… und zwar seit mehreren Stunden sehr Massiv.
Normalerweise liegen in der Postfix Queue nicht wirklich viel Mails rum, je nach dem ob die Mails in eines unserer anderen Rechenzentren geroutet wird, insgesamt Betreiben wir 4 Rechenzentren in Deutschland, oder das Tägliche Backup der Mailserver läuft. Auch das Verschieben der Mailboxen innerhalb es Cluster lässt kurzzeitig für die entsprechende Mailbox die Queue ansteigen. Das liegt dann aber meist in einem Rahmen der nicht höher als 100 Mails liegt. Ausserdem liegen die Postfix Queues auf einem SAS Raid10, bzw. in einer Ramdisk und das System hat genug Reserven um einen Ansturm von SMTP Traffic wegzustecken.
Aber seit ein Paar Stunden ist auf unserem smtp01 ein Ordentlicher Wellengang!! Seit mehr als 10 Stunden geht das so, Rauf Runter und wieder Rauf und wieder Runter. Wenn man zu lange hinsieht könnte einem Schlecht werden, also Vorsicht!!!! 
Daher warf ich mal einen Blick in den Greylisting Graphen von Nagios der mich auch mit nichts wirklich neuem Überraschte. Wie erwartet kommt der Temporär Greylisting Müll nicht wieder, da Spambots meist keine Queue habe, im gegensatz zu einem Ordentlichen Mailserver der durch das Greylisting zu einem neuen Zustellversuch anregt wird.
Das heisst also die einliefernden Mailserver sind keine Dummen Bots sondern vermutlich richtige Mailserver, eventuell sogar noch nicht Blackgelistete Offene Relays. Damit ist jetzt die zweite Stuffe überwunden, als erste Stufe das Blacklisting, als zweite Stufe das Greylisting, die dritte Stufe wäre jetzt das Blocken von Falschen EHLOs, falschen localhosts oder das Abweisen von Mails an nicht vorhandene User.
Ein Blick in das Postfix Log verriet aber das der grösste Teil an vorhandene User geht die auch merkwürdiger weise alle in einer Domain liegen. Daher bleibt jetzt nur noch der Spam Filter, also Amavis mit Clam als Virenscanner. Aber auch hier, Amavis hat reichlich zu schaffen und einige Mails schaffen es sogar als Spam eingestufft zu werden, diese werden dann als **SPAM** makiert und in den Spam Ordner einsortiert. Das einordnen der Spammails läuft bei uns über Sieve.
Da Postfix jetzt schon seit Stunden regelrecht Bombariert wird, und Postfix´s Queue so langsam am Überquellen ist, kommt hier jetzt zwangsläuftig Nagios ins Spiel, der mit Hilfe von Check MK den kompletten Mailcluster im Auge hat. Die Checks werden durch Check MK generiert, da die 4 Postfix SMTP Server in den unterschiedlichen Rechenzentren meist wenig zu tun haben und auch die Server genügend Reserven haben sind die Alarmschwellen der Postfix Queue auch entsprechend oben angesetzt.
In der main.mk steht für Postfix deshalb dieses drin:
checks += [ ( [’smtp01′, ’smtp02′, ’smtp03′, ’smtp04′], ‚postfix_mailq‘, None, ( 2000, 5000 ) ) ]
Das bedeutet das eine WARN ausgegeben wird wenn in der Queue 2000 Mails stehen, und ein CRITICAL wird bei 5000 Mails abgesetzt. Die WARN und CRITICAL Grenzen haben wir durch einige Test im Vorfeld festgestellt und wurden im Laufe der Jahre immer ein bisschen der neuen Hardware angepasst.
Da Nagios schon ein paar mal in den CRITICAL Status gewechselt ist, kam natürlich auch gleich jedesmal eine SMS Benachrichtigung aufs Handy. Da ich keine Lust habe das System Künstlich Mundtot zu machen, in dem ich einfach die Benachrichtigungen Abschalte, hab ich mich dann doch gleich mal an den Rechner gesetzt und hab ein wenig die Postfix Logs durchsucht.
Dabei ist mir aufgefallen das es bisher 6 IP´s gibt die in Abständen von einigen Stunden immer wieder auftauchen. Merkwürdig ist auch das 4 IP´s aus den USA kommen und zwei aus Frankreich. Also hab ich mal ein bisschen mit DIG und nslookup rumgespielt und siehe da es gab auch drei Domains die sich den Französischen IP´s zuordnen liessen.
ALSO gleich mal ein Paar Mails an die Postmaster/Abuse Abteilung losgeschickt, was meines Erachtens meist aber nicht viel bringt, den nur in den seltensten Fällen bekommt man darauf eine Antwort. Aber ich konnte immerhin auch noch rausfinden das die zwei Französchichen Spammer IP´s einem Hosting Anbieter gehören bei dem ich auch noch eine passende Mailadresse fand.
Da meine Freundin eine Waschechte Französin ist konnte die Kommunikation gleich in der entsprechenden Landessprache mit Nachdruck erledigt werden.
Mal sehen wie lange das Dauert bis die Franzosen sich Bewegen!!
Bei den 4 anderen IP´s aus den USA konnte ich auch nach ein bisschen suchen mit DIG, nslookup und WHOIS trotz Whois Protection einer IP auch die Betreiber finden, die sich auch gleich eine Abuse Mail eingefangen haben.
Mal sehen wie lange das Dauert bis die Amerikaner sich Bewegen!!
Die Letzte hürde ist nun das Postfach der Domain, da bei uns alle Mailboxen ein Quota haben wird natürlich irgendwann die Quota beschränkung greifen, und damit werden dann alle einlaufenden Mails Temporär zurückgewiesen.
Ich hoffe das der Spuck hier bald vorbei ist und unser smtp01 wieder zur Ruhe kommt.