[postfix-es] Performance

Rodolfo Pilas rodolfo en pilas.net
Lun Ene 12 20:14:05 CET 2004 

El otro día tuve un ataque DoS a uno de mis servidores de correo.  Una
aplicación de la intranet se "estupidizó" y desde 4 servidores mandaron
más de 60.000 mensajes a un promedio de 1.200 por minuto.  Fue muy
interesante ver como los recursos del servidor estaban agotados y el
kernel (2.2.x) bajaba tareas...

A partir de alli comencé a buscar info sobre cómo mejorar la performance
y encontré esto:


1) Filesystem en memoria para trabajo temporal.

# This is where mail is temporarily stored for filtering.
# This should be chowned by the user of the caller
# and mode 770 for security. For performance, consider
# mounting this in a tmpfs space or ramdisk.
FILTER_DIR=/var/spool/filter

Esto no lo he implementado, ya que es medio inutil mientras el server
tenga que usar cache de disco...

------------------

2) Limitar numero de procesos de filtrado
http://mailtools.anomy.net/archives/anomy-list/2003-07/0016.shtml

Anyway, you should be able to limit the number of processes for the
"filter" transport by putting something like following in your main.cf:
    filter_process_limit = 5

NO ENCONTRE OTRA REFERENCIA, ni siguiera en el postconf ¿existe esto?

------------------

3) Postfix Rate Controls
http://www.postfix.org/rate.html

Con este parámetro hice gran parte de la prevención:

# The default_process_limit parameter specifies the default limit
# on the number of Postfix child processes that provide a given
# service.
#
default_process_limit = 50

Cada proceso SMTP consume unos 20Mb, los 50 procesos esto nos consume
1GB de memoria.  Bajé a 25 y la cosa parece mejorar.

-------------------

4) Resource Controls
http://www.postfix.org/resource.html

-------------------


Si alguien dispone de alguna otra idea, referencia, sugerencia, para
mejorar la performance y evitar ataques DoS, agradeceré cualquier
comentario.


-- 
 Rodolfo Pilas              Quien los puso a estos tipos donde estan,
 rodolfo en pilas.net          Quien los deja seguir en su lugar,
 http://rodolfo.pilas.net   Quien los baja ahora de su altar,
 Yahoo ID: ysidorito        Quien les paga para que hagan lo que haran
 ICQ: 17461636              -=# Apocalipsis Now % Cuarteto de Nos #=-
      
GnuPG Public Key: gpg --keyserver www.keyserver.net --recv-key 57153363 
Key Fingerprint  =>  DAAE 3246 3F7D A420 B7A0  48A5 D120 C773 5715 3363
------------ próxima parte ------------
Se ha borrado un mensaje que no está en formato texto plano...
Nombre     : no disponible
Tipo       : application/pgp-signature
Tamaño     : 189 bytes
Descripción: Esta parte del mensaje =?ISO-8859-1?Q?está?	digitalmente
Url        : http://lists.wl0.org/pipermail/postfix-es/attachments/20040112/f3e396cd/attachment.bin

Más información sobre la lista de distribución Postfix-es