Hallo Liste!
Bin gerade dabei ein Mailgateway für ein paar externe Domains aufzubauen. Leider habe ich nicht die Möglichkeit die Accountdaten zu synchronisieren, deshalb habe ich mir gedacht ich löse das Problem mittels Recipient Verification. Möchte nämlich kein Backscatter-Source sein ;)
Jetzt besteht leider nur das Problem die richtigen Einstellungen für das Caching der Empfängeradressen zu finden.
Die Standardeinstellungen zum positiv Caching finde ich ziemlich gut, jedoch beim negativ Caching gibts noch Probleme.
Generell wollte ich das negativ Caching deaktivieren, da ich denke, dass die Datenbank ziemlich schnell zugemüllt ist, und die meisten Spammer immer neue Adressen generieren, jedoch bei der Einstellung "address_verify_negative_cache = no" wird immer beim 1. Versuch ein temporärer Fehler zurück gegeben, dies möchte ich jedoch vermeiden.
Ich habe mir auch den Parameter "address_verify_negative_refresh_time = 3h" angesehen. Wenn ich das richtig verstanden habe prüft Postfix jede nicht existierende Adresse alle 3 Stunden am Backend-Server. Falls es die Adresse auf einmal doch gibt wird die expire-time abgwartet ansonsten wird die expire-time erneuert?
Bei einer dictionary attack würde das ja bedeuten, dass erstmal alle nicht gültigen Adressen in der Verfify DB landen, und dann noch alle 3 Stunden auf dem Backend-Server verifiziert werden. Das würde ja heißen, dass die Attacke den Backend-Server mehrmals belastet.
Hab ich hier was komplett falsch verstanden? Wie löst ihr das Problem in der Praxis? Was wären hier die optimalen Einstellungen um die DB nicht zuzumüllen und die Backend-Server nicht zu sehr zu belasten.
Mein Idee wäre folgende:
address_verify_negative_expire_time = 2h address_verify_negative_refresh_time = 3h
Alle negativ Einträge werden nur 2 Stunden gecached, dann autom. gelöscht. Die refresh_time ist größer als die expire_time und ein Refresh kommt deshalb nie zustande.
Vielen Dank für eure Hilfe!
Alex