Postfix, ubuntu 10.10, spam "bounce reports"

[Veter99]

Добрый день.
Имеется в наличии postfix, ubuntu 10.10.
Как обычно ничего не предвещало беды.

Конфиг постфикса:

(Нажмите, чтобы показать/скрыть)

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/ssl/certs/server.crt
smtpd_tls_key_file = /etc/ssl/private/server.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.



myhostname = mail.*****.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydomain = *****.ru
myorigin = $mydomain
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
mynetworks = 127.0.0.0/8, 10.0.0.0/24
mailbox_size_limit = 0
message_size_limit = 20971520
recipient_delimiter = +
inet_interfaces = all
home_mailbox = Maildir/
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth-client
smtpd_sasl_authenticated_header = no
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
unknown_local_recipient_reject_code = 550
client_connection_rate_time_unit = 60s
smtpd_client_connection_rate_limit = 30


smtpd_recipient_restrictions = permit_sasl_authenticated, reject_non_fqdn_sender, reject_unverified_recipient, reject_unknown_sender_domain, permit_mynetworks, reject_unauth_destination, reject_rb$
#smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unknown_sender_domain, reject_unverified_recipient
smtpd_sender_restrictions =

smtp_use_tls = no
smtpd_tls_received_header = yes
smtpd_tls_mandatory_protocols = SSLv3, TLSv1
smtpd_tls_mandatory_ciphers = medium
smtpd_tls_auth_only = no
tls_random_source = dev:/dev/urandom
inet_protocols = all
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_timeout = 3600s
relayhost =
smtp_tls_security_level = may
smtpd_tls_security_level = may

Как-то пришел,увидел, что load average как бы не очень и значения примерно 50 20 20, после недолгих изучений понял, что у меня идет спам, так сказать, bounce reports. Насколько я понимаю негодяи шлют на мой сервер письма, подделывая поле mailfrom и указывая десятки и сотни адресов получателей.
Им соответственно почтовый сервер отправляет "отбойники", что письмо доставить не удалось, или как-то так.

Ну в общем проблема сейчас в том, что на мой сервер приходит невероятное количество писем от разных IP адресов и доменов с указанием десятков и сотен адресов получателей. Логи mail.info mail.warn mail.log забиваются по 3 гигабайта за 8 часов(за ночь).

На время я решил эту проблему, тупо отключил bounce в master.cf:

(Нажмите, чтобы показать/скрыть)

rewrite   unix  -       -       -       -       -       trivial-rewrite
#bounce    unix  -       -       -       -       0       bounce
#defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce

load average сразу стало все ОК 0.4 0.2 0.2

Но логи так же с сумасшедшей скоростью наполняются хламом. И отбойники все же нужны.
Проверял на нескольких ресурсах свой адрес на опенрелей и на блеклисты - все ОК.
Можно, конечно, и протоколирование в логи убрать, но это же костыль.

Дайте советов мудрых и ссылок.

[Karl500]

Самое первое, что я бы сделал, это постарался отсечь максимальное количество писем со спам-хостов как можно раньше, еще до приема самого письма, на этапе установки соединения и проверки хоста-корреспондента.

Это делается строками с такими (например) параметрами:

Код: [Выделить]

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname, permit
smtpd_client_restrictions = sleep 1, reject_unauth_pipelining, permit_sasl_authenticated, permit_mynetworks, reject_unknown_client_hostname, permit
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_non_fqdn_sender, reject_unknown_sender_domain, permit

И еще, заодно. В строке

Код: [Выделить]

smtpd_recipient_restrictions = permit_sasl_authenticated, reject_non_fqdn_sender, reject_unverified_recipient, reject_unknown_sender_domain, permit_mynetworks, reject_unauth_destination, reject_rb$
(она, кстати, обрезана: на будущее - старайтесь копировать полностью строки)

стоит, наверное, переставить permit_mynetworks как минимум на второе место.

[Veter99]

Спасибо, попробую.
Строка заканчивалась reject_rbl_client sbl-xbl.spamhaus.org =)
Пользователь решил продолжить мысль 17 Октября 2012, 12:23:34:Пока сделал все, как посоветовали.

результат спустя 5 минут

(Нажмите, чтобы показать/скрыть)

top - 13:22:17 up 2 days,  2:49,  1 user,  load average: 5.07, 1.55, 0.84
Tasks: 344 total,   1 running, 343 sleeping,   0 stopped,   0 zombie
Cpu(s):  7.9%us,  8.3%sy,  0.0%ni,  0.0%id, 81.8%wa,  0.0%hi,  2.0%si,  0.0%st
Mem:    499000k total,   493012k used,     5988k free,    16576k buffers
Swap:  1951740k total,   364752k used,  1586988k free,   158612k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
18945 postfix   20   0  9612 5448 1488 D  3.3  1.1   0:01.25 qmgr
  887 syslog    20   0 34680  880  620 S  2.6  0.2 115:25.83 rsyslogd
18946 postfix   20   0  5892 1692 1352 S  2.3  0.3   0:00.63 trivial-rewrite
18942 root      20   0  5868 1820 1452 S  2.0  0.4   0:00.57 master
  976 bind      20   0 76928  14m 1144 S  1.3  2.9   1:21.57 named
  230 root      20   0     0    0    0 D  0.7  0.0   1:20.08 jbd2/sda2-8
    3 root      20   0     0    0    0 S  0.3  0.0   0:35.83 ksoftirqd/0
19064 postfix   20   0  5876 1680 1336 S  0.3  0.3   0:00.03 error
19066 postfix   20   0  5876 1672 1336 S  0.3  0.3   0:00.04 error
19070 postfix   20   0  5876 1676 1336 S  0.3  0.3   0:00.03 error
19073 root      20   0  2732 1224  836 R  0.3  0.2   0:00.23 top
19085 postfix   20   0  5876 1676 1336 S  0.3  0.3   0:00.03 error
19088 postfix   20   0  5876 1676 1336 S  0.3  0.3   0:00.02 error
19093 postfix   20   0  5876 1680 1336 S  0.3  0.3   0:00.02 error
19094 postfix   20   0  5876 1676 1336 S  0.3  0.3   0:00.02 error
19098 postfix   20   0  5908 1692 1352 D  0.3  0.3   0:00.03 bounce
19101 postfix   20   0  5876 1676 1336 S  0.3  0.3   0:00.03 error
19108 postfix   20   0  5908 1692 1352 S  0.3  0.3   0:00.02 bounce
19109 postfix   20   0  5876 1676 1336 S  0.3  0.3   0:00.02 error
19110 postfix   20   0  5908 1692 1352 D  0.3  0.3   0:00.02 bounce
19112 postfix   20   0  5908 1696 1352 S  0.3  0.3   0:00.02 bounce
19115 postfix   20   0  5876 1680 1336 S  0.3  0.3   0:00.02 error
19130 postfix   20   0  5908 1692 1352 D  0.3  0.3   0:00.02 bounce
19131 postfix   20   0  5908 1692 1352 S  0.3  0.3   0:00.02 bounce
19135 postfix   20   0  5908 1692 1352 S  0.3  0.3   0:00.02 bounce
19137 postfix   20   0  5908 1696 1352 S  0.3  0.3   0:00.02 bounce
19139 postfix   20   0  5908 1696 1352 S  0.3  0.3   0:00.02 bounce
19145 postfix   20   0  5908 1696 1352 S  0.3  0.3   0:00.01 bounce
19154 postfix   20   0  5908 1692 1352 S  0.3  0.3   0:00.01 bounce
19157 postfix   20   0  5908 1696 1352 S  0.3  0.3   0:00.01 bounce

Судя по всему bounce идут, я их включал сейчас в master.cf для теста и проверок

[Karl500]

Вы лучше не top показывайте, а кусок лога.

Ну и, на всякий случай, спрошу - postfix Вы перезапустили после правки конфига?

[Veter99]

Кусок лога

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# tail /var/log/mail.info
Oct 17 13:27:09 mailserver postfix/error[19582]: 52396103EFE: to=<dhofus6970@aol.com>, relay=none, delay=404019, delays=403870/147/0/1.2, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[64.12.138.161] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19662]: 59F16104F90: to=<gizelas@aol.com>, relay=none, delay=252912, delays=252762/147/0/3.2, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19446]: 94FDD1038E1: to=<acoastalroofing@bellsouth.net>, relay=none, delay=407417, delays=407269/148/0/0.33, dsn=4.0.0, status=deferred (delivery temporarily suspended: host gateway-f2.isp.att.net[207.115.11.16] refused to talk to me: 550-212.46.203.170 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks)
Oct 17 13:27:09 mailserver postfix/error[19616]: C0195105243: to=<lavenet@aol.com>, relay=none, delay=248325, delays=248174/147/0/3.6, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[64.12.138.161] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19584]: 488EF1055A4: to=<remaxjudyv@aol.com>, relay=none, delay=242685, delays=242536/147/0/1.7, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19466]: 5DF6E10533D: to=<marykayre@aol.com>, relay=none, delay=246882, delays=246732/147/0/2.8, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19481]: 5265810557F: to=<rdjmax@aol.com>, relay=none, delay=242954, delays=242804/147/0/2.6, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19509]: A9035104746: to=<repairman1@comcast.net>, relay=none, delay=395153, delays=395004/147/0/0.95, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx2.comcast.net[76.96.40.147] refused to talk to me: 554 imta29.emeryville.ca.mail.comcast.net comcast 212.46.203.170 Comcast block for spam.  Please see http://postmaster.comcast.net/smtp-error-codes.php#BL000000)
Oct 17 13:27:09 mailserver postfix/error[19579]: 61F2E104BBD: to=<banyanlwl@aol.com>, relay=none, delay=259411, delays=259262/147/0/1.4, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[64.12.138.161] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:09 mailserver postfix/error[19587]: B1C7B104888: to=<smeulemans@dotstandards.com>, relay=none, delay=393572, delays=393422/147/0/2.4, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to mail.dotstandards.com[64.38.116.12]:25: Connection timed out)
root@mailserver:/home/uhp#
root@mailserver:/home/uhp# tail /var/log/mail.info
Oct 17 13:27:17 mailserver postfix/error[19610]: 82B4E10506F: to=<instantcash1@aol.com>, relay=none, delay=251524, delays=251373/147/0/3.5, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[64.12.138.161] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:17 mailserver postfix/error[19583]: D3E371048FB: to=<srgallups@bellsouth.net>, relay=none, delay=393430, delays=393282/148/0/0.06, dsn=4.0.0, status=deferred (delivery temporarily suspended: host gateway-f2.isp.att.net[207.115.11.16] refused to talk to me: 550-212.46.203.170 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks)
Oct 17 13:27:17 mailserver postfix/error[19512]: CC4F6104CD2: to=<chasnjck@aol.com>, relay=none, delay=257355, delays=257205/148/0/2, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:17 mailserver postfix/error[19763]: F2CD01055C5: to=<risinghomes@bellsouth.net>, relay=none, delay=242396, delays=242248/148/0/0.36, dsn=4.0.0, status=deferred (delivery temporarily suspended: host gateway-f2.isp.att.net[207.115.11.16] refused to talk to me: 550-212.46.203.170 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks)
Oct 17 13:27:17 mailserver postfix/error[19433]: D6ACF104020: to=<hcp121@aol.com>, relay=none, delay=401833, delays=401685/148/0/0.08, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-04.mx.aol.com[64.12.138.161] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:17 mailserver postfix/error[19601]: 2D25A105602: to=<ruth.poppell@aol.com>, relay=none, delay=241707, delays=241558/148/0/0.97, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:17 mailserver postfix/error[19758]: 346AC1057E0: to=<tntnt@aol.com>, relay=none, delay=238769, delays=238620/147/0/2, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:17 mailserver postfix/error[19557]: 32F251052A3: to=<ljomil@comcast.net>, relay=none, delay=247833, delays=247684/148/0/0.96, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx2.comcast.net[76.96.40.147] refused to talk to me: 554 imta29.emeryville.ca.mail.comcast.net comcast 212.46.203.170 Comcast block for spam.  Please see http://postmaster.comcast.net/smtp-error-codes.php#BL000000)
Oct 17 13:27:17 mailserver postfix/error[19594]: 0B4DD1040ED: to=<kelleyhand@aim.com>, relay=none, delay=399369, delays=399220/148/0/0.91, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
Oct 17 13:27:17 mailserver postfix/error[19787]: 3DC6D104E55: to=<ecarmend@aol.com>, relay=none, delay=254693, delays=254544/148/0/1.2, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)
root@mailserver:/home/uhp#

Да, постфикс перезагрузил
service postfix restart
postfix reload (для перестраховки)

upd: выключил bounce так как
load average: 31.64, 16.01, 7.31


Пользователь решил продолжить мысль 17 Октября 2012, 12:36:24:tail /var/log/mail.log

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# tail /var/log/mail.log
Oct 17 13:33:35 mailserver postfix/smtp[20508]: connect to mail.vircomfg.com[65.161.0.87]:25: Connection timed out
Oct 17 13:33:35 mailserver postfix/smtp[20508]: warning: 828341042DA: defer service failure
Oct 17 13:33:35 mailserver postfix/smtp[20508]: 828341042DA: to=<kfrank@vircomfg.com>, relay=none, delay=399559, delays=399351/176/31/0, dsn=4.4.1, status=deferred (connect to mail.vircomfg.com[65.161.0.87]:25: Connection timed out)
Oct 17 13:33:35 mailserver postfix/smtp[20438]: connect to netequityassociates.com[176.74.176.167]:25: Connection refused
Oct 17 13:33:35 mailserver postfix/smtp[20438]: warning: 3F2731040DF: defer service failure
Oct 17 13:33:35 mailserver postfix/smtp[20438]: 3F2731040DF: to=<gregorys@netequityassociates.com>, relay=none, delay=402443, delays=402236/206/0.49/0, dsn=4.4.1, status=deferred (connect to netequityassociates.com[176.74.176.167]:25: Connection refused)
Oct 17 13:33:35 mailserver postfix/smtp[20540]: connect to washingtonmutual.com[159.53.64.61]:25: Connection timed out
Oct 17 13:33:36 mailserver postfix/smtp[20517]: connect to laparisienne.net[108.61.4.52]:25: Connection refused
Oct 17 13:33:36 mailserver postfix/smtp[20517]: warning: BF25E1043E4: defer service failure
Oct 17 13:33:36 mailserver postfix/smtp[20517]: BF25E1043E4: to=<limbert@laparisienne.net>, relay=none, delay=398841, delays=398632/143/66/0, dsn=4.4.1, status=deferred (connect to laparisienne.net[108.61.4.52]:25: Connection refused)
root@mailserver:/home/uhp# tail /var/log/mail.log
Oct 17 13:33:35 mailserver postfix/smtp[20438]: 3F2731040DF: to=<gregorys@netequityassociates.com>, relay=none, delay=402443, delays=402236/206/0.49/0, dsn=4.4.1, status=deferred (connect to netequityassociates.com[176.74.176.167]:25: Connection refused)
Oct 17 13:33:35 mailserver postfix/smtp[20540]: connect to washingtonmutual.com[159.53.64.61]:25: Connection timed out
Oct 17 13:33:36 mailserver postfix/smtp[20517]: connect to laparisienne.net[108.61.4.52]:25: Connection refused
Oct 17 13:33:36 mailserver postfix/smtp[20517]: warning: BF25E1043E4: defer service failure
Oct 17 13:33:36 mailserver postfix/smtp[20517]: BF25E1043E4: to=<limbert@laparisienne.net>, relay=none, delay=398841, delays=398632/143/66/0, dsn=4.4.1, status=deferred (connect to laparisienne.net[108.61.4.52]:25: Connection refused)
Oct 17 13:33:36 mailserver postfix/smtp[20439]: warning: AE12010520D: defer service failure
Oct 17 13:33:36 mailserver postfix/smtp[20439]: AE12010520D: to=<kmoverman1@juno.com>, relay=mx.dca.untd.com[64.136.44.37]:25, conn_use=2, delay=249147, delays=248939/203/0.36/4.4, dsn=4.3.0, status=deferred (bounce or trace service failure)
Oct 17 13:33:36 mailserver postfix/smtp[20539]: connect to devillier.ws[64.70.19.198]:25: Connection timed out
Oct 17 13:33:36 mailserver postfix/smtp[20539]: warning: 413B5103F0B: defer service failure
Oct 17 13:33:36 mailserver postfix/smtp[20539]: 413B5103F0B: to=<dianna@devillier.ws>, relay=none, delay=404373, delays=404165/178/30/0, dsn=4.4.1, status=deferred (connect to devillier.ws[64.70.19.198]:25: Connection timed out)
root@mailserver:/home/uhp#

tail /var/log/mail.info

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# tail /var/log/mail.info
Oct 17 13:33:57 mailserver postfix/error[20681]: warning: B7FB8104535: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20681]: B7FB8104535: to=<mmezger@woodlandhealth.com>, relay=none, delay=397334, delays=397180/153/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20681]: warning: B7FB8104535: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20681]: B7FB8104535: to=<mmichael@woodlandhealth.com>, relay=none, delay=397334, delays=397180/153/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20674]: warning: 51686103CF7: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20674]: 51686103CF7: to=<brigoberto@woodlandhealth.com>, relay=none, delay=406336, delays=406186/150/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20680]: warning: 5924C1044CF: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20680]: 5924C1044CF: to=<mcleary@woodlandhealth.com>, relay=none, delay=397893, delays=397745/147/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20668]: warning: 5924C1044CF: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20668]: 5924C1044CF: to=<mclouner@comcast.net>, relay=none, delay=397893, delays=397745/147/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx2.comcast.net[76.96.40.147] refused to talk to me: 554 imta38.emeryville.ca.mail.comcast.net comcast 212.46.203.170 Comcast block for spam.  Please see http://postmaster.comcast.net/smtp-error-codes.php#BL000000)
root@mailserver:/home/uhp# tail /var/log/mail.info
Oct 17 13:33:57 mailserver postfix/error[20681]: B7FB8104535: to=<mmichael@woodlandhealth.com>, relay=none, delay=397334, delays=397180/153/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20674]: warning: 51686103CF7: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20674]: 51686103CF7: to=<brigoberto@woodlandhealth.com>, relay=none, delay=406336, delays=406186/150/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20680]: warning: 5924C1044CF: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20680]: 5924C1044CF: to=<mcleary@woodlandhealth.com>, relay=none, delay=397893, delays=397745/147/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to woodlandhealth.com[162.135.7.186]:25: Connection timed out)
Oct 17 13:33:57 mailserver postfix/error[20668]: warning: 5924C1044CF: defer service failure
Oct 17 13:33:57 mailserver postfix/error[20668]: 5924C1044CF: to=<mclouner@comcast.net>, relay=none, delay=397893, delays=397745/147/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx2.comcast.net[76.96.40.147] refused to talk to me: 554 imta38.emeryville.ca.mail.comcast.net comcast 212.46.203.170 Comcast block for spam.  Please see http://postmaster.comcast.net/smtp-error-codes.php#BL000000)
Oct 17 13:33:58 mailserver postfix/smtp[20500]: connect to alliantfs.com[69.43.161.203]:25: Connection refused
Oct 17 13:33:58 mailserver postfix/smtp[20500]: warning: 8DD3310416A: defer service failure
Oct 17 13:33:58 mailserver postfix/smtp[20500]: 8DD3310416A: to=<janlotto@alliantfs.com>, relay=none, delay=401527, delays=401297/228/1.7/0, dsn=4.4.1, status=deferred (connect to alliantfs.com[69.43.161.203]:25: Connection refused)
root@mailserver:/home/uhp#

tail /var/log/mail.warn

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# tail /var/log/mail.warn
Oct 17 13:34:37 mailserver postfix/smtp[20514]: warning: 72890103FBB: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20470]: warning: 35943103C99: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20535]: warning: 8023F104F3E: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20503]: warning: 36F0910491A: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20439]: warning: 35943103C99: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20514]: warning: 72890103FBB: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20478]: warning: E327A105166: defer service failure
Oct 17 13:34:38 mailserver postfix/smtp[20517]: warning: 43FD8103F4E: defer service failure
Oct 17 13:34:38 mailserver postfix/smtp[20469]: warning: 72890103FBB: defer service failure
Oct 17 13:34:38 mailserver postfix/smtp[20463]: warning: 94351103F38: defer service failure
root@mailserver:/home/uhp# tail /var/log/mail.warn
Oct 17 13:34:37 mailserver postfix/smtp[20439]: warning: 35943103C99: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20514]: warning: 72890103FBB: defer service failure
Oct 17 13:34:37 mailserver postfix/smtp[20478]: warning: E327A105166: defer service failure
Oct 17 13:34:38 mailserver postfix/smtp[20517]: warning: 43FD8103F4E: defer service failure
Oct 17 13:34:38 mailserver postfix/smtp[20469]: warning: 72890103FBB: defer service failure
Oct 17 13:34:38 mailserver postfix/smtp[20463]: warning: 94351103F38: defer service failure
Oct 17 13:34:39 mailserver postfix/smtp[20516]: warning: 32F34104515: defer service failure
Oct 17 13:34:39 mailserver postfix/smtp[20510]: warning: 3EEFB104EC1: defer service failure
Oct 17 13:34:39 mailserver postfix/smtp[20500]: warning: 23079105024: defer service failure
Oct 17 13:34:40 mailserver postfix/smtp[20448]: warning: C67BB104A20: defer service failure

tail /var/log/syslog

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# tail /var/log/syslog
Oct 17 13:35:37 mailserver postfix/smtp[20459]: 6E0AE1038D6: to=<abradley@betterbrandsinc.com>, relay=none, delay=407949, delays=407622/293/34/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=betterbrandsinc.com type=MX: Host not found, try again)
Oct 17 13:35:38 mailserver postfix/smtp[20488]: warning: 4B7A210431D: defer service failure
Oct 17 13:35:38 mailserver postfix/smtp[20488]: 4B7A210431D: to=<kcaamano@mysmtpmail.com>, relay=mail.mysmtpmail.com[64.38.116.12]:25, delay=399935, delays=399602/30/303/0, dsn=4.4.2, status=deferred (conversation with mail.mysmtpmail.com[64.38.116.12] timed out while receiving the initial server greeting)
Oct 17 13:35:38 mailserver postfix/smtp[20523]: connect to dfsgl.com[216.239.38.21]:25: Connection timed out
Oct 17 13:35:38 mailserver postfix/smtp[20517]: connect to games2you.com[216.57.208.1]:25: Connection timed out
Oct 17 13:35:38 mailserver postfix/smtp[20517]: warning: 2BE4E1040EE: defer service failure
Oct 17 13:35:38 mailserver postfix/smtp[20517]: 2BE4E1040EE: to=<grayson@games2you.com>, relay=none, delay=402601, delays=402272/292/36/0, dsn=4.4.1, status=deferred (connect to games2you.com[216.57.208.1]:25: Connection timed out)
Oct 17 13:35:40 mailserver postfix/smtp[20464]: E79AD103DFB: conversation with mailin-01.mx.aol.com[64.12.90.1] timed out while receiving the initial server greeting
Oct 17 13:35:40 mailserver postfix/smtp[20483]: warning: 4028910439A: defer service failure
Oct 17 13:35:40 mailserver postfix/smtp[20483]: 4028910439A: to=<l.green@tayloredsoftware.com>, relay=none, delay=399327, delays=398996/294/36/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=tayloredsoftware.com type=MX: Host not found, try again)
root@mailserver:/home/uhp# tail /var/log/syslog
Oct 17 13:35:38 mailserver postfix/smtp[20523]: connect to dfsgl.com[216.239.38.21]:25: Connection timed out
Oct 17 13:35:38 mailserver postfix/smtp[20517]: connect to games2you.com[216.57.208.1]:25: Connection timed out
Oct 17 13:35:38 mailserver postfix/smtp[20517]: warning: 2BE4E1040EE: defer service failure
Oct 17 13:35:38 mailserver postfix/smtp[20517]: 2BE4E1040EE: to=<grayson@games2you.com>, relay=none, delay=402601, delays=402272/292/36/0, dsn=4.4.1, status=deferred (connect to games2you.com[216.57.208.1]:25: Connection timed out)
Oct 17 13:35:40 mailserver postfix/smtp[20464]: E79AD103DFB: conversation with mailin-01.mx.aol.com[64.12.90.1] timed out while receiving the initial server greeting
Oct 17 13:35:40 mailserver postfix/smtp[20483]: warning: 4028910439A: defer service failure
Oct 17 13:35:40 mailserver postfix/smtp[20483]: 4028910439A: to=<l.green@tayloredsoftware.com>, relay=none, delay=399327, delays=398996/294/36/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=tayloredsoftware.com type=MX: Host not found, try again)
Oct 17 13:35:40 mailserver postfix/smtp[20499]: 84D4110490B: conversation with mailin-03.mx.aol.com[205.188.190.2] timed out while receiving the initial server greeting
Oct 17 13:35:40 mailserver postfix/smtp[20464]: warning: E79AD103DFB: defer service failure
Oct 17 13:35:40 mailserver postfix/smtp[20464]: E79AD103DFB: to=<cwglcalm@netscape.net>, relay=mailin-02.mx.aol.com[205.188.155.110]:25, delay=405270, delays=404934/33/303/0, dsn=4.0.0, status=deferred (host mailin-02.mx.aol.com[205.188.155.110] refused to talk to me: 554- (RTR:CH)  http://postmaster.info.aol.com/errors/554rtrch.html 554  Connecting IP: 212.46.203.170)

Эти 4 лога соответственно с выключеным bounce

[Karl500]

Вы не поняли. Этот лог показывает только попытки Вашего сервера отправить bounces. А интересен лог входящих сообщений - важно понять, почему они проникают к Вам, хотя должны быть отражены еще на этапе установки соединения.

Вы же понимаете, что эти адреса, на которые Ваш сервер пытается отправить bounces, поддельные, и, скорее всего, письма были изначально посланы со спам-хостов?

Кроме того, строка "defer service failure" говорит, что что-то у Вас не в порядке.

[Veter99]

Поясните, пожалуйста, как мне сделать выборку из лога только на входящие сообщения?
У меня невероятно гигантское количество сообщений в журналах.

[Karl500]

Посмотрите на очередь - есть ли там письма и сколько?

postqueue -p

Если есть, и если Вы не боитесь потерять пару-тройку писем, очистите очередь нафиг - она, возможно, у Вас просто забита этими bounce'ами...

UPD:
 
Очистка очереди:

postsuper -d ALL

[Veter99]

Чувствую себя не умным ниразу.

postsuper: Deleted: 74783 messages


Вроде тут же стало спокойнее О результатах напишу позднее.

[Karl500]

Вот теперь смотрите лог. У Вас сейчас 90% (или даже больше) этих спам-сообщений должны отсекаться еще на этапе установки соединения, с коментариями типа "Client host rejected: Cannot find your hostname".

Можно еще чуть улучшить положение, установив greylisting (postgrey).

[Veter99]

Ну теперь ситуация стибилизировалась. Спамеры в логе отображаются корректно,каждый по своей причине, кто то елхо не может, кто-то уже в базе зенспама, кто-то fqnd не соблюдает и так далее.

Теперь все ок, "мертвые баунсы и сообщения" не мешают, не пишутся в лог.

Вероятно в этом и была моя проблема. Неожиданное переполнение очереди, сообщения из которых и засирали журналы, давая мне ощущение, что меня продолжают спамить.
Все теперь работает еще лучше.

Так-то.


Спасибо за помощь. Куда шоколад и цветы отправлять?

[Karl500]

 

Супруге. Или девушке.

[Veter99]

А вот проблема все же всплыла:

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
5E1B4100D29*     258 Tue Nov  6 17:46:06  double-bounce@eastar.ru
                                         als84u@juno.com

F249A100934*     258 Tue Nov  6 17:46:00  double-bounce@eastar.ru
                                         allymcc7@aol.com

ADF1610101E*     258 Tue Nov  6 17:46:02  double-bounce@eastar.ru
                                         alsmom@aol.com

2E41C100C4E*     258 Tue Nov  6 17:46:06  double-bounce@eastar.ru
                                         aloha44@yahoo.com

DEDC8101122*     258 Tue Nov  6 17:46:02  double-bounce@eastar.ru
                                         alphasss@aol.com

DFBD0100CEB*     258 Tue Nov  6 17:46:07  double-bounce@eastar.ru
                                         allymills@gmail.com

1ADFC100C44*     258 Tue Nov  6 17:46:06  double-bounce@eastar.ru
                                         almer362@aol.com

И такого ооочень много.
Я так понимаю это баунчи спамерам? Как отключить? )

[Karl500]

amavisd/spamassassin используете? Если да - параметр

$final_spam_destiny       = D_DISCARD;

[Veter99]

С предыдущей проблемой вроде как разобрался.

А вот как так?
В очереди все равно гавно висит, которое не от кого и не кому.
Очередь очищаю -все равно идет.
Как так?

(Нажмите, чтобы показать/скрыть)

root@mailserver:/home/uhp# postqueue -p
-Queue ID- --Size-- ----Arrival Time---- -Sender/Recipient-------
BC962100CC1*    3053 Tue Nov  6 18:55:29  joytina_87@yahoo.com.hk
(delivery temporarily suspended: lost connection with mx4.hotmail.com[65.54.188.94] while sending RCPT TO)
                                         fabultman@hotmail.com
                                         face_first_in_the_blood@hotmail.com
                                         facefacer91@hotmail.com
                                         facethemassacre@hotmail.com
                                         facey@hotmail.com
                                         factoryiii@hotmail.com
                                         fadaka68@hotmail.com
                                         faddez9@hotmail.com
                                         fabw2003@yahoo.com
                                         fac@yahoo.com
                                         face@aol.com
                                         face444555@yahoo.com
                                         facebabyboo@yahoo.com
                                         facebook@yourdeserthouse.com
                                         faceplaceforums@gmail.com
                                         facethetruth210@yahoo.com
                                         facevedo-lopez@aol.com
                                         fachandley@yahoo.com
                                         facierno@yahoo.com
                                         faconder@yahoo.com
                                         factorydirectbuys@gmail.com
                                         factoryglobal@yahoo.com
                                         factorysuzuki@aol.com
                                         facupa@yahoo.com
                                         fad800@cox.net

И так далее.

Вот кусок конфига постфикса.

(Нажмите, чтобы показать/скрыть)

smtpd_helo_restrictions = permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname, permit
smtpd_client_restrictions = reject_unauth_pipelining, permit_sasl_authenticated, permit_mynetworks, reject_unknown_client_hostname, permit
smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/whitelist, reject_unknown_sender_domain, reject_non_fqdn_sender, permit_sasl_authenticated, permit_mynetworks, permit
smtpd_recipient_restrictions = reject_unauth_pipelining, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unlisted_recipient, permit_sasl_authenticated, permit_mynetworks, reject_rbl_client sbl-xbl.spamhaus.org

Я не понимать! (