Ип почтового сервера заблокирован гуглом, яндексом и даже мейлом.

Личный опыт.

Но диски-то тут каким боком (речь вроде как идет про пустые соединения)?

Например лог пишется. Своп отключен, оперативы с запасом.

Например посмотрим на размер входящих и иcходящих пакетов

Ясно, спасибо за пояснения.

Так это умеет милтер, а не сендмейл.

Это неразрывные вещи. Грейлистинг, анализ на спам, проверка антивирусом - все эти фильтры вызываются Sendmail'ом через механизм милтеров. В других почтовиках это не так. Так что можно считать милтеры особенностью архитектуры Sendmail'а.

Например лог пишется.

Запись логов серьезную нагрузку на диск, IMHO, в принципе не в состоянии создать. Раньше все остальные подсистемы лягут, чем такой объем логов сгенерируется...

Ну вы оборону держите по полной. Но IMHO не убедили отказаться от iptables, да и на почтовике обычно сервисов сетевых с десяток нужных, далеко не все из них имеют митлеры и аналоги в себе.

Но IMHO не убедили отказаться от iptables

Да я и не ставил такой цели :). Просто хотел показать, что в данной конкретной ситуации (одиночный сервер) применение iptables не сильно повышает уровень защиты.

Плюс узнал для себя новую информацию - оказывается, на узких каналах политика DROP может защитить от примитивных DDOS-атак. До этого обсуждения считал, что подобная защита возможна только уровнем выше, на провайдерской стороне канала...

Так что спасибо за интересную дискуссию :).

При всех фильтрах был случай на 100Мбит канале появились потери 40% пакетов, как оказалось ддосили оборудование провайдера, так что уровнем выше ещё веселее.

И вам спасибо за общение, узнал о милтерах 😊

При всех фильтрах был случай на 100Мбит канале появились потери 40% пакетов, как оказалось ддосили оборудование провайдера, так что уровнем выше ещё веселее.

Может все-таки не оборудование, а сетки прова?

Обычно цель ddos высадить именно оборудование (шлюзы, коммутаторы, серверы или что там у них конкретно я хз), поэтому и говорю, что ддосят оборудование (посредством сетей).

Ну «обычно цель ddos высадить» конкретную машинку/машинки/сетку/сетки. Наверное можно говорить в терминах «оборудование» :)

В других почтовиках это не так. Так что можно считать милтеры особенностью архитектуры Sendmail'а.

Которая (особенность), надо заметить, была так же портирована в Postfix, правда с некоторыми ограничениями.

И вам спасибо за общение, узнал о милтерах

Почти достаточно знать про один: http://puszcza.gnu.org.ua/software/mailfromd/
:-)

какой именно работы добавляют Вам «кустарные» почтовые серверы?

Берём вот Cбербанк.

$ host -t mx sberbank.ru
sberbank.ru mail is handled by 50 email11.sberbank.ru.
sberbank.ru mail is handled by 50 email10.sberbank.ru.

$ telnet email11.sberbank.ru 25
<...>
220 email11.sberbank.ru ESMTP Smtpd; Wed, 5 Dec 2018 16:24:27 +0300
helo <хостнейм>
250 email11.sberbank.ru Hello ...
mail from:<>
550 5.5.0 Sender domain is empty.

mail from:<>
550 5.5.0 Sender domain is empty.

Так и правильно отфутболивают, нет PTR записи для внешнего IP - сразу досвидос.

Причём тут smtp callback?

Или вот ещё:

$ host -t txt baltika.ru
...
baltika.ru descriptive text "v=spf1 include:mailgate3.baltika.ru include:mailgate4.baltika.ru ~all"

$ host -t txt mailgate3.baltika.ru[br]mailgate3.baltika.ru has no TXT record

Так и правильно отфутболивают, нет PTR записи для внешнего IP - сразу досвидос.

Какое слово во фразе «Sender domain is empty» надо перевести? При чём тут PTR? И да, это я с нашего MX делал, там всё есть и всё правильно.

Причём тут smtp callback?

Потому, что если smtp callback используется, то почта из сбера не придёт.

Ну блин вы и нашли пример. У них и сайт не работает.

«Sender domain is empty»

Домен отправителя пустой = нет обратной записи для вашего ip адреса. Вроде не пил, не курил, неужели ошибаюсь?

А вот это вместе:

mail from:<>
«Sender domain is empty»

уже похоже на то, что вы свою проверку существования ящика организовали с пустым полем from и логично, что почтовик сбера такие запросы шлёт лесом.

Ну блин вы и нашли пример. У них и сайт не работает.

Прелестно... В прошлом месяце ещё жив был. :-)

Домен отправителя пустой = нет обратной записи для вашего ip адреса.

Нет.

Вроде не пил, не курил, неужели ошибаюсь?

Да. Вот так ему уже нравится:

mail from:<qq@mail.ru>
250 2.1.0 <qq@mail.ru>... Sender ok

Ну блин вы и нашли пример. У них и сайт не работает.

Во, yabloko.ru пойдёт ? :-) tn.rosneft.ru ещё вот...

Почти достаточно знать про один: http://puszcza.gnu.org.ua/software/mailfromd/

:-) Почитал для интереса вашу ссылку. (через гугпереводчик естесственно). Mailfromd не впечатлил. Тотже набор инструментов как у постфикса. Проверил его 1 способ наличие (телнетом) пустого узера у своего почтовика. Мой почтовик заверил что фейковый адрес существует. ::). По логике: Mailfromd не сработал. По причине параметра:

smtpd_delay_reject = yes

Тотже набор инструментов как у постфикса.

На много больше. :-) Вот, например, как пометить сообщение, как спам, на основании возврата результата от SpamAssassin, но если скор не просто больше, а в разы больше, то вообще не принимать?

Мой почтовик заверил что фейковый адрес существует. ::)

callback - это изначальная, но сейчас уже давно не главная функциональность Mailfromd.

Вот, например, как пометить сообщение, как спам, на основании возврата результата от SpamAssassin,

Ну этим у меня занимается sieve. Причем примеров для обработки им сообщений от спаоотсосина в Инете навалом. Даже самому мозг напрягать не надо.

Ну этим у меня занимается sieve.

Уже после приёма? Но отфутболить-то надо до, чтобы проблема боунса была не твоей проблемой, а отправителя.

В общем конфиг mailfromd - это скрипт на языке примерно уровня sh, с функциями, регулярными выражениями и т.п. С возможностью писать в базу (bdb), работать с ClamAV, SpamAssassin, другими мильтерами и делать с возвращаемым результатом любые действия, соответственно.

Тут немного непонятно. Например спамоотсосин обрабатывает сообщения после принятия его постфиксом. Естественно никакого реджекта не получится во время сессии. Разве что послать bonus, что противопоказано.

Тут немного непонятно. Например спамоотсосин обрабатывает сообщения после принятия его постфиксом.

mailfromd может скормить сообщение спамассасину на стадии eom, когда MTA ещё не вернул отправителю OK и по результату проверки сказать вернуть 5xx. Вот тут есть пример фрагмента конфига: https://puszcza.gnu.org.ua/software/mailfromd/manual/html_node/SpamAssassin.html

Разве что послать bonus, что противопоказано.

А без боунса получается сервер чёрная дыра, и непонятно, что хуже. А если это будет не спам? Так что только отлуп на этапе приёма, и никак иначе.

Во, yabloko.ru пойдёт

Да кому оно нужно?

tn.rosneft.ru ещё вот...

А у этих что не так? Наискосок не вижу. Плиз поясните.

Да кому оно нужно?

Вот и я так подумал. :-)

А у этих что не так? Наискосок не вижу.

Тоже синтаксическая очепятка, как и у яблока: «ip46.39.6.102». У яблока i лишняя, эти двоеточие потеряли.

Тоже синтаксическая очепятка, как и у яблока: «ip46.39.6.102». Двоеточие потеряли.

Точно, есть такое, не заметил. Посмотрел наискось. У ябла то «трэш» сразу в глаза бросается. «У яблока i лишняя, эти двоеточие потеряли» если бы только это.

У ябла то «трэш» сразу в глаза бросается.

Нет, разрывы вида «ip4:92.63.1» «11.220 ip4:212.109.217.184», как раз, допустимы. Это «3.3. Multiple Strings in a Single DNS Record» в том же самом 7208.

Век живи. Спасибо!

ЗЫ Самое противное для меня, ведь уже в курсе такого был, но забыл. :(
Надо «таблеточки для памяти» попить.