Über 150 smtp-Verbindungen.

M

morbus_root

New Member
Hallo Postfix-Spezialisten,

es geht um einen root-Server mit
Suse 9.3
Postfix 2.2

2 GB RAM

ca. 500 mail Postfächer
ca. 700 mail Adressen

Einige Kunden klagen über sporadische Nichterreichbarkeit des Mailservers.
Dies äußert sich durch Fehlermeldungen von Mail-Clients (Outlook) in der Art:
"Konnte nicht mit Postausgangs (oder Eingangsserver) verbinden."

Ein netstat -an | grep ":25" | wc -1 bringt heute durchschnittlich
150 Verbindungen über smtp. Wobei das alles spam-Versuche sein dürften, da kaum ein Kunde heute (Sonntag) mailverkehr hat (hauptsächlich firmenkunden)

In den mail-logs konnte ich keine Abnormalitäten feststellen.

Ich habe testweise den Wert default_process_limit auf 150 gesetzt, weiß aber nicht ob ein Heraufsetzen bei dieser Problematik hilfreich sein könnte.

Was kann die Ursache für solche sporadischen Connect-Probleme sein?
Vielleicht zuviel Mailprozesse?

Viele Grüße
morbus_root
 
Bitte mal repräsentative Auszüge aus dem Maillog vorzeigen.
Dazu eine Prozessliste (ps faxw) und auch mal einen Blick in die Postfix-Queue (postqueue -p).

Dass so viele SMTP-Connections laufen ist nicht gut. Und so viele Prozesse erst recht nicht. Da MUSS was im Busch sein.

BTW: Info für die Zukunft: Nicht schreiben "Logs sehen okj aus" - sondern Posten. Andere interpretieren die Logs evtl. anders.
Hab ich schon zu oft erlebt, um mich noch auf eine Beratung ins Blaue hinein einzulassen. Ich (und andere "Pros") wollen Rohdaten sehen.
 
Ok, hier typische Einträge der mail.err:

May 11 12:31:23 pop3d: TIMEOUT, user=web71p11, ip=[::ffff:84.156.128.55], top=0, retr=0, time=300
May 11 12:50:07 pop3d: DISCONNECTED, user=web70p7, ip=[::ffff:84.170.202.108], top=0, retr=0, time=0
May 11 12:50:08 pop3d: DISCONNECTED, user=web70p2, ip=[::ffff:84.170.202.108], top=0, retr=0, time=0
May 11 12:50:58 pop3d: DISCONNECTED, user=web70p7, ip=[::ffff:84.170.202.108], top=0, retr=0, time=0
May 11 12:50:59 pop3d: DISCONNECTED, user=web70p2, ip=[::ffff:84.170.202.108], top=0, retr=0, time=0

wiederholt sich...

Hier die Einträge von mail.warn:

ay 12 12:33:31 postfix/smtpd[17148]: warning: 121.97.185.66: hostname 121.97.185.66.bti.net.ph verification failed: Name or service not known
May 12 12:36:08 postfix/smtpd[19839]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
May 12 12:36:10 postfix/smtpd[19839]: warning: 217.115.138.51: hostname s217-115-138-51colo.hosteurope.de verification failed: Name or service not known
May 12 12:44:32 postfix/smtpd[20249]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
May 12 12:44:43 postfix/smtp[20255]: warning: valid_hostname: empty hostname
May 12 12:44:43 postfix/smtp[20255]: warning: malformed domain name in resource data of MX record for bionorthernireland.com:

Einträge dieser Art gibt es hunderte...

Und hier noch die mail.info:

May 13 19:03:16 postfix/smtpd[28208]: lost connection after CONNECT from 124x39x167x213.ap124.ftth.ucom.ne.jp[124.39.167.213]
May 13 19:03:16 postfix/smtpd[28208]: disconnect from 124x39x167x213.ap124.ftth.ucom.ne.jp[124.39.167.213]
May 13 19:03:16 postfix/smtpd[28208]: connect from pool-72-83-133-80.washdc.fios.verizon.net[72.83.133.80]
May 13 19:03:16 postfix/smtpd[28208]: disconnect from pool-72-83-133-80.washdc.fios.verizon.net[72.83.133.80]
May 13 19:03:18 postfix/smtpd[28208]: connect from 201-69-165-18.dial-up.telesp.net.br[201.69.165.18]
May 13 19:03:18 postfix/smtpd[28208]: lost connection after CONNECT from 201-69-165-18.dial-up.telesp.net.br[201.69.165.18]
May 13 19:03:18 postfix/smtpd[28208]: disconnect from 201-69-165-18.dial-up.telesp.net.br[201.69.165.18]
May 13 19:03:18 postfix/smtpd[28208]: connect from user-12lmv26.cable.mindspring.com[69.91.124.70]
May 13 19:03:18 postfix/smtpd[28208]: disconnect from user-12lmv26.cable.mindspring.com[69.91.124.70]

Davon ist das ganze Log voll..

Hier die ps -faxw

4539 ? Ss 0:00 /usr/sbin/saslauthd -a shadow
4597 ? S 0:00 \_ /usr/sbin/saslauthd -a shadow
4598 ? S 0:00 \_ /usr/sbin/saslauthd -a shadow
4599 ? S 0:00 \_ /usr/sbin/saslauthd -a shadow
4600 ? S 0:00 \_ /usr/sbin/saslauthd -a shadow
4726 ? S 0:00 /usr/sbin/courierlogger -pid=/var/run/authdaemon.courier-imap/pid -start /usr/lib/courier-imap/authlib/au
4727 ? S 0:00 \_ /usr/lib/courier-imap/authlib/authdaemond.plain
4755 ? S 0:38 \_ /usr/lib/courier-imap/authlib/authdaemond.plain
4756 ? S 0:38 \_ /usr/lib/courier-imap/authlib/authdaemond.plain
4757 ? S 0:39 \_ /usr/lib/courier-imap/authlib/authdaemond.plain
4758 ? S 0:39 \_ /usr/lib/courier-imap/authlib/authdaemond.plain
4759 ? S 0:38 \_ /usr/lib/courier-imap/authlib/authdaemond.plain
4824 ? S 0:38 /usr/sbin/courierlogger pop3d
4840 ? S 0:00 /usr/sbin/courierlogger pop3d-ssl
4867 ? Ss 2:00 /usr/lib/postfix/master
1903 ? S 0:00 \_ qmgr -l -t fifo -u
2192 ? S 0:00 \_ anvil -l -t unix -u
2195 ? S 0:00 \_ tlsmgr -l -t unix -u
25975 ? S 0:00 \_ pickup -l -t fifo -u
28708 ? S 0:00 \_ smtpd -l -n smtp -t inet -u -s 2
28709 ? S 0:00 \_ proxymap -l -t unix -u

Die queue enthält (offenbar seit längerem) 8 Einträge der Art:

B570C914001 49482 Sat May 12 13:37:55 MAILER-DAEMON
(connect to mx2.publichost.com[64.7.192.166]: Connection timed out)
cedoyur@sitestream.net

Danke für die schnelle Reaktion..
Hoffe das hilft..
 
Beachte mal die Warnings zu deiner Config und füge evtl. noch ein paar Optionen ein, die die Sender drosseln, wenn sie zu schnell feuern.

So richtig böse Sachen sind in den Log-Auszügen ja nicht drin.
Evtl. solltest du mal die Timeouts etwas runtersetzen, damit diese Lost Connections schneller abgeschossen werden.
 
Ok, danke für die Tipps, kannst Du mir vielleicht noch die entsprechenden
Postfix Direktiven nennen, bei den Timeouts gibt es ja einige...

Ich habe übrigens durch ein probeweises Heruntersetzen des default_process_limit auf 5 festgestellt, daß dann keine verbindung mehr zum smtp-server hergestellt werden kann. Also scheint dieser Wert bei der momentanen Auslastung zu niedrig gewesen sein. Habe ihn jetzt auf 200 gesetzt.

Damit ist aber denke ich nicht die Wurzel des Übels gelöst, Du hast schon Recht das ich diese Spamversuche irgendwie in den Griff kriegen muss..

Also ich beobachte Morgen mal die Anzahl der Verbindungen und versuche mich dann an den Timeouts...
 
morbus_root said:
Ein netstat -an | grep ":25" | wc -1 bringt heute durchschnittlich 150 Verbindungen über smtp.
Click to expand...
Eingehende oder ausgehende? Hast Du das genauer untersucht?
Hast Du genauer geschaut, wie lange die Verbindungen gehalten werden?

Ansonsten hilft Greylisting ungemein. Postgrey kann man auch aus den Sourcen unter Suse installieren.

huschi.
 
Auf Port 25 müssen es doch eingehende sein, oder?

Die Sache hat sich aber denke ich erledigt. An den Connect-Problemen war
Courier schuld. Also der pop3-server, nicht smtp. Das Teil beschränkt tatsächlich in den Default-Einstellungen die maximale Anzahl Verbindungen pro IP auf 4(!)

Damit läßt sich das sporadische Auftreten erklären. Der Kunde kommuniziert über einen Router mit einer IP nach außen (wie üblich halt), hat aber dahinter eine ganze Menge Rechner die natürlich (meistens jede Minute) den pop3-server abfragen. Dann kommt es ab und an vor das einer nicht connecten kann...

Außerdem läßt er insgesamt nur 40(!) Verbindungen gleichzeitig zu.

Man findet aber auch rein garnichts brauchbares im Netz über postfix, geschweige denn courier Konfiguration... Selbst in dem Postfix-Buch von Peer Heinlein wird dieses Thema nicht behandelt.

Diese ganze Sache mit den Logs (syslog usw.) ist auch nicht gleich durchschaubar.

Man sollte vielleicht dazu mein ein verständliches wiki oder sowas in der Art verfassen...

Danke für die Beiträge von meinem ersten Thread...

werden wohl noch einige folgen :)
 
Mir drängen sich da ein paar Fragen bezüglich deines ursprünglichen Postings auf:

Was hat Port 25 mit POP3 zu tun?
Was hat Postfix mit POP3 zu tun?
Was hat Courier mit Port 25 zu tun?
Wieso bin ich nach dem lesen deines letzten Postings nun vollständig verwirrt?
 
Die Problembeschreibung von den Kunden war leider etwas unklar und bezog
sich eher auf das Versenden von mails... Bei Outlook wird das aber ja nicht so getrennt, da gibt es ja den "Senden/Empfangen" - Button...

Also der Fehler lag wohl doch am Empfangen, also am pop3-server. und der ist bei mir courier, also courier-pop3 (das courier ist ja eigentlich ein ganzes mailpaket soweit ich das jetzt gesehen habe, also auch imap und smtp, aber bei mir wird nur der pop3 von courier benutzt)

die config von courier ist ja nicht besonders umfangreich und da fiel mir gleich diese Einstellungen mit den max connects from ip auf, die standen auf 4, ich hab sie jetzt auf 30 gestellt.

es wird sich bald herausstellen ob es daran gelegen hat, ein öffnen von pop3-verbindungen mittels telnet läßt nun zumindest 30 Verbindungen zu von meiner ip, vorher hat er (korrekterweise) nach 4 Schluss gemacht.

was mich dabei aber am meisten wundert: wieso in aller Welt wird das nirgendwo protokolliert?? debug-level ist schon auf 1, aber das hängt ja auch mit diesem syslogd zusammen... trotzdem steht nirgendwo das courier eine verbindung abgewiesen hat.,
 
morbus_root said:
das courier ist ja eigentlich ein ganzes mailpaket soweit ich das jetzt gesehen habe
Click to expand...
Courier ist ein Mailstore - von SMTP ist da weit und breit nichts zu sehen. Was meinste, wieso sonst auf deinem Server noch ein Postfix läuft?

wieso in aller Welt wird das nirgendwo protokolliert?? debug-level ist schon auf 1
Click to expand...
Es gibt verschiedene Arten, das Loglevel anzugeben. Die gebräuchlichsten sind als Bitmask oder als Schwellwert - beide haben die Eigenschaft, dass man um so mehr Debug-Output bekommt, umso größer die Zahl ist. (Wobei bei ersterem nicht blind heraufgesetzt werden kann, wenn man sinnvolle Effekte erzielen will.)
 
You must log in or register to reply here.
Back
Top