![\"\"](\"http:\/\/blog.roellig-it.de\/wp-content\/uploads\/2012\/01\/postfix_queue1.png\" "\\"postfix_queue\\"")
<\/a>Daher warf ich mal einen Blick in den Greylisting Graphen von Nagios der mich auch mit nichts wirklich neuem \u00dcberraschte. Wie erwartet kommt der Tempor\u00e4r Greylisting M\u00fcll nicht wieder, da Spambots meist keine Queue habe, im gegensatz zu einem Ordentlichen Mailserver der durch das Greylisting zu einem neuen Zustellversuch anregt wird.<\/p>\nDas heisst also die einliefernden Mailserver sind keine Dummen Bots sondern vermutlich richtige Mailserver, eventuell sogar noch nicht Blackgelistete Offene Relays. Damit ist jetzt die zweite Stuffe \u00fcberwunden, als erste Stufe das Blacklisting, als zweite Stufe das Greylisting, die dritte Stufe w\u00e4re jetzt das Blocken von Falschen EHLOs, falschen localhosts oder das Abweisen von Mails an nicht vorhandene User.<\/p>\n
Ein Blick in das Postfix Log verriet aber das der gr\u00f6sste Teil an vorhandene User geht die auch merkw\u00fcrdiger weise alle in einer Domain liegen. Daher bleibt jetzt nur noch der Spam Filter, also Amavis mit Clam als Virenscanner. Aber auch hier, Amavis hat reichlich zu schaffen und einige Mails schaffen es sogar als Spam eingestufft zu werden, diese werden dann als **SPAM** makiert und in den Spam Ordner einsortiert. Das einordnen der Spammails l\u00e4uft bei uns \u00fcber Sieve.<\/p>\n
Da Postfix jetzt schon seit Stunden regelrecht Bombariert wird, und Postfix\u00b4s Queue so langsam am \u00dcberquellen ist, kommt hier jetzt zwangsl\u00e4uftig Nagios ins Spiel, der mit Hilfe von Check MK den kompletten Mailcluster im Auge hat. Die Checks werden durch Check MK generiert, da die 4 Postfix SMTP Server in den unterschiedlichen Rechenzentren meist wenig zu tun haben und auch die Server gen\u00fcgend Reserven haben sind die Alarmschwellen der Postfix Queue auch entsprechend oben angesetzt.<\/p>\n
In der main.mk steht f\u00fcr Postfix deshalb dieses drin:<\/p>\n
checks += [ ( [’smtp01′, ’smtp02′, ’smtp03′, ’smtp04′], ‚postfix_mailq‘, None, ( 2000, 5000 ) ) ]<\/p>\n
Das bedeutet das eine WARN ausgegeben wird wenn in der Queue 2000 Mails stehen, und ein CRITICAL wird bei 5000 Mails abgesetzt. Die WARN und CRITICAL Grenzen haben wir durch einige Test im Vorfeld festgestellt und wurden im Laufe der Jahre immer ein bisschen der neuen Hardware angepasst.<\/p>\n
Da Nagios schon ein paar mal in den CRITICAL Status gewechselt ist, kam nat\u00fcrlich auch gleich jedesmal eine SMS Benachrichtigung aufs Handy. Da ich keine Lust habe das System K\u00fcnstlich Mundtot zu machen, in dem ich einfach die Benachrichtigungen Abschalte, hab ich mich dann doch gleich mal an den Rechner gesetzt und hab ein wenig die Postfix Logs durchsucht.<\/p>\n
Dabei ist mir aufgefallen das es bisher 6 IP\u00b4s gibt die in Abst\u00e4nden von einigen Stunden immer wieder auftauchen. Merkw\u00fcrdig ist auch das 4 IP\u00b4s aus den USA kommen und zwei aus Frankreich. Also hab ich mal ein bisschen mit DIG und nslookup rumgespielt und siehe da es gab auch drei Domains die sich den Franz\u00f6sischen IP\u00b4s zuordnen liessen.<\/p>\n
ALSO gleich mal ein Paar Mails an die Postmaster\/Abuse Abteilung losgeschickt, was meines Erachtens meist aber nicht viel bringt, den nur in den seltensten F\u00e4llen bekommt man darauf eine Antwort. Aber ich konnte immerhin auch noch rausfinden das die zwei Franz\u00f6schichen Spammer IP\u00b4s einem Hosting Anbieter geh\u00f6ren bei dem ich auch noch eine passende Mailadresse fand.<\/p>\n
Da meine Freundin eine Waschechte Franz\u00f6sin ist konnte die Kommunikation gleich in der entsprechenden Landessprache mit Nachdruck erledigt werden.<\/p>\n
Mal sehen wie lange das Dauert bis die Franzosen sich Bewegen!!<\/p>\n
Bei den 4 anderen IP\u00b4s aus den USA konnte ich auch nach ein bisschen suchen mit DIG, nslookup und WHOIS trotz Whois Protection einer IP auch die Betreiber finden, die sich auch gleich eine Abuse Mail eingefangen haben.<\/p>\n
Mal sehen wie lange das Dauert bis die Amerikaner sich Bewegen!!<\/p>\n
Die Letzte h\u00fcrde ist nun das Postfach der Domain, da bei uns alle Mailboxen ein Quota haben wird nat\u00fcrlich irgendwann die Quota beschr\u00e4nkung greifen, und damit werden dann alle einlaufenden Mails Tempor\u00e4r zur\u00fcckgewiesen.<\/p>\n
Ich hoffe das der Spuck hier bald vorbei ist und unser smtp01 wieder zur Ruhe kommt.<\/p>\n","protected":false},"excerpt":{"rendered":"
… und zwar seit mehreren Stunden sehr Massiv.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[],"class_list":["post-60","post","type-post","status-publish","format-standard","hentry","category-postfix"],"_links":{"self":[{"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/posts\/60","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/comments?post=60"}],"version-history":[{"count":3,"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/posts\/60\/revisions"}],"predecessor-version":[{"id":259,"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/posts\/60\/revisions\/259"}],"wp:attachment":[{"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/media?parent=60"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/categories?post=60"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.roellig-it.de\/index.php\/wp-json\/wp\/v2\/tags?post=60"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}