[Postfix-br] Servidor com postfix derrubando internet
Marcio L Santos
marciolsantos80 em gmail.com
Terça Abril 15 21:56:53 BRT 2014
Obrigado Andre pelas dicas;
O link é compartilhado entre o servidor de e-mail ( que esta numa dmz
no firewall) e a rede( aprox 20 maquinas)
Hoje de tarde quando ocorreu o problema acompanhei um pouco o iftop na
interface do servidor de e-mail, e o trafego era algo de 80 Mb para TX
(up) e 20 de rx (down) em 15 mintuos. Precisei deixar o serviço do
postfix parado por umas 2 horas para nao derrubar o link, subia o
servico e em menos de 5 minutos ja estava tudo travando ( perda de
pacotes a 50% no link externo), so estabilizou depois das 20:00 hs,
agora o serviço esta no ar, acesso normal, a fila que se formou nessas
3 horas e poco foi de quase 300 mails e ja foi praticamente zerada.
Rodei tambem o tcpdump na interface de rede do servidor de e-mail, e
90% do trafego é na porta 25 mesmo ( em torndo de 70% em up - tx).....
e alteracao no postfix ate a gora o que fiz foi adicionar as linhas ao main.cf
smtpd_error_sleep_time = 1s
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
smtpd_client_connection_count_
limit = 10
smtpd_client_connection_rate_limit = 60
Vou reduzir o anexo para 10 Mb
Tentei instalar o fail2ban tambem ( no servidor de e-mail)...mas ainda
nao me acertei com ele
Em 15 de abril de 2014 21:33, André Weber <msaweber em gmail.com> escreveu:
> Marcio algumas dicas que pode te ajudar, não sei se você tem este
> conhecimento.
> De qualquer forma é uma ajuda.
>
> Você falou que tem consumo de 70% do link, mas isso de download ou de
> upload?
> Lembro você que um ADSL não tem garantia de banda.
> Este link esta somente para trafego de emails?
> Minha opinião, 20MB de anexo é muito grande. Lembro que um anexo aumenta de
> tamamho aproximadamente uns 30%.
> Então estamos falando de uns 26MB dependendo do anexo. (recomendo máximo de
> 10MB)
> Ao enviar alguns emails simultaneamente com anexos você facilmente consome
> 1MB de upload. Dai o link cai até mesmo para navegação.
> Lembro você que a navegação e downloads também consomem o upload do link,
> portanto o Upload não é de 1MB somente para o envio de emails.
> Pelo seu relato que o link é derrubado, parece ser consumo de upload.
>
> Diminua o tamanho anexo.
> Defina os parametros que limita o numero de conexões simultaneas de um mesmo
> IP.
> Defina o número de destinatário por mensagem.
>
> Você conhece o comando IFTOP
>
> Acho que no momento que o link cair você descobre o que está consumindo
> banda com o IFTOP.
>
>
> iftop -i eth0 -B
>
> Mostra o trafego e o protocolo utilizado, monitore a interface de WAN (adsl)
> Depois monitore o trafego na placa da rede local, assim você descobre que IP
> da rede está consumindo banda.
> Se tiver samba neste servidor fica mais dificil monitorar a interface local
> devido trafego de arquivos,
>
>
>
> Falow.
>
>
>
>
>
> Em 14 de abril de 2014 17:26, Marcio L Santos <marciolsantos80 em gmail.com>
> escreveu:
>
>> Ola Andre, seguem as respostas. Agradeço a ajuda, nao sou muito
>> familiarizado ainda com administracao de servidor postfix...
>>
>>
>> Você já verificou quantos emails diários seu servidor está enviando e
>> recebendo?
>> Nao... achei esse post, seria algo assim?
>> http://blog.eduardo.nunes.net.br/618/linux/script-relatorio-emails-postfix
>>
>> O link de internet não está sendo 100% utilizado para trafego de emails?
>> Em monentos chega a consumir 70% do link...
>>
>> Qual velocidade de down/Upload é o seu link?
>> 10 down e 1 Mb de up ( link adsl )
>>
>> Qual o tamanho máximo de anexo você permite?
>> 20 Mb
>>
>>
>> Em 14 de abril de 2014 17:17, André Weber <msaweber em gmail.com> escreveu:
>> > Marcio,
>> >
>> > Algumas perguntas que podem ajudar a solucionar o problema.
>> >
>> > Você já verificou quantos emails diários seu servidor está enviando e
>> > recebendo?
>> > O link de internet não está sendo 100% utilizado para trafego de emails?
>> > Qual velocidade de down/Upload é o seu link?
>> > Qual o tamanho máximo de anexo você permite?
>> >
>> >
>> >
>> >
>> >
>> > Em 14 de abril de 2014 16:12, Marcio L Santos
>> > <marciolsantos80 em gmail.com>
>> > escreveu:
>> >
>> >> Obrigado Andre, achei este artigo:
>> >>
>> >>
>> >> http://www.cyberciti.biz/faq/postfix-limit-incoming-or-receiving-email-rate/
>> >>
>> >> Onde ele cita essas 3 linhas:
>> >> smtpd_error_sleep_time = 1s
>> >> smtpd_soft_error_limit = 10
>> >> smtpd_hard_error_limit = 20
>> >>
>> >> Coloquei elas no final do meu main.cf.
>> >> Seria algo assim que voce comentou?
>> >>
>> >>
>> >>
>> >> Em 11 de abril de 2014 12:03, André Weber <msaweber em gmail.com>
>> >> escreveu:
>> >> > Dá uma lida sobre
>> >> >
>> >> > smtpd_soft_error_limit =
>> >> > smtpd_hard_error_limit =
>> >> >
>> >> > Os varios servidores que mantenho estão assim:
>> >> >
>> >> > smtpd_soft_error_limit = 10
>> >> > smtpd_hard_error_limit = 25
>> >> >
>> >> >
>> >> >
>> >> >
>> >> > Em 11 de abril de 2014 10:46, Marcio L Santos
>> >> > <marciolsantos80 em gmail.com>
>> >> > escreveu:
>> >> >
>> >> >> Obrigado Andre e Esdras...
>> >> >> Como faço o ajuste no main.cf para limitar as conexoes por ip
>> >> >> ?.....dei
>> >> >> uma pesquisada mas nao achei algo com o limite de conexoes por
>> >> >> ip.....
>> >> >> Quanto ao envio de spam...por enquanto nao entrei em nenhuma
>> >> >> blacklist....usei o comando:
>> >> >> grep client= /var/log/maillog|cut -d: -f5|sort| uniq -c|sort -n|grep
>> >> >> sasl_method=LOGIN
>> >> >> para ver os logins ( que usava com o zimbra) e nao tem logins
>> >> >> suspeitos
>> >> >> ou
>> >> >> muitos da mesma conta ( todos sao da rede interna, nenhum login de
>> >> >> fora).
>> >> >>
>> >> >> Depois vou dar uma pesquisada e estudada no fail2ban tambem.....
>> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >> >> Em 11 de abril de 2014 09:40, Esdras La-Roque
>> >> >> <esdras.laroque em gmail.com>
>> >> >> escreveu:
>> >> >>
>> >> >>> implemente fail2ban que resolve.
>> >> >>>
>> >> >>>
>> >> >>> Em 10 de abril de 2014 22:25, André Weber <msaweber em gmail.com>
>> >> >>> escreveu:
>> >> >>>
>> >> >>>> Ajuste o main.cf limitando numero de conexões por IP. Assim você
>> >> >>>> garante
>> >> >>>> que apenas um IP não sobre carregue seu server. Seu servidor não
>> >> >>>> esta
>> >> >>>> enviando spam? Já passei por este problema mas o problema foi
>> >> >>>> ataque
>> >> >>>> no
>> >> >>>> apache.
>> >> >>>>
>> >> >>>> Em 10/04/2014 21:59, "Marcio L Santos" <marciolsantos80 em gmail.com>
>> >> >>>> escreveu:
>> >> >>>>>
>> >> >>>>> Boa noite pessoal, essa semana surgiu um problema: Tenho um
>> >> >>>>> servidor
>> >> >>>>> postfix ( roda num centos 5.6) com dovcot e contas pop...Ele esta
>> >> >>>>> conectado
>> >> >>>>> ao firewall numa placa dedicada ( dmz).
>> >> >>>>> Estava tudo certo ate a internet começar a cair no firewall....o
>> >> >>>>> ping
>> >> >>>>> externo ficava alto ( algo entre 300 e 500 ms, quando o normal é
>> >> >>>>> no
>> >> >>>>> max
>> >> >>>>> 80), perda de pacotes em torno de 40% ate chegar a cair o link
>> >> >>>>> adls
>> >> >>>>> ( perdia
>> >> >>>>> a conexao , no modem dava como dow....precisava reiniciar pra
>> >> >>>>> voltar).
>> >> >>>>> Fazendo testes vi que quando desconectava o cabo da placa que
>> >> >>>>> conecta
>> >> >>>>> ao servidor de e-mail o ping voltava ao normal, e a intenet
>> >> >>>>> tbm....conectava
>> >> >>>>> ele e o problema voltava....
>> >> >>>>> Rodando um tcpdump no ip dele e porta 25, tem centenas de
>> >> >>>>> conexoes
>> >> >>>>> por
>> >> >>>>> minuto.....em 20 minutos gerava um trafeco de algo em torno de
>> >> >>>>> 200
>> >> >>>>> Mb na
>> >> >>>>> interface....Esse servidor nao tem mais que 30 contas de e-mail.
>> >> >>>>> Tentei fazer uma regra no firewal, limitando as conexaoes na
>> >> >>>>> porta
>> >> >>>>> 25
>> >> >>>>> na interface do servidor postfiz a 30 a cada 10
>> >> >>>>> segundos.....melhorou mas
>> >> >>>>> nao resolveu ainda....
>> >> >>>>> Fiz teste de relay e esta fechado...gostaraia de sugestoes de
>> >> >>>>> como
>> >> >>>>> descobrir as causas desse problema e resolve-lo...
>> >> >>>>> Obrigado.
>> >> >>>>>
>> >> >>>>> _______________________________________________
>> >> >>>>> Postfix-br mailing list
>> >> >>>>> Postfix-br em listas.softwarelivre.org
>> >> >>>>>
>> >> >>>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >> >>>>>
>> >> >>>>
>> >> >>>> _______________________________________________
>> >> >>>> Postfix-br mailing list
>> >> >>>> Postfix-br em listas.softwarelivre.org
>> >> >>>>
>> >> >>>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >> >>>>
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> --
>> >> >>> Esdras La-Roque
>> >> >>> Analista e Desenvolvedor de Sistemas
>> >> >>>
>> >> >>> LPI-1 | Linux Professional Institure - Nível 1
>> >> >>> MCITP | Microsoft Virtualization Administrator
>> >> >>> NCLA | Novell Certified Linux Administrator
>> >> >>> DCTS | Data Center Technical Specialist
>> >> >>>
>> >> >>> _______________________________________________
>> >> >>> Postfix-br mailing list
>> >> >>> Postfix-br em listas.softwarelivre.org
>> >> >>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >> >>>
>> >> >>
>> >> >>
>> >> >> _______________________________________________
>> >> >> Postfix-br mailing list
>> >> >> Postfix-br em listas.softwarelivre.org
>> >> >> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >> >>
>> >> >
>> >> >
>> >> >
>> >> > --
>> >> > _____________
>> >> > André Weber
>> >> >
>> >> > _______________________________________________
>> >> > Postfix-br mailing list
>> >> > Postfix-br em listas.softwarelivre.org
>> >> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >> >
>> >> _______________________________________________
>> >> Postfix-br mailing list
>> >> Postfix-br em listas.softwarelivre.org
>> >> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >
>> >
>> >
>> >
>> > --
>> > _____________
>> > André Weber
>> >
>> > _______________________________________________
>> > Postfix-br mailing list
>> > Postfix-br em listas.softwarelivre.org
>> > http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>> >
>> _______________________________________________
>> Postfix-br mailing list
>> Postfix-br em listas.softwarelivre.org
>> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
>
>
>
> --
> _____________
> André Weber
>
> _______________________________________________
> Postfix-br mailing list
> Postfix-br em listas.softwarelivre.org
> http://listas.softwarelivre.org/cgi-bin/mailman/listinfo/postfix-br
>
More information about the Postfix-br
mailing list