Помогите решить проблему с smtp-сервером.
Пару тысяч юзеров сидят за натом, у многих вирусы засирают потовую очередь, за сутки по 200к писем сыпятся в /var/spool/mqueue из-за этого полезная почта часто не уходит.
Закрывать натовый ip нельзя.
Какие решения существуют в данной ситуации?
Sendmail, smtp через nat и mqueue, проблемы со спамом
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- мл. сержант
- Сообщения: 130
- Зарегистрирован: 2011-02-21 12:50:03
Re: Sendmail, smtp через nat и mqueue, проблемы со спамом
То есть, юзеры к серверу ходят из-за нат и их сложно идентифицировать ? Если да, то на чём сделан NAT ? Если это компьютер с *nix, то надо поставить там MTA и сделать редирект 25-ого порта на него. Tогда в Received всё будет фиксироваться. Если NAT на железке какой-то, то надо отключить NAT при доступе к IP сервера и, опять же, сделать редирект 25-ого порта, или reject, чтобы наружу мимо не прорывались.
Далее sendmail-специфичное. Во-первых, надо ограничить частоту отправок по IP, во вторых, не плохо включить greet pause, в третьих ограничить количество соединений с одного IP.
в mc как-то так:
FEATURE(`greet_pause', `5000')dnl
FEATURE(`ratecontrol', `nodelay', `terminate')dnl
FEATURE(`conncontrol', `nodelay', `terminate')dnl
и в access как-то так:
ClientRate:127.0.0.1 0
ClientRate: 15
ClientConn:127.0.0.1 0
ClientConn: 10
Плюс, на самом деле, Sendmail поддерживает более одной очереди. Можно сделать несколько больше:
define(`QUEUE_DIR',`/var/spool/mqueue/queue*')dnl
соответственно, далее только насоздавать подкаталогов queue001, queue002 и т.д.
Ну и следить, нещадно и быстро отключать, чистить спул.
Далее sendmail-специфичное. Во-первых, надо ограничить частоту отправок по IP, во вторых, не плохо включить greet pause, в третьих ограничить количество соединений с одного IP.
в mc как-то так:
FEATURE(`greet_pause', `5000')dnl
FEATURE(`ratecontrol', `nodelay', `terminate')dnl
FEATURE(`conncontrol', `nodelay', `terminate')dnl
и в access как-то так:
ClientRate:127.0.0.1 0
ClientRate: 15
ClientConn:127.0.0.1 0
ClientConn: 10
Плюс, на самом деле, Sendmail поддерживает более одной очереди. Можно сделать несколько больше:
define(`QUEUE_DIR',`/var/spool/mqueue/queue*')dnl
соответственно, далее только насоздавать подкаталогов queue001, queue002 и т.д.
Ну и следить, нещадно и быстро отключать, чистить спул.
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2011-03-18 16:14:15
Re: Sendmail, smtp через nat и mqueue, проблемы со спамом
Спасибо за совет, но решил проблему по-другому.
Да NAT работает на unix машине.
Утилиткой conntrack на нат-машине, я вычисляю локальный ip абонента с которой идет много конектов к ip почтовика.
/usr/sbin/conntrack -L -n -d (ip smtp)
потом в /etc/sysconfig/iptables вношу правило FORWARD где все подключения к почтовику DROP'аю
Да NAT работает на unix машине.
Утилиткой conntrack на нат-машине, я вычисляю локальный ip абонента с которой идет много конектов к ip почтовика.
/usr/sbin/conntrack -L -n -d (ip smtp)
потом в /etc/sysconfig/iptables вношу правило FORWARD где все подключения к почтовику DROP'аю