Re: [FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Renato Botelho wrote: Em 12/5/2006 13:05 Patrick Tracanelli escreveu: Renato Frederick wrote: Sugerir troca de mailer é bem simplista né... Bom Marcus, já procurou no google se há algum patch? Nunca pesquisei, ainda não passei por este problema. Já pensou em fazr uma solução alternativa, mas real as suas necessidades do que simplesmente trocar por postfix? Penso em você usar o ipfw para limiar as conexões que podem ser abertas com o smtp do terra. O ipfw negando as regras, o qmail irá deixar o email na fila. Talvez aumentar o queuelifetime seja interessante, dependendo da demora que isso poderá ocasionar com o terra. Dá uma estudada nisso, enquanto um patch não sai :) Abraços. So pra complementar, tem patch pra reutilizacao de sessao e conexoes persistentes sim. Infelizmente nao tenho a URL mas nada que uma boa busca no google por connection reuse+qmail nao resolva =) So que o patch se aplica no Qmail limpo, pra aplicar com Qmail com outros vai ser necessario modificar o codigo manualmente. Se aplicar patches manualmente e uma opcao (e no mundo Qmail, isso acaba sendo imperativo), esse recurso pode ser adicionado. Por outro lado, eu acho uma opcao mais interessante aplicar o patch: ucspi-tcp-0.88-periplimit.7.patch No ucspi-tcp. Com ele voce pode limitar numero de sessoes por IP (similar a baixar concorrencia, mas por IP). Interessante, você já testou esse Patrick? Se sim, posso falar com o maintainer e colocar ele no ports... =) Renato, Acabei de testar o patch. Caso queira enviar para o maintainer, seguem algumas infos: URL: http://js.hu/package/ucspi-tcp/ucspi-tcp-0.88-periplimit.7.patch Diff Makefile: --- MakefileSun May 14 20:59:49 2006 +++ Makefile.newSun May 14 20:59:37 2006 @@ -16,6 +16,7 @@ COMMENT= Command-line tools for building TCP client-server applications OPTIONS= MAN Install man(1) pages on \ + PER_IP_LIMIT Add option to limit connections per ip off \ RSS_DIFF Patch rblsmtpd for qmail users off \ SSL Adds support for SSL (Secure Socket Layer) off @@ -43,6 +44,12 @@ .if defined(WITH_RSS_DIFF) PATCH_SITES+= http://www.qmail.org/ PATCHFILES+= ucspi-rss.diff +PATCH_DIST_STRIP= -p1 +.endif + +.if defined(WITH_PER_IP_LIMIT) +PATCH_SITES+= http://js.hu/package/ucspi-tcp/ +PATCHFILES+= ucspi-tcp-0.88-periplimit.7.patch PATCH_DIST_STRIP= -p1 .endif Diff distinfo: --- distinfoSun May 14 20:51:07 2006 +++ distinfo.newSun May 14 20:48:45 2006 @@ -6,3 +6,5 @@ SIZE (ucspi-rss.diff) = 1828 MD5 (ucspi-tcp-ssl-20050405.patch.gz) = cbe2443539d5289ffb5ae2a036e0ba3d SIZE (ucspi-tcp-ssl-20050405.patch.gz) = 13173 +MD5 (ucspi-tcp-0.88-periplimit.7.patch) = ee211d2491b5b0f546f4eedd7254f370 +SIZE (ucspi-tcp-0.88-periplimit.7.patch) = 4820 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Sugerir troca de mailer é bem simplista né... Bom Marcus, já procurou no google se há algum patch? Nunca pesquisei, ainda não passei por este problema. Já pensou em fazr uma solução alternativa, mas real as suas necessidades do que simplesmente trocar por postfix? Penso em você usar o ipfw para limiar as conexões que podem ser abertas com o smtp do terra. O ipfw negando as regras, o qmail irá deixar o email na fila. Talvez aumentar o queuelifetime seja interessante, dependendo da demora que isso poderá ocasionar com o terra. Dá uma estudada nisso, enquanto um patch não sai :) Abraços. Marcus, Meu problema com o postfix é que não tenho nenhuma experiência com ele. Já com o qmail são 8 anos de briga e hoje tenho ele rodando tão redondinho... o problema que relatei acima é o único que tenho com ele... Não que eu não possa correr atras do postfix mas é que numa situação de migração dessas fica difícil fazer a experiência com os clientes... Minha configuração atual do qmail é qmail+qmail-scanner+mc affee uvscan+spamassassin+vpopmail+courier-imap+pop-before-smtp+uma cacetada de patches anti-spam. Meu medo em relação ao postfix é se ele possui todos os recursos antispam que consegui implementar no qmail. Diminui drasticamente meu consumo mensal barrando spams direto na conexão, não gostaria de abrir mão de alguns desses patches que funcionam tão bem no qmail. Você tem algum tutorial que cubra mais ou menos essas funções que descrevi? Estou dando uma olhada na documentação oficial do postfix e vou ver se faço alguns testes internos, mas ainda não sei se vale a pena trocar o qmail... Obrigado pela ajuda! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd smime.p7s Description: S/MIME cryptographic signature - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Renato Frederick wrote: Sugerir troca de mailer é bem simplista né... Bom Marcus, já procurou no google se há algum patch? Nunca pesquisei, ainda não passei por este problema. Já pensou em fazr uma solução alternativa, mas real as suas necessidades do que simplesmente trocar por postfix? Penso em você usar o ipfw para limiar as conexões que podem ser abertas com o smtp do terra. O ipfw negando as regras, o qmail irá deixar o email na fila. Talvez aumentar o queuelifetime seja interessante, dependendo da demora que isso poderá ocasionar com o terra. Dá uma estudada nisso, enquanto um patch não sai :) Abraços. Renato, Achei vários casos semelhantes na internet porém nenhum deles com solução ou patch. Na página do qmail não há nenhuma citação à respeito. Como estou trocando todo o sistema irei trocar também de firewall para o ipfw e experimentarei essa regra. Não sei dizer ao certo qual será a reação do qmail, em quanto tempo ele irá atrasar a entrega nem nada disso mas assim que tiver alguma posição vou informar por aqui pra ficar registrado. Espero que dê certo mas vou continuar fuçando por um patch. Infelizmente não tenho muita experiência com C, fiz um patch que uso até hoje para o qmail-smtpd checar se o usuário local existe antes de aceitar o DATA na conexão para economia de banda. Funcionou e diminuiu meu consumo em 40%... mas acho que não consigo ir tão longe nesse caso das entregas simultâneas... Só cogitei a hipótese da troca pelo postfix porque sei que também é um ótimo mta e estava curioso pra conhecê-lo melhor... mas logo nos primeiros ítens do checklist já não gostei do que ví... não possui uma integração independente com o vpopmail, que pra mim é o melhor sistema de domínios virtuais disponível... pra fazer pop-before-smtp, desculpem falar, mas as soluções apresentadas no site oficial do postfix são porquíssimas, baseadas em análise de logs!! Sem comentários acho que desanimei um pouco com a história do postfix... só um desabafo, espero que eu esteja errado e alguém me dê uma informação melhor sobre ele... Att Renato Q. Todorov [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Renato Frederick wrote: Sugerir troca de mailer é bem simplista né... Bom Marcus, já procurou no google se há algum patch? Nunca pesquisei, ainda não passei por este problema. Já pensou em fazr uma solução alternativa, mas real as suas necessidades do que simplesmente trocar por postfix? Penso em você usar o ipfw para limiar as conexões que podem ser abertas com o smtp do terra. O ipfw negando as regras, o qmail irá deixar o email na fila. Talvez aumentar o queuelifetime seja interessante, dependendo da demora que isso poderá ocasionar com o terra. Dá uma estudada nisso, enquanto um patch não sai :) Abraços. So pra complementar, tem patch pra reutilizacao de sessao e conexoes persistentes sim. Infelizmente nao tenho a URL mas nada que uma boa busca no google por connection reuse+qmail nao resolva =) So que o patch se aplica no Qmail limpo, pra aplicar com Qmail com outros vai ser necessario modificar o codigo manualmente. Se aplicar patches manualmente e uma opcao (e no mundo Qmail, isso acaba sendo imperativo), esse recurso pode ser adicionado. Por outro lado, eu acho uma opcao mais interessante aplicar o patch: ucspi-tcp-0.88-periplimit.7.patch No ucspi-tcp. Com ele voce pode limitar numero de sessoes por IP (similar a baixar concorrencia, mas por IP). -- Patrick Tracanelli FreeBSD Brasil LTDA. (31) 3281-9633 / 3281-3547 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Patrick Tracanelli wrote: Renato Frederick wrote: Sugerir troca de mailer bem simplista n... Bom Marcus, j procurou no google se h algum patch? Nunca pesquisei, ainda no passei por este problema. J pensou em fazr uma "soluo alternativa", mas real as suas necessidades do que "simplesmente" trocar por postfix? Penso em voc usar o ipfw para limiar as conexes que podem ser abertas com o smtp do terra. O ipfw negando as regras, o qmail ir deixar o email na fila. Talvez aumentar o queuelifetime seja interessante, dependendo da demora que isso poder ocasionar com o terra. D uma estudada nisso, enquanto um patch no sai :) Abraos. So pra complementar, tem patch pra reutilizacao de sessao e conexoes persistentes sim. Infelizmente nao tenho a URL mas nada que uma boa busca no google por "connection reuse"+qmail nao resolva =) So que o patch se aplica no Qmail limpo, pra aplicar com Qmail com outros vai ser necessario modificar o codigo manualmente. Se aplicar patches manualmente e uma opcao (e no mundo Qmail, isso acaba sendo imperativo), esse recurso pode ser adicionado. Por outro lado, eu acho uma opcao mais interessante aplicar o patch: ucspi-tcp-0.88-periplimit.7.patch No ucspi-tcp. Com ele voce pode limitar numero de sessoes por IP (similar a baixar concorrencia, mas por IP). Patrick, Eu tinha pensado na soluo do tcpserver mesmo, mas me veio uma dvida que talvez voc possa sanar. Eu acho que o qmail-remote independente, no chamado pelo tcpserver... acho que essa soluo desse patch resolve um problema de DoS de fora pra dentro, agora no sei se resolveria o meu problema. Vou verificar mais a fundo isso mas pelo que posso ver o qmail-remote no tem vnculo com o tcpserver. Posso estar redondamente enganado mas assim que tiver certeza de alguma coisa posto aqui. Quanto sua outra sugesto vou procurar o patch sim, acho que j ajuda bastante, obrigado! Att., Renato Q. Todorov [EMAIL PROTECTED] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Em 12/5/2006 13:05 Patrick Tracanelli escreveu: Renato Frederick wrote: Sugerir troca de mailer é bem simplista né... Bom Marcus, já procurou no google se há algum patch? Nunca pesquisei, ainda não passei por este problema. Já pensou em fazr uma solução alternativa, mas real as suas necessidades do que simplesmente trocar por postfix? Penso em você usar o ipfw para limiar as conexões que podem ser abertas com o smtp do terra. O ipfw negando as regras, o qmail irá deixar o email na fila. Talvez aumentar o queuelifetime seja interessante, dependendo da demora que isso poderá ocasionar com o terra. Dá uma estudada nisso, enquanto um patch não sai :) Abraços. So pra complementar, tem patch pra reutilizacao de sessao e conexoes persistentes sim. Infelizmente nao tenho a URL mas nada que uma boa busca no google por connection reuse+qmail nao resolva =) So que o patch se aplica no Qmail limpo, pra aplicar com Qmail com outros vai ser necessario modificar o codigo manualmente. Se aplicar patches manualmente e uma opcao (e no mundo Qmail, isso acaba sendo imperativo), esse recurso pode ser adicionado. Por outro lado, eu acho uma opcao mais interessante aplicar o patch: ucspi-tcp-0.88-periplimit.7.patch No ucspi-tcp. Com ele voce pode limitar numero de sessoes por IP (similar a baixar concorrencia, mas por IP). Interessante, você já testou esse Patrick? Se sim, posso falar com o maintainer e colocar ele no ports... =) -- Renato Botelho garga @ FreeBSD.org freebsd @ galle.com.br GnuPG Key: http://www.FreeBSD.org/~garga/pubkey.asc - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Qmail abrindo muitas conexoes simultaneas para o mesmo host
Patrick, Eu tinha pensado na solução do tcpserver mesmo, mas me veio uma dúvida que talvez você possa sanar. Eu acho que o qmail-remote é independente, não é chamado pelo tcpserver... acho que essa solução desse patch resolve um problema de DoS de fora pra dentro, agora não sei se resolveria o meu problema. Vou verificar mais a fundo isso mas pelo que posso ver o qmail-remote não tem vínculo com o tcpserver. Posso estar redondamente enganado mas assim que tiver certeza de alguma coisa posto aqui. Quanto à sua outra sugestão vou procurar o patch sim, acho que já ajuda bastante, obrigado! E' verdade, acho que voce tem razao, a flag -s pro tcpserver nao ajudaria muito no seu caso. Melhor ficar com reutilizacao da conexao mesmo ;) -- Patrick Tracanelli - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd