[FUGSPBR] Trafego alto qmail

Rodrigo Graeff delphus em delphus.org
Qua Set 15 12:34:30 BRT 2004 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

~          Load muito alto no qmail depende de muitos fatores,
incialmente tamanho de memória ram do server, tamanho estipulado no
softlimit para o qmail-smtpd (pop3 se utilizado), tamanho de swap,
número de execussões do qmail-smtp local e remoto (cada um poderá
ocupar o valor configurado no softlimit) e também claro, o número de
scripts perl que o sistema estará chamando. O SpamAssassin costuma ser
leve, dependendo do número de arquivos de regras que tu tiver.
~       Pelo que vi, teu server tem memória ram livre pra garantir um
mta de médio-baixo porte se estiver fazendo verificação de spam e
vírus. Os processos zombie devem estar relacionados a chamadas do perl
a scripts com problemas de configuração e que podem estar acarretando
em erros onde o perl não consegue terminá-los. No caso do spamd,
verifique permissões/paths/sintaxes, normalmente são problemas comuns.
~       Inundação de  spam as vezes vem de ips spoofados, e como o
tcpserver abre sockets para 127. (127.0.0.0/0) então é possível que
alguém mal intencionado esteja ganhando open-relay devido à um
spoofing (já passei por isso), portanto deves tomar algumas medidas de
segurança, como bloquear todo e qualquer tráfego de 127.0.0.0/8 na
interface de rede pública e privada, menos na de loopback. As regras
abaixo exemplificam o que falo: ( ${iif} = interface pública)

${fwcmd} add allow ip from any to any via lo0

# Stop RFC1918 nets on the outside interface
ipfw add deny all from any to 0.0.0.0/8 via ${iif}
ipfw add deny all from any to 10.0.0.0/8 via ${iif}
ipfw add deny all from any to 127.0.0.0/8 via ${iif}
ipfw add deny all from any to 172.16.0.0/12 via ${iif}
# Stop draft-manning-dsua-03.txt (1 May 2000) nets (includes RESERVED-1,
# DHCP auto-configuration, NET-TEST, MULTICAST (class D), and class E)
# on the outside interface
ipfw add deny all from any to 0.0.0.0/8 via ${iif}
ipfw add deny all from any to 169.254.0.0/16 via ${iif}
ipfw add deny all from any to 192.0.2.0/24 via ${iif}
ipfw add deny all from any to 224.0.0.0/4 via ${iif}
ipfw add deny all from any to 240.0.0.0/4 via ${iif}

~         No arquivo /etc/rc.firewall tu encontrará o mesmo exemplo,
poderá dar uma boa olhada.

Abraços,

Carlos A. Talhati wrote:

| Ola pessoal
|
| Meu servidor de MTA (Qmail) hoje estava quase parando. O comando
| top exibia o seguinte conteudo e mais uma série de linhas identicas
| a estas:
|
| last pid: 50324;  load averages: 35.89, 33.42, 27.85   up
| 17+00:09:16  11:25:12 211 processes: 36 running, 173 sleeping, 2
| zombie CPU states: 97.9% user,  0.0% nice,  1.9% system,  0.2%
| interrupt, 0.0% idle Mem: 565M Active, 114M Inact, 185M Wired, 37M
| Cache, 111M Buf, 96M Free Swap: 2022M Total, 150M Used, 1872M Free,
| 7% Inuse
|
| PID USERNAME PRI NICE   SIZE    RES STATE  C   TIME   WCPU    CPU
| COMMAND 48990 root     130    0 31544K 26356K RUN    0   0:35
| 6.10%  6.10% perl 49010 root     130    0 31544K 26356K RUN    0
| 0:34  6.10%  6.10% perl
|
| e o ps -aux exibia estas linhas
|
| qscand   48990  9.3  2.5 31544 26360  ??  R    11:16AM   0:43.24
| /usr/local/bin/spamd -a -c -d -r var/run/spamd.pid (perl) qscand
| 48967  8.5  2.5 31544 26360  ??  R    11:16AM   0:43.34
| /usr/local/bin/spamd -a -c -d -r var/run/spamd.pid (perl)
|
| Duas duvidas: 1 - O que significa 2 zombie na segunda linha do TOP?
|  2 - como descobrir quem esta inundando meu MTA com spam, que pelo
| percebi foi quem gerou esta situação (tenho rodando qmail +
| vpopmail + spamassassin + clamav - firewall)
|

- --
Rodrigo Graeff
delphus em delphus.org
www.delphus.org
icq: 9636816
Public PGP Fingerprint
D28D A200 AFF0 D484 9F7A 2BB5 2E1B 30DF D472 D7D2
Free Software for all                          
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (FreeBSD)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFBSGEGLhsw39Ry19IRAvliAJ0WK7Jb4ESALy2HrugRG+8NWIeKKACfdYy2
w7UZF7sNzVoDepmv/w/M+wk=
=M1Ff
-----END PGP SIGNATURE-----

_______________________________________________________________
Para enviar um novo email para a lista: fugspbr em fugspbr.org
Sair da Lista: http://lists.fugspbr.org/listinfo.cgi
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd