[postfix-users] Userprüfung mit address_verify
Hi,
die Userüberprüfung per SMTP wäre für uns ein geeignetes Mittel um ein Stückweit weniger Backscatter zu sein. Dies ist in meinen Augen auch ein sehr einfacher Vorgang im Vergleich zu Datenbanken. Eine andere Art der Userprüfung mittels lokaler Textdatei, LDAP, SQL etc. würde nicht in Frage kommen, da als Relayanbieter zu viel unterschiedliche Smarthosts bei den Kunden existieren.
Meine Frage zielt nun eher darauf, ob man mit der Benutezrprüfung auch in ein DoS laufen kann? Mir stellen sich da gerade solche Fragen wie: - wird für jede Benutzerprüfung bei eintreffender Mail eine SMTP Session zum Smarthost aufgebaut, oder werden bei gleichzeitigem Eintreffen von Mails die an die selbe Domain gerichtet sind die Benutezrabfragen durch ein SMTP Login bewältigt. Im speziellen geht es darauf hinaus, ob mir oder dem Smarthost vom Kunden die TCP Ports ausgehen können, wenn zuviel gleichzeitige Überprüfungen stattfinden. - können die Abfragen für eine gewisse Zeit bei mir zwischengespeichert werden um eine z.B. für x-Minuten vorher positive Benutzerabfrage ersparen zu können?
Viele Grüße
Carsten Remien
* Remien, Carsten carsten@familie-remien.de:
Meine Frage zielt nun eher darauf, ob man mit der Benutezrprüfung auch in ein DoS laufen kann?
Ohne Benutzerprüfung sogar noch viel mehr, denn da geht die Mail sogar ungebremst durch :)
Mir stellen sich da gerade solche Fragen wie:
- wird für jede Benutzerprüfung bei eintreffender Mail eine SMTP Session
zum Smarthost aufgebaut, oder werden bei gleichzeitigem Eintreffen von Mails die an die selbe Domain gerichtet sind die Benutezrabfragen durch ein SMTP Login bewältigt. Im speziellen geht es darauf hinaus, ob mir oder dem Smarthost vom Kunden die TCP Ports ausgehen können, wenn zuviel gleichzeitige Überprüfungen stattfinden.
Macht doch nix, das ist sogar ein Schutz!
- können die Abfragen für eine gewisse Zeit bei mir zwischengespeichert
werden um eine z.B. für x-Minuten vorher positive Benutzerabfrage ersparen zu können?
Ja
Hi,
On Thu, 1 May 2008 20:36:50 +0200, Ralf Hildebrandt Ralf.Hildebrandt@charite.de wrote:
- Remien, Carsten carsten@familie-remien.de:
Meine Frage zielt nun eher darauf, ob man mit der Benutezrprüfung auch in ein DoS laufen kann?
Ohne Benutzerprüfung sogar noch viel mehr, denn da geht die Mail sogar ungebremst durch :)
In Bezug auf die untere Frage ist es doch aber so, dass der MTA gleichzeitig mind. eine Session mehr offen hat. Er hält die eingehende Mail, und muss dann noch eine Abfrage am Smarthost durchführen.
Mir stellen sich da gerade solche Fragen wie:
- wird für jede Benutzerprüfung bei eintreffender Mail eine SMTP
Session
zum Smarthost aufgebaut, oder werden bei gleichzeitigem Eintreffen von Mails die an die selbe Domain gerichtet sind die Benutezrabfragen durch ein SMTP Login bewältigt. Im speziellen geht es darauf hinaus, ob mir oder dem Smarthost vom Kunden die TCP Ports ausgehen können, wenn
zuviel
gleichzeitige Überprüfungen stattfinden.
Macht doch nix, das ist sogar ein Schutz!
Habe ich nicht so ganz verstanden. Zum einen, wird die Benutzerprüfung innerhalb einer SMTP Session / Domain geprüft, oder wird für jeden User (auch wenn es die selbe Domain ist) jew. eine Session aufgebaut? Und wie soll ich das mit dem "Schutz" verstehen? Wenn alle TCP Ports "zu" sind, werden zum einen doch eingehende Mails mit 5xx Fehler abgewiesen, bzw. in Bezug auf den Smarthost wird dieser entsprechende Meldungen generieren. Es ist doch sicherlich einstellbar, wie lang der MTA versucht, den Smarthost zu erreichen, bzw. was er mit einem nicht durchführbaren Check machen soll?
Gruß
Carsten
* "Remien, Carsten" carsten@familie-remien.de wrote:
In Bezug auf die untere Frage ist es doch aber so, dass der MTA gleichzeitig mind. eine Session mehr offen hat. Er hält die eingehende Mail, und muss dann noch eine Abfrage am Smarthost durchführen.
Das ist soweit korrekt. Ausnahme: Er hat die betreffede Adresse bereits verifiziert.
Zum einen, wird die Benutzerprüfung innerhalb einer SMTP Session / Domain geprüft, oder wird für jeden User (auch wenn es die selbe Domain ist) jew. eine Session aufgebaut?
Da in http://www.postfix.org/ADDRESS_VERIFICATION_README.html explizit darauf hingewisen wird, daß das unter hoher Last eher schlecht performed, würde ich von ersterem ausgehen. Du brichst Dir aber kein Bein ab, wenn Du das selbst mal antestest :)
Und wie soll ich das mit dem "Schutz" verstehen? Wenn alle TCP Ports "zu" sind, werden zum einen doch eingehende Mails mit 5xx Fehler abgewiesen, bzw. in Bezug auf den Smarthost wird dieser entsprechende Meldungen generieren.
Wenn alle SMTP-Prozesse beschäftigt sind, wird eine neue TCP-Verbindung trotzdem angenommen und verbleibt für eine gewisse Zeit im Backlog des Kernels. Siehe das Stress-Readme für Symptome.
Es ist doch sicherlich einstellbar, wie lang der MTA versucht, den Smarthost zu erreichen, bzw. was er mit einem nicht durchführbaren Check machen soll?
Ja. Das steht in oben angegebenem Link.
Ich bin mir ziemlich sicher, daß Du Dir zuviele Gedanken machst.
Ciao Stefan
20080501183650.GB10327@charite.de 2717d7963f36748708889fd35e34e287@localhost 20080502060428.GB4095@mail.incertum.net Message-ID: 1dc29aa4a7bc49de1b247499f2ab4145@localhost X-Sender: carsten@familie-remien.de Received: from sw72-070.mgmt.hosteurope.de [192.168.72.70] via 194.0.248.66 [194.0.248.66] with HTTP/1.1 (POST); Fri, 02 May 2008 10:39:50 +0000 User-Agent: Familie-Remien.de Webmail Content-Type: text/plain; charset="UTF-8" Content-Transfer-Encoding: 8bit
Hi,
On Fri, 2 May 2008 08:04:28 +0200, Stefan Förster cite@incertum.net wrote:
Ich bin mir ziemlich sicher, daß Du Dir zuviele Gedanken machst.
OK, aber lieber jetzt Gedanken machen, denn pro Stunde/MTA sind es rund 90k - 300k Mails die da reinkommen
Gruß
Carsten
* Remien, Carsten carsten@familie-remien.de:
Ich bin mir ziemlich sicher, daß Du Dir zuviele Gedanken machst.
OK, aber lieber jetzt Gedanken machen, denn pro Stunde/MTA sind es rund 90k
- 300k Mails die da reinkommen
Huch, wieso denn das? Ich habe hier 190k pro Tag.
* Remien, Carsten carsten@familie-remien.de:
Ohne Benutzerprüfung sogar noch viel mehr, denn da geht die Mail sogar ungebremst durch :)
In Bezug auf die untere Frage ist es doch aber so, dass der MTA gleichzeitig mind. eine Session mehr offen hat.
Nein.
Mit Adressprüfung nach hinten: * Mail kommt an * Postfix prüft mit einer Verbindung * und weist ab oder nimmt an (was über dieselbe Verbindung geschieht, wegen connection caching)
OHNE Adressprüfung nach hinten: * Mail kommt an * Postfix baut Verbindung auf und nimmt an
Und wie soll ich das mit dem "Schutz" verstehen? Wenn alle TCP Ports "zu" sind, werden zum einen doch eingehende Mails mit 5xx Fehler abgewiesen,
Nein. mit 4xx
participants (3)
-
Ralf Hildebrandt -
Remien, Carsten -
Stefan Förster