On Behalf Of [email protected] > Zitat von Andres Gonzalez Pareja <[email protected]>: > > >> Man wundert sich wie viele der Einlieferungsversuche vorzugsweise > >> aus Dialin nie mehr auf > >> den höher priorisierten MX zu sehen sind. (Verlust gewünschter Mails NULL) > >> Aber damit schweifen wir vom Thema ab. > > > > Ja, aber es interessiert mich sehr. > > Eventuell mal "greylisting" anschauen. Hat uns davor bewahrt die > dynamischen IP Bereiche komplett zu sperren. Damit reduzierte sich der > Spam-Eingang bei einigen belasteten Accounts von ca. 60 Spam Mails am > Tag (nach RBLs!!) auf ca. 2 die Woche. > Hat aber nix mit dem eigentlichen Problem zu tun... >
Das Problem ist man will diese Einlieferungsversuche nicht im Logfile haben in dem man bei Problemen auch immer mal wieder suchen muß bzw. das diese Spamerversuche die smtp Prozesse blockieren die man für die gewünschten Mails und auch eigene User benötigt. Dieser nennen wir ihn Mal FakeMX lässt trotz SMTP nur eine Connection pro Einlieferer in 5 sec und auch nur 1 Fehler (Hard_error_limit) zu. Ob der SMTP Prozesse Frei hat oder nicht ist egal da er von den "richtigen" Servern überhaupt nicht angesprochen wird. Dial deshalb gesperrt weil ich nicht beurteilen kann ob die Maschine für Antwortmails in 2 Minuten noch zur Verfügung steht, 99% des Spams von Zombie Rechner am Dialin kommt. Für die Wenigen die da einen echten Mailserver am Dialin betreiben und es noch nicht begriffen haben das sie auch mit vielen Großen Providern in der Zwischenzeit Probleme haben gibt es Ausnahmen am Anfang der Datei das dieser Check sofort mit einem DUNNO beendet wird. Wichtig ist das die Hauptmaschine durch alle Maßnahmen wieder Luft zum Atmen bekommt Greylisting kommt irgendwann an die Grenzen wenn da jedes Tripple jeder Einlieferung gespeichert werden muss, wir haben es auch schon einfrieren sehen bei ca. 2 Mio Einlieferungsversuche pro Tag ohne das vorher gesiebt wurde. Bei den angegeben Maschinen mit dieser Masse an Einlieferungen ohne das vorher gesiebt wird könnte es eng werden. Ich halte das hier so das Greylisting auch nur auf die angewendet wird die alle anderen test bestanden haben und auch nur die die aus bestimmten Toplevel kommen. Wer DNS nicht lesen kann in dem ganz klar steht nimm den 10er und wenn es Probleme gibt dann kannst du auch den 20er oder 900 nehmen sondern immer gleich auf den 900er MX geht dem ist leider nicht zu helfen wenn er danach nicht zumindest den 10er ausprobiert. Reihenfolge: Postfix eigene Checks Selectives Greylisting Policyd Weight 2 besondere RBL's Aber wie immer das ist "MEIN" Weg damit umzugehen auf anderen Servern gibt es evtl. andere Vorgaben und Notwendigkeiten. Das Schöne an Postfix ist jeder kann seinen Weg wählen und muß alle Restriktionen auf Verträglichkeit zum gewünschten Ergebnis prüfen. Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 _______________________________________________ postfix-users mailing list [email protected] http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
