Ansich mag ich ja keine Blogs. Aber irgendwie ist es doch schon ganz praktisch und einige Blogger haben mir durch ihre Veröffentlichungen eine Menge Zeit gespart. Daher hab ich mich entschlossen jetzt auch mal zu schreiben. Vielleicht schaffe ich es ja sogar halbwegs regelmäßig.

Thema wird alles rund um mein daily-business sein. Momentan also Server Krimskrams, Perl natürlich und diverse andere Hosting Dinge..

Weil ich aber nicht nur rum schwafeln will kommt jetzt der “richtige” Blogeintrag.

Postfix & Spam I

Seit ca drei Monaten sind unsere neuen Mailserver im Testbetrieb. Seit ca zwei Monaten laufen sie stabil – sofern ich nicht wieder einen neuen Policy-Deamon integriere. Für über drei Wochen nun habe ich die (inzwischen ziemlich umfangreiche) main.cf nicht mehr geändert. Bis vorgestern.
Vorgestern haben wir einen neuen alten Kunden in das neue System installiert. Er hat ingesamt zwei Domains – und eine davon macht weniger nette 50k+ Spams pro Stunde.

Unser Postfix-Konfig sieht (sehr grob) in etwa so aus:

1. Lass authentifizierte (SASL, IP, Cert) durch.
2. lehne alle “kaputten” (Hostname / Domain gibts nicht, IP aus LAN oder nicht vergeben etc) und alle falsch konfigurierten (sendet kein HELO, schickt falsche Reihenfolge usw).
3. Whitelists spring nach 5).
4. Blacklists.
5. Greylist.
6. Spamfilter.
7. Auslieferung.

Aufgrund dieser einen Domain hatten wir also an allen Ecken mehr Last. Es kamen ca 7k/Stunde Abfragen (also das, was die “simplen” Checks von 2. überstanden hat) auf den eingesetztzen Blacklists hinzu. Diese wurden von lokalen DNS Server(n) zwischengespeichert, was dort mehr Last machte usw.
Natürlich ist diese eine Domain kein Problem, aber wir haben noch 80% unserer Bestandssdomains vor uns und hoffen natürlich auch noch auf Neukunden. Sollten dabei noch viele solcher Domains dabei sein ..

Also musste ich ein wenig umdisponieren. Und siehe da, ich habe die Last der Blacklistanfragen von obigen 7k auf lockere 20 (alles für diese eine Domain) reduzieren können.
Des Pudels Kern heisst “reject_unlisted_recipient” und war schon immer Bestandteil der Konfiguration – nur eben sehr spät (zwischen 4. und 5. in etwa).
Ich habe es jetzt zwischen 2. und 3. gesetzt und damit halten wir eine unglaubliche Menge auf. Das hat das gesamte System merklich entlastet.

Aber es gibt natürlich auch Nachteile. Spammer können nun Mailadressen scannen indem sie die Antworten einfach Auswerten. Das konnten sie zwar vorher auch, mussten aber erstmal an den Blacklists vorbei kommen. Aber ehrlich gesagt ist es mir lieber, wenn die Spammer die vier Adressen dieser einen Domain kennen und nur diese zupflastern als die Zigtillionen die es garnicht gibt und sie derzeit beglücken.
Das frühe Ablehnen hat übrigens tatsächlich schon die anfängliche Anzahl von 50k/Stunde auf knapp die Hälfte reduziert.