[postfix-users] Postfix und DNS
Hi Leute,
kleine Frage zu Postfix und DNS.
Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von unbekannten IP´s annimmt. (reject_unknown_client)
Das funktioniert auch alles einwandfrei... allerdings kann es unter Umständen Probleme geben, wenn mal ein DNS Server von uns nicht erreichbar ist. In dem Moment kann Postfix kein DNS Lookup auf die IP machen und kann daher nicht feststellen, ob es sich um ein unbekannte IP handelt oder nicht.
Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server ein, falls einer mal down ist.
Allerdings scheint es Postfix nur mit dem Primären DNS Server zu probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw. werden von Postfix abgewiesen.
Als Lösungsmöglichkeit sehe ich folgende: Einfach auf jedem Postfix Server einen einzelnen bind9 installieren, der nur auf localhost hört und somit kann Postfix vollkommen unabhängig seine DNS Abfragen machen?
Wie macht ihr das? Gibt es dazu eventuell noch bessere Lösungen? Unsere DNS Server sind zwar hochverfügbar aber mir geht es um genau die 30 Sekunden downtime wenn ein DNS Server mal rebootet z.B. wegen Sicherheitsupdates.
Besten Dank im Voraus.
Gruß
Morten Stevens
* Morten P.D. Stevens mstevens@imt-systems.com:
Hi Leute,
kleine Frage zu Postfix und DNS.
Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von unbekannten IP´s annimmt. (reject_unknown_client)
Na eher von IPs denen kein Hostname zugeordnet ist (vereinfacht gesagt)
Das funktioniert auch alles einwandfrei... allerdings kann es unter Umständen Probleme geben, wenn mal ein DNS Server von uns nicht erreichbar ist. In dem Moment kann Postfix kein DNS Lookup auf die IP machen und kann daher nicht feststellen, ob es sich um ein unbekannte IP handelt oder nicht.
In dem Fall gibts dann einen TEMPFAIL
Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server ein, falls einer mal down ist.
Allerdings scheint es Postfix nur mit dem Primären DNS Server zu probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw. werden von Postfix abgewiesen.
Postfix macht das nicht,d as machen die resolverbibliotheken des Systems
Als Lösungsmöglichkeit sehe ich folgende: Einfach auf jedem Postfix Server einen einzelnen bind9 installieren, der nur auf localhost hört und somit kann Postfix vollkommen unabhängig seine DNS Abfragen machen?
Empfiehlt sich eh.
Am 05.01.2010 16:13, schrieb Ralf Hildebrandt:
Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server ein, falls einer mal down ist.
Allerdings scheint es Postfix nur mit dem Primären DNS Server zu probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw. werden von Postfix abgewiesen.
Postfix macht das nicht,d as machen die resolverbibliotheken des Systems
Und diese lassen sich selbstverständlich konfigurieren.
z.B. options rotate in /etc/resolv.conf schreiben...
man 5 resolv.conf ...
Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von unbekannten IP´s annimmt. (reject_unknown_client)
Das funktioniert auch alles einwandfrei... allerdings kann es unter Umständen Probleme geben, wenn mal ein DNS Server von uns nicht erreichbar ist. In dem Moment kann Postfix kein DNS Lookup auf die IP machen und kann daher nicht feststellen, ob es sich um ein unbekannte IP handelt oder nicht.
Postfix unterscheidet hier. Auch wenn Du solche Nachrichten eigentlich mit einem 5xx Fehlercode permanent abweist, gibt postfix bei DNS Problemen nur einen temporaeren 4xx Fehler zurück. Das sollte den Sender veranlassen, es nochmal zu versuchen, wenn Euer DNS Problem (hoffentlich) gefixt ist.
Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server ein, falls einer mal down ist.
Allerdings scheint es Postfix nur mit dem Primären DNS Server zu probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw. werden von Postfix abgewiesen.
/Aus http://www.postfix.org/faq.html:
"Postfix/ calls the C library /routines/ gethostbyname() and gethostbyaddr() in..."
Sprich: Postfix steuert keine Nameserver direkt an, sondern verwendet Bibliotheksfunktionen, die auch von vielen anderen Programmen verwendet werden. Wir verwenden hier auch mehrere Nameserver und durch die regelmäßigen K-Fall Tests (RZs werden der Reihe nach ausgeschaltet) weiß ich, dass dieser Mechanismus prinzipiell wunderbar funktioniert.
Als Lösungsmöglichkeit sehe ich folgende: Einfach auf jedem Postfix Server einen einzelnen bind9 installieren, der nur auf localhost hört und somit kann Postfix vollkommen unabhängig seine DNS Abfragen machen?
Ist ein Workaround - aus o.g. Gründen glaube ich aber, dass Ihr ein anderes Problem habt:
- postfix läuft chrooted und ihr habt in der /var/spool/postfix/etc/hosts nur einen NS eingetragen - einer eurer beiden NS antwortet dem postfix nicht und das fällt nur nicht auf, weil der andere ja im normalfall alle queries beantwortet. erst bei deaktivierung dieses ns klappt es dann - eure OS internen gethostby*() sind borked - ...
Wie macht ihr das? Gibt es dazu eventuell noch bessere Lösungen? Unsere DNS Server sind zwar hochverfügbar aber mir geht es um genau die 30 Sekunden downtime wenn ein DNS Server mal rebootet z.B. wegen Sicherheitsupdates.
Wie beschrieben - wir müssen da gar nichts tun, weil dieser Mechanismus wunderbar funktioniert.
Kannst Du denn z.B. auf der Kommandozeile über beide NS Namen auflösen?
Grüße, Jan
Morten P.D. Stevens wrote:
Wie macht ihr das? Gibt es dazu eventuell noch bessere Lösungen? Unsere DNS Server sind zwar hochverfügbar aber mir geht es um genau die 30 Sekunden downtime wenn ein DNS Server mal rebootet z.B. wegen Sicherheitsupdates.
Dass es in den Ausfall-Zeiten nur temporäre Fehler gibt und ein DNS-Cache nur für Postfix deshalb nicht notwendig ist wurde ja schon erwähnt. Da aber auch andere Programme in der Mailqueue recht viele DNS-Anfragen stellen (bei mir: postgrey, policy-weightd, amavis, spamassassin), lohnt sich ein lokaler DNS-Cache aus Performance-Gründen trotzdem.
Ich habe dafür den dnscache aus djbdns (http://cr.yp.to/djbdns.html) installiert, weil er klein und pflegeleicht ist.
Am 05.01.2010 15:56, schrieb Morten P.D. Stevens:
Hi Leute,
kleine Frage zu Postfix und DNS.
Wir haben mehrere Sperren eingebaut, dass Postfix z.B. keine Mails von unbekannten IP´s annimmt. (reject_unknown_client)
Das funktioniert auch alles einwandfrei... allerdings kann es unter Umständen Probleme geben, wenn mal ein DNS Server von uns nicht erreichbar ist. In dem Moment kann Postfix kein DNS Lookup auf die IP machen und kann daher nicht feststellen, ob es sich um ein unbekannte IP handelt oder nicht.
Daher trägt man für gewöhnlich in der /etc/resolv.conf mehrere DNS Server ein, falls einer mal down ist.
Allerdings scheint es Postfix nur mit dem Primären DNS Server zu probieren.. in der Zeit können natürlich schon Mails verloren gehen bzw. werden von Postfix abgewiesen.
Als Lösungsmöglichkeit sehe ich folgende: Einfach auf jedem Postfix Server einen einzelnen bind9 installieren,
ein caching nameserver auf dem mailserver ist voellig richtig dns bezogene rejects sind per default nur temp, dh die sender mailserver muessten also erneut versuchen einzuliefern ( eben um fehler im dns einweing abzufangen), ( ich hab das teilweise in einen sofortigen reject geaendert wegen high spam aufkommen, das sollte man aber nur machen wenn man weiss was man tut ) reject_unknown_client ist eh zu hart das gibt zu viele fehler, verwende lieber reject_unknown_reverse_client_hostname
der nur auf localhost hört und somit kann Postfix vollkommen unabhängig seine DNS Abfragen machen?
Wie macht ihr das? Gibt es dazu eventuell noch bessere Lösungen? Unsere DNS Server sind zwar hochverfügbar aber mir geht es um genau die 30 Sekunden downtime wenn ein DNS Server mal rebootet z.B. wegen Sicherheitsupdates.
Besten Dank im Voraus.
Gruß
Morten Stevens
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
-----Original Message----- From: postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org [mailto:postfix-users-bounces+mstevens=imt-systems.com@de.postfix.org] On Behalf Of Robert Schetterer Sent: Tuesday, January 05, 2010 5:22 PM To: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft Subject: Re: [postfix-users] Postfix und DNS
ein caching nameserver auf dem mailserver ist voellig richtig dns bezogene rejects sind per default nur temp, dh die sender mailserver muessten also erneut versuchen einzuliefern ( eben um fehler im dns einweing abzufangen), ( ich hab das teilweise in einen sofortigen reject geaendert wegen high spam aufkommen, das sollte man aber nur machen wenn man weiss was man tut ) reject_unknown_client ist eh zu hart das gibt zu viele fehler, verwende lieber reject_unknown_reverse_client_hostname
Vorab vielen Dank für alle Antworten. Mit so viel Feedback hätte ich gar nicht gerechnet.
Der Hinweis mit reject_unknown_client war nur ein Beispiel. Wir fragen auch diverse Blacklists ab und Spamassasin läuft auch wodurch natürlich eine ganze Menge DNS Abfragen entstehen. Btw Spam kommt bei uns nahezu überhaupt keiner mehr durch seit wir Postfix als Inbound/Outbound SMTP Frontend haben.
Aber ansonsten wäre es evtl. tatsächlich sinnvoller reject_unknown_client durch reject_unknown_reverse_client_hostname zu ersetzen.
Wir werden es jetzt so machen, dass jeder Postfix einen lokalen bind bekommt der nur auf 127.0.0.1 läuft und die Mailserver darüber ihre DNS Abfragen machen.
Dadurch sollten alle Postfix Server voneinander unabhängig sein und gleichzeitig reduziert sich noch etwas der Traffic auf unseren großen DNS Servern.
Bezüglich der Sache mit dem Temp. Error: Joa, das ist mir bekannt, dass ein guter Mailserver es danach noch ein paarmal probiert. Allerdings bieten wir unseren Kunden hochverfügbare Server/Software Lösungen an und da will man natürlich ein Maximum an Verfügbarkeit erreichen.
Gruß
Morten Stevens
On Behalf Of Morten P.D. Stevens
Wir werden es jetzt so machen, dass jeder Postfix einen lokalen bind bekommt der nur auf 127.0.0.1 läuft und die Mailserver darüber ihre DNS Abfragen machen.
Da du nur einen caching DNS benötigts musst du keinen Moloch wie bind nehmen
Da tut es auch der PDNS-resolver klein fein und sehr schnell. Oder einer der anderen genannten kleineren tools.
Die meisten dieser reinen DNS-Caching tools sind zudem sicherer in der Anwendung und haben weniger Angriffspunkte.
Mit freundlichen Grüßen
Drießen
Hallo Mailinglist,
ich hatte gerne mal eure Meinung.
Seit dem 04.01 haben meine fünf Mail Server ein deutlich höre Last als noch vor Weihnachten. Disk I/O und Anzahl IMAP Logins sind nicht gestiegen. Aber ich sehe im syslog jede Menge Verbindungen von "unknown" mit "554 5.7.1 Service unavailable". Ich lasse fail2ban schon ziemlich agressiv IPs sperren, aber das hat bisher nur ein bisschen was gebracht.
Gibt es bei euch ähnlich Beobachtungen? Oder liege ich komplett falsch und ich übersehe eine Fehler an einer anderen Stelle?
Gruß Boris Kunstleben
-------- Original-Nachricht --------
Datum: Thu, 07 Jan 2010 10:55:09 +0100 Von: Boris Kunstleben b.kunstleben@onoffice.de An: postfix-users@de.postfix.org Betreff: [postfix-users] Spamwelle?
Hallo Mailinglist,
ich hatte gerne mal eure Meinung.
Seit dem 04.01 haben meine fünf Mail Server ein deutlich höre Last als noch vor Weihnachten. Disk I/O und Anzahl IMAP Logins sind nicht gestiegen. Aber ich sehe im syslog jede Menge Verbindungen von "unknown" mit "554 5.7.1 Service unavailable". Ich lasse fail2ban schon ziemlich agressiv IPs sperren, aber das hat bisher nur ein bisschen was gebracht.
Gibt es bei euch ähnlich Beobachtungen? Oder liege ich komplett falsch und ich übersehe eine Fehler an einer anderen Stelle?
Kann Deine Beobachtung nicht teilen. Bei mir ist es weniger geworden (auf 2 Mail Servern mit einigen 100 Domänen). Wird wohl daran liegen, dass ich mein policyd-weight um zusätzliche Funktionen erweitert habe (habe zur Zeit p0f Integration, S25R Regeln, GeoIP und Distanzberechnung (Sender zum Empfänger) zusätzlich eingebaut. Bin noch am herum experimentieren mit SenderBase.org Integration). Mein Spam Volumen ist zur Zeit au 1.42% (100% = Inbound + Rejects).
Gruß Boris Kunstleben _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo Boris,
Boris Kunstleben schrieb:
Gibt es bei euch ähnlich Beobachtungen? Oder liege ich komplett falsch und ich übersehe eine Fehler an einer anderen Stelle?
Hmm, auf unserem kleinen Serverchen gibt es bislang keine Besonderheiten.
Aber vielleicht hat deine Beobachtung hiermit zu tun: http://www.heise.de/newsticker/meldung/Unbekannte-Mailserver-Malware-spammt-...
Gruß
Andreas
Hallo Andreas,
danke für den Tip. Ich habe tatsächlich gesehen, dass viele der eMails anscheinend von privat PCs kommen. Vlt häängts damit zusammen.
@Steve danke auch für deinen Tipp S25R klingt interessant, ich werde mir dass morgen mal anschauen.
Gruß Boris
i.A. Boris Kunstleben Administration -------------------------------------------------------------------------------------- onOffice Software GmbH Feldstr. 40 52070 Aachen Tel. +49 (0)241 44686-0 Fax. +49 (0)241 44686-250 eMail: mailto:b.kunstleben@onOffice.com Web: http://www.onOffice.com -------------------------------------------------------------------------------------- Registergericht: Amtsgericht Aachen, HRB 12123 Inhaber und Geschäftsführer: Stefan Mantl -------------------------------------------------------------------------------------- Jetzt neu! Onlinehilfe zu onOffice smart 2.5 http://onlinehilfe.onOffice.de
onOffice your online Office http://www.onOffice.com --------------------------------------------------------------------------------------
----- Ursprüngliche Nachricht ----- Von: Andreas Kleindiek lists.akl@googlemail.com Gesendet: Donnerstag, 7. Januar 2010 13:18:12 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft postfix-users@de.postfix.org Betreff: Re: [postfix-users] Spamwelle?
Hallo Boris,
Boris Kunstleben schrieb:
Gibt es bei euch ähnlich Beobachtungen? Oder liege ich komplett falsch und ich übersehe eine Fehler an einer anderen Stelle?
Hmm, auf unserem kleinen Serverchen gibt es bislang keine Besonderheiten.
Aber vielleicht hat deine Beobachtung hiermit zu tun: http://www.heise.de/newsticker/meldung/Unbekannte-Mailserver-Malware-spammt-...
Gruß
Andreas _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Am 07.01.2010 10:55, schrieb Boris Kunstleben:
Hallo Mailinglist,
ich hatte gerne mal eure Meinung.
Seit dem 04.01 haben meine fünf Mail Server ein deutlich höre Last als noch vor Weihnachten. Disk I/O und Anzahl IMAP Logins sind nicht gestiegen. Aber ich sehe im syslog jede Menge Verbindungen von "unknown" mit "554 5.7.1 Service unavailable". Ich lasse fail2ban schon ziemlich agressiv IPs sperren, aber das hat bisher nur ein bisschen was gebracht.
Gibt es bei euch ähnlich Beobachtungen? Oder liege ich komplett falsch und ich übersehe eine Fehler an einer anderen Stelle?
Gruß Boris Kunstleben _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hi, ich hab gelesen das es eine solche Spamwelle gibt, aber diese nicht signifikant feststellen koennen, bei meinem meist gespammten Server ist zwar ein leichter Anstieg zu verzeichnen der liegt aber weit unter dem schon mal erreichten Maximum. Die Viagra Mails werden ausserdem von clamav-milter mit sanesecurity bei mir ohnehin sofort rejected, ich wuerde sagen es ist so wie immer eigentlich waere es ohnehin nur erwaehnenswert wenn der spam mal ausbliebe *g Vor Weihnachten hat jeder Troll seine Gruss mails verschickt da war ohnehin viel los, moeglicherweise haben sich da einige mehr oder weniger auto auch einen bot eingefangen aber auch das ist ist mehr oder weniger normal
Hallo Mailingliste,
inzwischen denke ich auch nicht mehr dass es eine Spamwelle ist. Bleibt mein Problem mit der hohen Last auf den Mailservern...tja weiter suchen.
Gruß Boris Kunstleben
-------------------------------------------------------------------------------------- onOffice Software GmbH Feldstr. 40 52070 Aachen Tel. +49 (0)241 44686-0 Fax. +49 (0)241 44686-250 eMail: mailto:b.kunstleben@onOffice.com Web: http://www.onOffice.com -------------------------------------------------------------------------------------- Registergericht: Amtsgericht Aachen, HRB 12123 Inhaber und Geschäftsführer: Stefan Mantl -------------------------------------------------------------------------------------- Kennen Sie schon das onOffice Outlook Sync Modul?
Erfahren Sie mehr: http://www.onOffice.com/smart_outlooksync.pdf
onOffice your online Office http://www.onOffice.com --------------------------------------------------------------------------------------
----- Ursprüngliche Nachricht ----- Von: Robert Schetterer robert@schetterer.org Gesendet: Freitag, 8. Januar 2010 11:19:07 An: Mailing-Liste der deutschsprachigen Postfix Gemeinschaft postfix-users@de.postfix.org Betreff: Re: [postfix-users] Spamwelle?
Am 07.01.2010 10:55, schrieb Boris Kunstleben:
Hallo Mailinglist,
ich hatte gerne mal eure Meinung.
Seit dem 04.01 haben meine fünf Mail Server ein deutlich höre Last als noch vor Weihnachten. Disk I/O und Anzahl IMAP Logins sind nicht gestiegen. Aber ich sehe im syslog jede Menge Verbindungen von "unknown" mit "554 5.7.1 Service unavailable". Ich lasse fail2ban schon ziemlich agressiv IPs sperren, aber das hat bisher nur ein bisschen was gebracht.
Gibt es bei euch ähnlich Beobachtungen? Oder liege ich komplett falsch und ich übersehe eine Fehler an einer anderen Stelle?
Gruß Boris Kunstleben _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hi, ich hab gelesen das es eine solche Spamwelle gibt, aber diese nicht signifikant feststellen koennen, bei meinem meist gespammten Server ist zwar ein leichter Anstieg zu verzeichnen der liegt aber weit unter dem schon mal erreichten Maximum. Die Viagra Mails werden ausserdem von clamav-milter mit sanesecurity bei mir ohnehin sofort rejected, ich wuerde sagen es ist so wie immer eigentlich waere es ohnehin nur erwaehnenswert wenn der spam mal ausbliebe *g Vor Weihnachten hat jeder Troll seine Gruss mails verschickt da war ohnehin viel los, moeglicherweise haben sich da einige mehr oder weniger auto auch einen bot eingefangen aber auch das ist ist mehr oder weniger normal
participants (10)
-
Andre Keller -
Andreas Kleindiek -
Boris Kunstleben -
Jan P. Kessler -
Martin Schütte -
Morten P.D. Stevens -
Ralf Hildebrandt -
Robert Schetterer -
Steve -
Uwe Driessen