Słuchaj.
Każdy mechanizm filtrujący pocztę obciąża CPU. Testy, analizy
wiadomości, ........ .
Jedyny nie obciążający i ucinający (a obecnie chyba najlepszy) to jest
właśnie postcreen. Ucina w zarodku przed analizą.
Obecnie na jednym z moich serwerów wycina 97% niechcianej poczty, na
kolejnym 70%.
Oraz RBL'e.Wszystko co będzie sprawdzało wiadomość na 100% obciąży Ci CPU (nie ma siły).
Pozdrawiam lord Niedźwiedź ;-)
Witam serdecznie,Przymierzam się do postawienia postfixa na OpenWrt i odgrzebałem powyższy wątek. Przypominam, że chodziło o optymalizację ochrony przed spamem pod względem obciążenia CPU (w moim przypadku routerek ma CPU 720MHz więc trzeba dość drastycznie optymalizować). Poniżej jest końcówka całej dyskusji. Macie jakieś uwagi/sugestie??On 12/20/13 14:19, lord_Niedzwiedz wrote:Proponuję dodać Postscreen'a. On wycina czasem nawet ponad 50% komunikacji zanim wogule do niej dojdzie. A nie wdaje się w pracochłonną analizę.Jakaś podpowiedź techniczna na szybko? Z góry dzięki.Plik master.cf # Misiek - zmiana P O S T S C R E E N , albo samo smtp, albo smtp+smtpd #smtp inet n - n - - smtpd smtp inet n - n - 1 postscreen smtpd pass - - n - - smtpd Plik main.cf #=========================================== P O S T S C R E E N =================================================== # Wlacz/wylacz liste: ignore - nie robi nic; enforce - czeka na wieksza liczbe testow i w mieszyczasie odpowiada 550 - skrzynka nie dostepna; drop od razu porzuca # Listy statyczne postscreen_access_list = permit_mynetworks, cidr:/etc/mail/postscreen_access.cidr postscreen_blacklist_action = drop # Czarne listy dns - DNSBL # Z 3 list musi dotrzec informacja o spamie zanim postscreen okresli adresata jako z spamera postscreen_dnsbl_threshold = 3 postscreen_dnsbl_sites = zen.spamhaus.org*2,bl.spamcop.net*1, postscreen_dnsbl_action = enforce # Faza pregreeting postscreen_greet_banner = $smtpd_banner postscreen_greet_action = enforce # Testy Postscreena #postscreen_bare_newline_action = enforce #postscreen_pipelining_action = enforce postscreen_bare_newline_enable = no # Z tym ustawieniem dziala wszystko poza web.de oraz gmx.de postscreen_non_smtp_command_enable = yes postscreen_non_smtp_command_enable = no postscreen_non_smtp_command_action = drop postscreen_pipelining_enable = no Nie wiem czy o to chodziło ;-)Ale killuje automaty dość dobrze, zanim zacznie analizować spam. Jest wPostfixie w PLD.Dzięki, wypróbuję.U mnie tnie jak baja ;-) Proponuję dodać sobie jeszcze RBL'e w main.cf smtpd_client_restrictions = # cbl.abuseat.org - zajebist blokuje chincow #permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_rbl_client cbl.abuseat.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client proxies.blackholes.wirehub.net, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl.spamhaus.org, # Nowe reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client dnsbl.ahbl.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.njabl.org, permit_mynetworks, reject_rbl_client dnsbl.sorbs.net, reject_rhsbl_sender dsn.rfc-ignorant.org Wypróbowane ;-)
-- Pozdro lord_Niedzwiedz --------------- In security - do not assume anything _______________________________________________ pld-users-pl mailing list [email protected] http://lists.pld-linux.org/mailman/listinfo/pld-users-pl
