adressen erhalten.

Nach der Umstellung der IP-Adresse auf unserem Mail-Server kommt es nun zu gravierenden Problemen. Im Augenblick ist die E-Mail-Queue nämlich 7000 E-Mails groß, und eine Zustellung (ob von extern -> intern oder umgekehrt) stark verzögert. Als Filter-System setzen wir Spam-Assassin ein. Bei den E-Mails in der Queue handelt es sich hauptsächlich um SPAM-Mails und Bounces (wobei ich das Performance-Technisch auch noch verbessern möchte, bzw. muss)

Was auffällt ist:

1. Bestimmte E-Mails erreichen gar nicht erst den Ziel-Host mit der Begründung:
< mail.xxx.de #5.0.0 smtp; 550 inconsistent or no DNS PTR record for IP-Adresse (see RFC 1912 2.1)>

2. Es finden sich vermehrt Einträge wie:
# (host mail.xxx.tld[IP-Adresse] said: 421 Refused. You have no reverse DNS entry. (in reply to RCPT TO command))

oder

(host ptm2.xxx.tld[IP-Adresse] said: 450 4.7.1 Client host rejected: cannot find your reverse hostname, [IP-Adresse] (in reply to RCPT TO command))

Bei den Fehlermeldungen sollte es ja eigentlich einfach sein, das Problem zu lösen - aber offensichtlich habe ich ein Brett vor dem Kopf.

Meine erste Vermutung: Es fehlt der R(everse)DNS-Eintrag, allerdings haben wir diesen nie besessen, so dass ich davon ausgehe, dass das Problem lokal auf dem Server zu suchen ist. Ich denke da an den Hostnamen

cat /etc/hosts:

::1 localhost.domain-standort.local localhost
127.0.0.1 localhost.domain-standort.local localhost
IP-Adresse gemini.domain.local gemini
IP-Adresse gemini.domain.local.

Ein hostname ergibt:
gemini.domain.local

postconf -n sagt zum Thema hostname:
mydomain = domain.tld (unsere tatsächliche Domain)
myhostname = mail.domain.tld (unser tatsächlicher Hostname)

Nach meinem Verständnis sind die Einträge in der /etc/hosts falsch, allerdings finde ich bislang keine sichere Quelle zur korrekten Umstellung. Was meint ihr? Ich würde nämlich die beiden Einträge (gemini.domain.local ...) gegen mail.domain.tld (unseren tatsächlichen Hostnamen) ändern. Aber es hat bis zur Umstellung ja eigentlich funktioniert. Ich bin einfach ratlos...

Viele Grüße Björn

mapet · 17 Juni 2008

die antworten der anderen mailserver sind in der tat so, dass diese deinen namen nicht reverse (dig -x <ip-adresse>) auflösen können. also an den isp wenden, der soll das entweder einrichten oder euch die verwaltung der reverse-dns anvertrauen.

EDIT: und falls das nur die eine ip wäre, kann er nen entsprechenden CNAME einrichten, den du dann auflöst. so wird das ja auch mit teilnetzen gehandhabt, wenn man kein komplettes class c-netz zur verfügung gestellt bekommt.

nagel · 17 Juni 2008

oder reverse dns in main.conf von postfix mittels "disable_dns_lookups = yes" deaktivieren

mapet · 17 Juni 2008

das hilft aber nicht viel, wenn der empfänger einen reverse-lookup macht und dann die mails ablehnt (weil eigentlich sollten beim mailserver die ip vorwärts und rückwärts aufgelöst werden können).

findus · 17 Juni 2008

Also vielen Dank erst einmal für eure Hilfe. Morgen früh wird die Erstellung eines RDNS-Eintrages von der Seite unseres ISPs vorgenommen. Wir haben bei dem Umzug anscheinend vergessen auf diesen zu achten - ärgerlich.

Was ich mich allerdings frage ist, ob durch den fehlenden Eintrag auch die Performance-Probleme mit einer Queue von > 7000 E-Mails erklärt werden können. Ich bin gespannt - im Augenblick ist diese auf knapp 3000 geschrumpft, die Zustellung von E-Mails dauert aber auch weiterhin viel zu lange (knapp 20 Minuten).

Ich melde mich morgen noch einmal abschließend. Euch einen schönen Feierabend und soweit erst einmal vielen, vielen Dank :-)

Björn

findus · 18 Juni 2008

Moin. Mittlerweile haben wir den fehlenden RDNS-Eintrag nachtragen lassen (aktiv seit ca. 30 Minuten). Das dies zu wenig ist, bis dieser sich "rumgesprochen" hat, ist mir klar. Allerdings frage ich mich, ob das oben geschilderte Szenario nicht eigentlich gleich zwei Probleme birgt. Neben dem RDNS-Eintrag haben wir im Augenblick das Problem, dass sich unsere E-Mail-Queue von knapp 1000 E-Mails (vor 10 Minuten) rasend schnell auf ca. 2500 E-Mails erhöht. Die Anzahl an E-Mails in der Queue steigt weiter in erschreckendem Tempo. Mit fällt es schwer, dieses Problem nur auf einen fehlenden RDNS-Eintrag zurückzuführen, vermute auch, dass unser E-Mail-Server ein Problem mit "SPAM-Stürmen" hat. Anders kann ich mir das nicht erklären. Im Augenblick sieht unser Log z.B. so aus:

Code:

Jun 18 12:18:25 gemini postfix/smtpd[71747]: 0447922E48: client=unknown[220.180.211.233]
Jun 18 12:18:25 gemini postfix/smtpd[71761]: 33AE422F44: client=92-50-124-91.pool.ukrtel.net[91.124.50.92]
Jun 18 12:18:25 gemini spamd[71095]: spamd: identified spam (33.6/5.0) for filter:23 in 3.4 seconds, 2015 bytes.
Jun 18 12:18:25 gemini spamd[71095]: spamd: result: Y 33 - BAYES_99,HELO_DYNAMIC_IPADDR,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_BOUND_NEXTPART,NASTY_GIRLS,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SC_SURBL scantime=3.4,size=2015,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=64188,mid=<1b2d01c8d12b$fd0fd010$aefd4c5b@Ben>,bayes=1,autolearn=spam
Jun 18 12:18:25 gemini postfix/pipe[71730]: 7018A22C5A: to=<reynolds@domain.com>, relay=spamfilter, delay=347, delays=1.3/329/0/17, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:25 gemini postfix/qmgr[45149]: 7018A22C5A: removed
Jun 18 12:18:25 gemini postfix/pickup[73526]: 4E60022F9E: uid=23 from=<nvysai@boots.com>
Jun 18 12:18:25 gemini postfix/cleanup[73321]: 4E60022F9E: message-id=<1b2d01c8d12b$fd0fd010$aefd4c5b@Ben>
Jun 18 12:18:25 gemini postfix/qmgr[45149]: 4E60022F9E: from=<nvysai@boots.com>, size=6119, nrcpt=1 (queue active)
Jun 18 12:18:25 gemini spamd[71095]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 49154
Jun 18 12:18:25 gemini spamd[71095]: spamd: setuid to filter succeeded
Jun 18 12:18:25 gemini spamd[71095]: spamd: processing message <012b01c72df9$922dcc10$c0a80149@Jane> for filter:23
Jun 18 12:18:25 gemini postfix/smtp[72196]: 4E60022F9E: to=<reynolds@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=17, delays=17/0/0/0.12, dsn=2.6.0, status=sent (250 2.6.0  <1b2d01c8d12b$fd0fd010$aefd4c5b@Ben> Queued mail for delivery)
Jun 18 12:18:25 gemini postfix/qmgr[45149]: 4E60022F9E: removed
Jun 18 12:18:25 gemini postfix/smtpd[71920]: connect from unknown[10.100.1.10]
Jun 18 12:18:25 gemini postfix/smtpd[71920]: 9B29F23041: client=unknown[10.100.1.10]
Jun 18 12:18:25 gemini postfix/cleanup[73323]: 9B29F23041: message-id=<d8E4bBWLT0007d450@andromeda.domain-standort.local>
Jun 18 12:18:25 gemini postfix/qmgr[45149]: 9B29F23041: from=<>, size=7929, nrcpt=1 (queue active)
Jun 18 12:18:25 gemini postfix/smtpd[71920]: disconnect from unknown[10.100.1.10]
Jun 18 12:18:25 gemini spamd[71251]: spamd: identified spam (21.0/5.0) for filter:23 in 7.4 seconds, 2051 bytes.
Jun 18 12:18:25 gemini spamd[71251]: spamd: result: Y 21 - BAYES_99,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_BOUND_NEXTPART,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SC_SURBL scantime=7.4,size=2051,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=54366,mid=<10c301c8d12c$07020c00$c0a80203@Connie>,bayes=1,autolearn=no
Jun 18 12:18:25 gemini postfix/pipe[71668]: 6599C23054: to=<moss@domain.com>, relay=spamfilter, delay=349, delays=1.8/326/0/21, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:25 gemini postfix/qmgr[45149]: 6599C23054: removed
Jun 18 12:18:25 gemini postfix/pickup[73526]: A9BB923042: uid=23 from=<bynum@lincassa.com>
Jun 18 12:18:25 gemini postfix/cleanup[73634]: A9BB923042: message-id=<10c301c8d12c$07020c00$c0a80203@Connie>
Jun 18 12:18:25 gemini postfix/qmgr[45149]: A9BB923042: from=<bynum@lincassa.com>, size=5528, nrcpt=1 (queue active)
Jun 18 12:18:25 gemini spamd[70919]: spamd: identified spam (19.8/5.0) for filter:23 in 5.2 seconds, 1909 bytes.
Jun 18 12:18:25 gemini spamd[70919]: spamd: result: Y 19 - BAYES_99,DATE_IN_PAST_96_XX,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,INVALID_DATE_TZ_ABSURD,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL scantime=5.2,size=1909,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=57569,mid=<012601c72df9$9192eba0$c0a80149@Jane>,bayes=1,autolearn=no
Jun 18 12:18:25 gemini postfix/pipe[71004]: E3EC923050: to=<merc@domain.com>, relay=spamfilter, delay=350, delays=3.2/326/0/20, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:25 gemini postfix/pickup[73526]: C0B4823044: uid=23 from=<xigrabill@knet.ca>
Jun 18 12:18:25 gemini postfix/qmgr[45149]: E3EC923050: removed
Jun 18 12:18:25 gemini postfix/cleanup[73632]: C0B4823044: message-id=<012601c72df9$9192eba0$c0a80149@Jane>
Jun 18 12:18:25 gemini postfix/qmgr[45149]: C0B4823044: from=<xigrabill@knet.ca>, size=5286, nrcpt=1 (queue active)
Jun 18 12:18:25 gemini postfix/smtp[72199]: A9BB923042: to=<moss@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=21, delays=21/0.01/0/0.12, dsn=2.6.0, status=sent (250 2.6.0  <10c301c8d12c$07020c00$c0a80203@Connie> Queued mail for delivery)
Jun 18 12:18:25 gemini postfix/qmgr[45149]: A9BB923042: removed
Jun 18 12:18:25 gemini spamd[71251]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 56794
Jun 18 12:18:25 gemini spamd[71251]: spamd: setuid to filter succeeded
Jun 18 12:18:25 gemini spamd[71251]: spamd: processing message <DMovNle0J0007d30f@andromeda.domain-standort.local> for filter:23
Jun 18 12:18:25 gemini spamd[70919]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 57037
Jun 18 12:18:25 gemini spamd[70919]: spamd: setuid to filter succeeded
Jun 18 12:18:25 gemini spamd[70919]: spamd: processing message <2821401c8d12c$034922b0$3d2a3647@Thurman> for filter:23
Jun 18 12:18:26 gemini postfix/smtpd[71655]: 0417F23048: client=cpe-24-94-43-148.stny.res.rr.com[24.94.43.148]
Jun 18 12:18:26 gemini postfix/smtpd[71744]: connect from unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/smtpd[71744]: 0E35B2304F: client=unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/cleanup[73321]: 0E35B2304F: message-id=<3UAIAQ2Or0007d451@andromeda.domain-standort.local>
Jun 18 12:18:26 gemini postfix/cleanup[73545]: 774CB2303B: message-id=<d9a301c8d12c$d4cd4e10$942b5e18@Leta>
Jun 18 12:18:26 gemini postfix/qmgr[45149]: 0E35B2304F: from=<>, size=7332, nrcpt=1 (queue active)
Jun 18 12:18:26 gemini postfix/qmgr[45149]: 774CB2303B: from=<dre1fznw@student.monash.edu.au>, size=2098, nrcpt=1 (queue active)
Jun 18 12:18:26 gemini postfix/smtpd[71744]: disconnect from unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/cleanup[73631]: 77BB3233EE: message-id=<d9a401c8d12c$d4cd4e10$942b5e18@Leta>
Jun 18 12:18:26 gemini postfix/qmgr[45149]: 77BB3233EE: from=<dre1fznw@student.monash.edu.au>, size=2056, nrcpt=1 (queue active)
Jun 18 12:18:26 gemini postfix/smtp[72170]: C0B4823044: to=<merc@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=20, delays=20/0/0/0.27, dsn=2.6.0, status=sent (250 2.6.0  <012601c72df9$9192eba0$c0a80149@Jane> Queued mail for delivery)
Jun 18 12:18:26 gemini postfix/qmgr[45149]: C0B4823044: removed
Jun 18 12:18:26 gemini postfix/smtpd[71676]: connect from unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/smtpd[71676]: 3FF2E232E9: client=unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/cleanup[73323]: 3FF2E232E9: message-id=<yYjRHRlYB0007d452@andromeda.domain-standort.local>
Jun 18 12:18:26 gemini postfix/qmgr[45149]: 3FF2E232E9: from=<>, size=7087, nrcpt=1 (queue active)
Jun 18 12:18:26 gemini postfix/smtpd[71676]: disconnect from unknown[10.100.1.10]
Jun 18 12:18:26 gemini spamd[71189]: spamd: identified spam (33.2/5.0) for filter:23 in 3.7 seconds, 2007 bytes.
Jun 18 12:18:26 gemini spamd[71189]: spamd: result: Y 33 - BAYES_99,HELO_DYNAMIC_IPADDR,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_BOUND_NEXTPART,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SC_SURBL scantime=3.7,size=2007,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=54564,mid=<1b3201c8d12b$fd383fa0$aefd4c5b@Ben>,bayes=1,autolearn=spam
Jun 18 12:18:26 gemini postfix/pipe[71692]: B45B522DA6: to=<rgustafs@domain.com>, relay=spamfilter, delay=348, delays=1.3/329/0/18, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:26 gemini postfix/qmgr[45149]: B45B522DA6: removed
Jun 18 12:18:26 gemini postfix/pickup[73526]: 6AFD72337E: uid=23 from=<nvysai@boots.com>
Jun 18 12:18:26 gemini postfix/cleanup[73634]: 6AFD72337E: message-id=<1b3201c8d12b$fd383fa0$aefd4c5b@Ben>
Jun 18 12:18:26 gemini postfix/qmgr[45149]: 6AFD72337E: from=<nvysai@boots.com>, size=6008, nrcpt=1 (queue active)
Jun 18 12:18:26 gemini spamd[71189]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 60494
Jun 18 12:18:26 gemini spamd[71189]: spamd: setuid to filter succeeded
Jun 18 12:18:26 gemini spamd[71189]: spamd: processing message <2821501c8d12c$034922b0$3d2a3647@Thurman> for filter:23
Jun 18 12:18:26 gemini postfix/smtp[72238]: 6AFD72337E: to=<rgustafs@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=18, delays=18/0.01/0/0.13, dsn=2.6.0, status=sent (250 2.6.0  <1b3201c8d12b$fd383fa0$aefd4c5b@Ben> Queued mail for delivery)
Jun 18 12:18:26 gemini postfix/qmgr[45149]: 6AFD72337E: removed
Jun 18 12:18:26 gemini postfix/smtpd[71956]: connect from mo-p07-ob.rzone.de[81.169.146.188]
Jun 18 12:18:26 gemini postfix/smtpd[71746]: disconnect from cpe-24-94-43-148.stny.res.rr.com[24.94.43.148]
Jun 18 12:18:26 gemini postfix/smtpd[71373]: disconnect from cpe-24-94-43-148.stny.res.rr.com[24.94.43.148]
Jun 18 12:18:26 gemini postfix/smtpd[71945]: connect from unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/smtpd[71945]: BBE9323399: client=unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/cleanup[73632]: BBE9323399: message-id=<uE2q9Xdtx0007d453@andromeda.domain-standort.local>
Jun 18 12:18:26 gemini postfix/qmgr[45149]: BBE9323399: from=<>, size=7818, nrcpt=1 (queue active)
Jun 18 12:18:26 gemini postfix/smtpd[71945]: disconnect from unknown[10.100.1.10]
Jun 18 12:18:26 gemini postfix/smtpd[71573]: CB472233AB: client=cpe-24-94-43-148.stny.res.rr.com[24.94.43.148]
Jun 18 12:18:26 gemini postfix/smtpd[71956]: D8304233BD: client=mo-p07-ob.rzone.de[81.169.146.188]
Jun 18 12:18:27 gemini postfix/cleanup[73545]: D8304233BD: message-id=<002401c8d12c$d9f3d120$8ddb7360$@de>
Jun 18 12:18:27 gemini postfix/qmgr[45149]: D8304233BD: from=<info@felix-koerner.de>, size=32220, nrcpt=1 (queue active)
Jun 18 12:18:27 gemini postfix/smtpd[71956]: disconnect from mo-p07-ob.rzone.de[81.169.146.188]
Jun 18 12:18:27 gemini postfix/smtpd[71955]: connect from unknown[83.228.46.66]
Jun 18 12:18:27 gemini postfix/cleanup[72608]: 33AE422F44: message-id=<a1cc01c8d12c$db3a81f0$5c327c5b@Emory>
Jun 18 12:18:27 gemini postfix/qmgr[45149]: 33AE422F44: from=<riccardo@besser.it>, size=2024, nrcpt=1 (queue active)
Jun 18 12:18:27 gemini postfix/smtpd[71748]: AD0F023042: client=unknown[121.247.134.251]
Jun 18 12:18:27 gemini postfix/smtpd[70179]: connect from unknown[213.85.94.6]
Jun 18 12:18:28 gemini postfix/smtpd[71665]: connect from unknown[213.85.94.6]
Jun 18 12:18:28 gemini postfix/smtpd[71680]: connect from unknown[213.85.94.6]
Jun 18 12:18:28 gemini postfix/smtpd[71761]: disconnect from 92-50-124-91.pool.ukrtel.net[91.124.50.92]
Jun 18 12:18:28 gemini postfix/cleanup[73321]: CB472233AB: message-id=<d9a901c8d12c$d68d74a0$942b5e18@Leta>
Jun 18 12:18:28 gemini postfix/qmgr[45149]: CB472233AB: from=<dre1fznw@student.monash.edu.au>, size=2102, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini spamd[71095]: spamd: identified spam (32.2/5.0) for filter:23 in 3.6 seconds, 1939 bytes.
Jun 18 12:18:29 gemini spamd[71095]: spamd: result: Y 32 - BAYES_99,DATE_IN_PAST_96_XX,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,INVALID_DATE_TZ_ABSURD,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,SUBJ_ILLEGAL_CHARS,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL scantime=3.6,size=1939,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=49154,mid=<012b01c72df9$922dcc10$c0a80149@Jane>,bayes=1,autolearn=spam
Jun 18 12:18:29 gemini postfix/smtpd[71845]: connect from localhost[127.0.0.1]
Jun 18 12:18:29 gemini postfix/pipe[70963]: 947F023059: to=<merletinsley@domain.com>, relay=spamfilter, delay=352, delays=3.3/329/0/19, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 947F023059: removed
Jun 18 12:18:29 gemini postfix/pickup[73526]: 05EF3233CB: uid=23 from=<xigrabill@knet.ca>
Jun 18 12:18:29 gemini postfix/smtpd[71845]: lost connection after CONNECT from localhost[127.0.0.1]
Jun 18 12:18:29 gemini postfix/smtpd[71845]: disconnect from localhost[127.0.0.1]
Jun 18 12:18:29 gemini postfix/cleanup[73323]: 05EF3233CB: message-id=<012b01c72df9$922dcc10$c0a80149@Jane>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 05EF3233CB: from=<xigrabill@knet.ca>, size=5955, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini postfix/smtpd[70179]: 0A23B233F2: client=unknown[213.85.94.6]
Jun 18 12:18:29 gemini spamd[71095]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 63125
Jun 18 12:18:29 gemini spamd[71095]: spamd: setuid to filter succeeded
Jun 18 12:18:29 gemini spamd[71095]: spamd: processing message <1fa8801c8d12c$0b590a10$ed31dd3e@Lucile> for filter:23
Jun 18 12:18:29 gemini postfix/smtpd[71680]: 1B87B233FB: client=unknown[213.85.94.6]
Jun 18 12:18:29 gemini postfix/smtpd[71665]: 1BA10233FC: client=unknown[213.85.94.6]
Jun 18 12:18:29 gemini postfix/smtpd[71861]: connect from 91.83.27.91.pool.invitel.hu[91.83.27.91]
Jun 18 12:18:29 gemini postfix/smtpd[71861]: lost connection after CONNECT from 91.83.27.91.pool.invitel.hu[91.83.27.91]
Jun 18 12:18:29 gemini postfix/smtpd[71861]: disconnect from 91.83.27.91.pool.invitel.hu[91.83.27.91]
Jun 18 12:18:29 gemini postfix/smtp[72178]: 05EF3233CB: to=<merletinsley@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=20, delays=19/0.02/0/0.12, dsn=2.6.0, status=sent (250 2.6.0  <012b01c72df9$922dcc10$c0a80149@Jane> Queued mail for delivery)
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 05EF3233CB: removed
Jun 18 12:18:29 gemini postfix/smtpd[71736]: connect from unknown[10.100.1.10]
Jun 18 12:18:29 gemini postfix/smtpd[71736]: 524CD233FD: client=unknown[10.100.1.10]
Jun 18 12:18:29 gemini postfix/cleanup[72608]: 524CD233FD: message-id=<fKsbytSZ40007d454@andromeda.domain-standort.local>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 524CD233FD: from=<>, size=7780, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini postfix/smtpd[71736]: disconnect from unknown[10.100.1.10]
Jun 18 12:18:29 gemini spamd[70919]: spamd: identified spam (36.9/5.0) for filter:23 in 3.6 seconds, 2091 bytes.
Jun 18 12:18:29 gemini spamd[70919]: spamd: result: Y 36 - BAYES_99,FORGED_MUA_OUTLOOK,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_BOUND_NEXTPART,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL scantime=3.6,size=2091,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=57037,mid=<2821401c8d12c$034922b0$3d2a3647@Thurman>,bayes=1,autolearn=spam
Jun 18 12:18:29 gemini postfix/pipe[71043]: 3E9C922E01: to=<jprice5@domain.com>, relay=spamfilter, delay=351, delays=1.5/331/0/18, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 3E9C922E01: removed
Jun 18 12:18:29 gemini postfix/pickup[73526]: 774EF233FE: uid=23 from=<cd8baf08d@gasag.de>
Jun 18 12:18:29 gemini postfix/cleanup[73321]: 774EF233FE: message-id=<2821401c8d12c$034922b0$3d2a3647@Thurman>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 774EF233FE: from=<cd8baf08d@gasag.de>, size=6149, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini spamd[70919]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 60723
Jun 18 12:18:29 gemini spamd[70919]: spamd: setuid to filter succeeded
Jun 18 12:18:29 gemini spamd[70919]: spamd: processing message <10ca01c8d12c$07a8d350$c0a80203@Connie> for filter:23
Jun 18 12:18:29 gemini postfix/smtpd[71955]: 8B4C823400: client=unknown[83.228.46.66]
Jun 18 12:18:29 gemini postfix/smtp[72243]: 774EF233FE: to=<jprice5@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=18, delays=18/0/0/0.12, dsn=2.6.0, status=sent (250 2.6.0  <2821401c8d12c$034922b0$3d2a3647@Thurman> Queued mail for delivery)
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 774EF233FE: removed
Jun 18 12:18:29 gemini postfix/cleanup[73634]: 0A23B233F2: message-id=<b65d01c8d12c$d3f93530$c0a8027f@Darla>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 0A23B233F2: from=<ocardona.bog@bglogistics.org>, size=1930, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini postfix/smtpd[71681]: connect from unknown[10.100.1.10]
Jun 18 12:18:29 gemini postfix/smtpd[71681]: C4F4523401: client=unknown[10.100.1.10]
Jun 18 12:18:29 gemini postfix/cleanup[72608]: C4F4523401: message-id=<ZLEv3jpCB0007d455@andromeda.domain-standort.local>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: C4F4523401: from=<>, size=7962, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini postfix/smtpd[71681]: disconnect from unknown[10.100.1.10]
Jun 18 12:18:29 gemini spamd[71251]: spamd: clean message (-76.9/5.0) for filter:23 in 4.0 seconds, 7535 bytes.
Jun 18 12:18:29 gemini spamd[71251]: spamd: result: . -76 - ALL_TRUSTED,BAD_ENC_HEADER,BAYES_99,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,NO_REAL_NAME,SUBJECT_EXCESS_QP,SUBJ_HAS_UNIQ_ID,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SC_SURBL,USER_IN_WHITELIST scantime=4.0,size=7535,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=56794,mid=<DMovNle0J0007d30f@andromeda.domain-standort.local>,bayes=1,autolearn=no
Jun 18 12:18:29 gemini postfix/pipe[71018]: 2B73722E17: to=<meza@cssiinc.com>, relay=spamfilter, delay=350, delays=0.01/330/0/20, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 2B73722E17: removed
Jun 18 12:18:29 gemini postfix/pickup[73526]: CDA9623404: uid=23 from=<MAILER-DAEMON>
Jun 18 12:18:29 gemini postfix/cleanup[73632]: 1B87B233FB: message-id=<b65f01c8d12c$d4051c10$c0a8027f@Darla>
Jun 18 12:18:29 gemini postfix/cleanup[73545]: 1BA10233FC: message-id=<b66001c8d12c$d4051c10$c0a8027f@Darla>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 1BA10233FC: from=<ocardona.bog@bglogistics.org>, size=1989, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini postfix/cleanup[73321]: CDA9623404: message-id=<DMovNle0J0007d30f@andromeda.domain-standort.local>
Jun 18 12:18:29 gemini postfix/qmgr[45149]: CDA9623404: from=<>, size=8195, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini postfix/qmgr[45149]: 1B87B233FB: from=<ocardona.bog@bglogistics.org>, size=1880, nrcpt=1 (queue active)
Jun 18 12:18:29 gemini spamd[71251]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 59029
Jun 18 12:18:29 gemini spamd[71251]: spamd: setuid to filter succeeded
Jun 18 12:18:29 gemini spamd[71251]: spamd: processing message <1574501c8d173$13abce90$0238093a@Dominique> for filter:23
Jun 18 12:18:30 gemini postfix/smtpd[70179]: disconnect from unknown[213.85.94.6]
Jun 18 12:18:30 gemini postfix/smtpd[71680]: disconnect from unknown[213.85.94.6]
Jun 18 12:18:30 gemini postfix/smtpd[71665]: disconnect from unknown[213.85.94.6]
Jun 18 12:18:30 gemini spamd[71189]: spamd: identified spam (41.4/5.0) for filter:23 in 3.8 seconds, 2102 bytes.
Jun 18 12:18:30 gemini spamd[71189]: spamd: result: Y 41 - BAYES_99,FORGED_MUA_OUTLOOK,HELO_DYNAMIC_HCC,HELO_DYNAMIC_IPADDR,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_BOUND_NEXTPART,RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E8_51_100,RAZOR2_CHECK,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SC_SURBL scantime=3.8,size=2102,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=60494,mid=<2821501c8d12c$034922b0$3d2a3647@Thurman>,bayes=1,autolearn=spam
Jun 18 12:18:30 gemini postfix/pipe[71702]: 53D7022E02: to=<jprosseri@domain.com>, relay=spamfilter, delay=351, delays=1.5/332/0/18, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:30 gemini postfix/qmgr[45149]: 53D7022E02: removed
Jun 18 12:18:30 gemini postfix/pickup[73526]: 4082A23407: uid=23 from=<cd8baf08d@gasag.de>
Jun 18 12:18:30 gemini postfix/cleanup[73544]: 0417F23048: message-id=<d9a801c8d12c$d60cabe0$942b5e18@Leta>
Jun 18 12:18:30 gemini postfix/qmgr[45149]: 0417F23048: from=<dre1fznw@student.monash.edu.au>, size=2109, nrcpt=1 (queue active)
Jun 18 12:18:30 gemini postfix/cleanup[73634]: 4082A23407: message-id=<2821501c8d12c$034922b0$3d2a3647@Thurman>
Jun 18 12:18:30 gemini postfix/qmgr[45149]: 4082A23407: from=<cd8baf08d@gasag.de>, size=6301, nrcpt=1 (queue active)
Jun 18 12:18:30 gemini postfix/smtpd[71954]: connect from unknown[89.237.9.68]
Jun 18 12:18:30 gemini spamd[71189]: spamd: connection from localhost.domain-standort.local [127.0.0.1] at port 57763
Jun 18 12:18:30 gemini spamd[71189]: spamd: setuid to filter succeeded
Jun 18 12:18:30 gemini postfix/smtpd[71572]: connect from unknown[89.237.9.68]
Jun 18 12:18:30 gemini spamd[71189]: spamd: processing message <1fa8901c8d12c$0b8d8790$ed31dd3e@Lucile> for filter:23
Jun 18 12:18:30 gemini postfix/cleanup[73323]: 8B4C823400: message-id=<284592383.86043583285324@projections.com>
Jun 18 12:18:30 gemini postfix/qmgr[45149]: 8B4C823400: from=<dwprojectionsm@projections.com>, size=4899, nrcpt=1 (queue active)
Jun 18 12:18:30 gemini postfix/smtp[72207]: 4082A23407: to=<jprosseri@domain.com>, relay=10.100.1.10[10.100.1.10]:25, delay=18, delays=18/0.01/0/0.13, dsn=2.6.0, status=sent (250 2.6.0  <2821501c8d12c$034922b0$3d2a3647@Thurman> Queued mail for delivery)
Jun 18 12:18:30 gemini postfix/qmgr[45149]: 4082A23407: removed
Jun 18 12:18:30 gemini spamd[71096]: spamd: identified spam (20.7/5.0) for filter:23 in 7.6 seconds, 2026 bytes.
Jun 18 12:18:30 gemini spamd[71096]: spamd: result: Y 20 - BAYES_99,HELO_DYNAMIC_IPADDR,HTML_50_60,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_BOUND_NEXTPART,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL scantime=7.6,size=2026,user=filter,uid=23,required_score=5.0,rhost=localhost.domain-standort.local,raddr=127.0.0.1,rport=52489,mid=<1b3301c8d12b$fd7d5ef0$aefd4c5b@Ben>,bayes=1,autolearn=spam
Jun 18 12:18:30 gemini postfix/pickup[73526]: 7F31123409: uid=23 from=<nvysai@boots.com>
Jun 18 12:18:30 gemini postfix/pipe[70958]: 2A14322E00: to=<rheaton@domain.com>, relay=spamfilter, delay=352, delays=1.3/329/0/21, dsn=2.0.0, status=sent (delivered via spamfilter service)
Jun 18 12:18:30 gemini postfix/qmgr[45149]: 2A14322E00: removed

Postconf -n präsentiert mir folgendes:

body_checks = regexp:/usr/local/etc/postfix/body_checks
command_directory = /usr/local/sbin
config_directory = /usr/local/etc/postfix
daemon_directory = /usr/local/libexec/postfix
debug_peer_level = 2
delay_warning_time = 4h
header_checks = regexp:/usr/local/etc/postfix/header_checks
html_directory = no
inet_interfaces = all
local_recipient_maps =
mail_owner = postfix
mailq_path = /usr/local/bin/mailq
manpage_directory = /usr/local/man
maximal_queue_lifetime = 12h
message_size_limit = 10072000
mydestination = $myhostname, $mydomain, localhost.$mydomain, domain.de, domain.com, domain-kiel.de, domain-assekuranz.de
mydomain = domain.de
myhostname = mail.domain.de
mynetworks = 127.0.0.0/8, 10.100.1.0/24
myorigin = domain.de
newaliases_path = /usr/local/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = no
sample_directory = /usr/local/etc/postfix
sendmail_path = /usr/local/sbin/sendmail
setgid_group = maildrop
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit
smtpd_recipient_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unauth_destination, reject_unauth_pipelining, reject_unknown_recipient_domain, reject_unknown_sender_domain, permit
smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, permit
transport_maps = hash:/usr/local/etc/postfix/transport

Fällt euch etwas auf, was Grund für den schlechten und vor allem Zeitintensiven Umgang mit SPAM-Mails sein könnte?

Update: 2000 E-Mails innerhalb von 6 Minuten - Argh

Update II: Ich habe die smtpd_recipient_restrictions um reject_rbl_client dnsbl.njabl.org, reject_rbl_client bl.spamcop.net ergänzt.
Ich frage mich allerdings, ob das aus Performance-Sicht sinnvoll ist, weil er jetzt ja zusätzlich einen weiteren Server kontaktiert (Zeitverlust?).
Vielleicht hat jemand ja bereits Erfahrungen gesammelt.

VG und danke Björn

asg · 18 Juni 2008

Wie wäre es mal mit postgrey?

Code:

smtpd_helo_required=yes
smtpd_helo_restrictions =
smtpd_sender_restrictions =
    
smtpd_client_restrictions =
    
    warn_if_reject reject_invalid_hostname
    warn_if_reject reject_unknown_hostname 
    warn_if_reject reject_unknown_sender_domain
    warn_if_reject reject_unverified_sender

    reject_non_fqdn_sender
    reject_non_fqdn_recipient
    reject_unknown_recipient_domain

    reject_rhsbl_client dnsbl.njabl.org
    reject_rhsbl_client blackholes.mail-abuse.org
    reject_rhsbl_client relays.mail-abuse.org
    reject_rhsbl_client multihop.dsbl.org
    reject_rhsbl_sender dnsbl.njabl.org
    reject_rhsbl_sender blackholes.mail-abuse.org
    reject_rhsbl_sender relays.mail-abuse.org
    reject_rhsbl_sender multihop.dsbl.org

    reject_rhsbl_recipient dnsbl.njabl.org
    reject_rhsbl_recipient blackholes.mail-abuse.org
    reject_rhsbl_recipient relays.mail-abuse.org
    reject_rhsbl_recipient multihop.dsbl.org

    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_non_fqdn_hostname,   
    reject_rbl_client opm.blitzed.org
    reject_rbl_client sbl.spamhaus.org
    reject_rbl_client blackholes.easynet.nl
    reject_rbl_client cbl.abuseat.org
    reject_rbl_client dul.dnsbl.sorbs.net
    reject_rbl_client sbl.spamhaus.org
    reject_rbl_client list.dsbl.org
    reject_rbl_client opm.blitzed.org
    reject_rhsbl_sender dsn.rfc-ignorant.org
   # postgrey 
   check_policy_service inet:127.0.0.1:10023
   permit

Und noch

Code:

smtpd_recipient_restrictions =
    permit_mynetworks
    reject_unlisted_sender
    reject_unlisted_recipient
    
    reject_unknown_recipient_domain   
    permit_sasl_authenticated
    reject_invalid_hostname
    reject_non_fqdn_sender
    reject_non_fqdn_recipient
    reject_unauth_destination
    permit

mark05 · 19 Juni 2008

hi

schalt erstmal den ganzen spam rotz ab auch auf die gefahr hin das die user spams bekommen, und sieh zu das der mailserver erstmal grundsaetzlich funktioniert.

fuer mich sieht das so aus als ob du intern und extern probleme mit dns hast.

wenn der server ( exim) korrekt laeuft kannst du dann step by step den spam
schutz aktivieren.

holger

troll · 19 Juni 2008

mark05 schrieb:
fuer mich sieht das so aus als ob du intern und extern probleme mit dns hast.

wenn der server ( exim) korrekt laeuft kannst du dann step by step den spam
schutz aktivieren.

Lies man erstmal den thread. Das rdns-Problem ist bereits beseitigt, bei hohem spamaufkommen den spamfilter zu deaktivieren ist wohl eher nicht so ratsam und er benutzt übrigens postfix.

mark05 · 19 Juni 2008

troll schrieb:
Lies man erstmal den thread. Das rdns-Problem ist bereits beseitigt, bei hohem spamaufkommen den spamfilter zu deaktivieren ist wohl eher nicht so ratsam und er benutzt übrigens postfix.

gelesen habe ich ...... glaub mir ...... und wer sagt das das spam aufkommen
nicht selbst produziert ist ?

hoolger

Yamagi · 19 Juni 2008

Also, postgrey ist schon mal eine sehr gute Idee, wenn deine Kunden mit der Verzögerung von zwischen 5 und 60 Minuten leben können. Extrem wirksam, blockt gute 95% des Spamaufkommens schon mal ab. Weitere Maßnahmen sollten in die gleiche Richtung ziehlen. Spamassassin ist recht langsam, aber andere Filter sind kaum schneller. Daher ist es ratsam den Spam vorher zu blocken, bevor er Postfix erreicht oder ihn wenigstens dort nicht weiter zu Spamassassin laufen zu lassen. Möglichkeiten sind:
- Blacklists. Sehe ich immer kritisch, weil dort viel Missbrauch gertrieben wird, aber manchmal kann man sich einfach nicht anders helfen. Asg hat dort ja schon einige genannt.
- OpenBSD-spamd, auch für FreeBSD erhältlich. Zusammen mit pf extrem wirkungsvoll, aber kann schon mal daneben liegen. Muss man abwiegen, wie weit das akzeptabel ist.
- Headerchecks in Postfix per PCRE. Wenn man dort seltsame Charsets ausfiltert (KOI-8 z.B.) und Wörter wie Viagra und V1agra, ist schon sehr viel erreicht. Hat auch wieder ein recht hohes Risiko falscher Treffer.

Alternativ kann man ganz anders denken, wieso sollte eingehender Spam schon im MTA gefiltert werden? Lass es doch den MDA machen, Postfix ist entlastet und du filterst weiterhin optimal. Programme wie Maildrop können mehrmals gestartet werden, bei entsprechenden Mengen CPUs oder Server im Hintergrund beschleunigt das stark, mal davon abgesehen, dass Postfix die Mail nicht explizit an Spamassassin übergeben muss und sehr viel Zeit spart.

FreeBSD + Postfix: > 7000 Requests in Warteschlange

findus

a nice one

mapet

Active OpenBSD User

nagel

Well-Known Member

mapet

Active OpenBSD User

findus

a nice one

findus

a nice one

asg

push it, don´t hype

mark05

Well-Known Member

troll

Well-Known Member

mark05

Well-Known Member

Yamagi

Possessed With Psi Powers

Wir schützen deine Privatsphäre