Доброго времени суток. Сегодня утром столкнулся с неприятной ситуацией. В очереди на момент прихода на работу на постмастера висело порядка 16 тысяч оповещений. Почтовик хоть и не полностью в раковом состоянии был, но очередь очень «тупо» обрабатывал. При разборе «полетов» (логов) выяснилось, что с какого-то америкасовстого IP пытались слать на наши почтовые ящики, причем логины, на которые шло, были и случайные и существующие - типа перебором (возможно еще и опенрелей пробовали). Айпишка, с которого была атака постфиксом был заблокирован сразу параметрам по первому - unknown host (у меня из первых правил проверок это стоит) (бывают тут с этим, конечно тоже ложные сработки, но, как правило, это виноваты провайдеры или админы тех, кто надежный отправитель, но кто-то там накосячил, но это либо на их стороне лечится быстро, либо есть белые списки, для тех где админы приходящие). Я уже там не сильно вчитывался, сколько раз постфикс стал после этого отвечать на этот IP лост коннекшен, но атака продолжалась по нашему времени с часу ночи, до 7 утра. На вскидку оповещения на постмастера перевалили за 35 тысяч. Забанил на уровне iptables IP, хотя врядни с него будет повторяться атака. А может в ближайшее время и не коснется (последний раз, но не так интенсивно, лет 10 назад было. Я тогда правила «отброса» сообщений пересмотрел и немного поправил).
Это предыстория. Теперь вопрос: Постфикс у меня по сути эту атаку заблочил, но я же опять попал в производительность железа, наверное, где он просто очень быстно не мог обработать сообщения для постмастера? (Пока сервак там реально не очень по железу). Отсюда вопрос - в скаую сторону смотреть, что бы избежать в будущем? У постфикса есть возможность настроить оповещения, что не на каждый одинаковый чих слать по сообщению? Ну если 100 подряд с небольшим промежутком времени с одного IP он отбивает как Lost Connect, то не на каждое событие, а хотя бы 10-50 получал, что спамера послали?
Еще, помню, что-то попадалось, что как-то можно это еще в связке с iptables связать при таких атаках, но сам не помню детали и нагуглить в яндексе ничего не получилось. Почти везде инструкции для настройки постфикса, но нигде такой ситуации не вижу. Да и там по сути везде общий копипаст, а остальное читайте маны. А я тут столкнулся, что не знаю на что именно читать. В какую именно сторону смотреть, что бы мой же постмастер меня о том, что он заблочил, мой сервак не загнал в ступор
