[Tech] Postfix pigro

Dario Calamai dariocalamai@gmail.com
Mar 9 Dic 2008 14:12:31 CET 

Il 9 dicembre 2008 13.17, alessio chemeri <alessio.chemeri@gmail.com>
ha scritto:
> Il 9 dicembre 2008 12.26, Aldo Podavini <a.podavini@mclink.it> ha scritto:
>> alessio chemeri wrote:
>>> hai provato a guardare se hai in locale (o comunque all'interno dell'azienda)
>>> un qualcosa che rompe le palle su quella porta?
>>> o che magari ti fa traffico addosso (tipo un pc zombizzato?)
>>>
>>>
>>
>> Ho tcpdumpato per un po' sulla porta 25 e non noto flussi di abbondanza
>> anomala..A.
>
> Mi sembra che una cosa simile venne fuori (non ricordo se per lo
> stesso servizio/porta)
> qualche tempo fa...
> Personalmente, i ritardi sulla 25 mi fanno sempre pensare per prima
> cosa a tentativi
> o relay o hai zombie dentro l'azienda (ma lo hai escluso mi sembra) .
> Se poi dai log non ti risulta niente...
> Purtroppo poi io conosco abbastanza bene qmail (aaargh lo so che ora
> vi si rizzano le antenne dell'estremista)  ma per niente postfix..
> ne butto li' qualcuna... (sperando di non dare troppi sfondoni)
> -Puo' darsi che tu abbia un qualcosa tipo spamassassin che ti perde
> parecchio tempo
> nell'analisi delle mail in transito?
> -Quanta memoria ti prende un smtp di postfix?
>
> io pero' sarei per prendere in seria considerazione un'analisi dei pc
> che possono romperti
> su quella porta..
> (netstat e poi magari anche un nmap a giro nella tua LAN/WAN alla
> ricerca di remailer o
> altro.. boh.. analisi delle porte dello switch?)
>
>
se ho capito bene nei "momenti morti" il telnet <ip server> 25 non fa
mentre funziona quello sulla porta 110 e nello stesso momento un
telnet localhost 25 invece risponde. se cosi fosse escluderei da una
prima analisi sia un rallentamento del server sia un possibile ip
replicato sulla lan (a meno che l'altra macchina sia conf uguale in
ascolto sulla 110 XD ) ed anche "guasti" agli switch...
nel dump nel momento morto vedi pacchetti in arrivo sul server sulla
25? se si e no vedi la risposta allora il problema può essere solo sul
server...
in un momento morto (ma anche quando è ok cosi vedi se ci sono
differenze) prova un netstat -ltnp (l=listening; t=tcp; n=numeric;
p=PID/Program) la teoria vorrebbe che ci fosse una riga con scritto
qualcosa tipo
tcp        0      0 0.0.0.0:25            0.0.0.0:*
LISTEN     666/postfix
dove
0 0.0.0.0:25 è l'indirizzo:porta in ascolto (qui se ci leggi 127.0.0.1
per esempio vuol dire che nella conf fa relay solo in locale, ma non
saprei spiegarti perchè cambia...)

-- 
dario calamai
http://www.linkedin.com/in/dariocalamai

Maggiori informazioni sulla lista flug-tech