PDA

Bekijk Volledige Versie : Majordomo / digest: enorme serverload



brinkie
14/09/07, 00:38
Hallo allemaal,

ik constateer dat op één van m'n servers soms een enorme serverload is, welke gerelateerd is aan Majordomo (digest), de load gaat soms over de > 6 en dat is voor mijn servers extreem (meestal < 1.0).

Bij controle blijkt er maar één user op die server een aantal majordomo lijsten te gebruiken. Juist die user wordt dan ook helemaal platgemailed op zijn diverse lijsten. Allemaal mailtjes met "help" requests (volgens de log) aan 'm. Duizenden stuks de afgelopen uren. Wat kan je hier tegen doen? Het komt van allemaal verschillende (fake) email adressen. De sukkel had ook nog een catch-all in gebruik (heb ik overal uitgezet, maar één reseller heeft dat aan laten staan voor z'n klanten en dit is dus een klant van een reseller) waardoor er een 2e stroom aan mails binnenkwam..

Is er een manier om de activiteit van Majordomo 'af te knijpen'? Ik heb al wat zitten zoeken op Google en hier op het forum maar dat leverde niets op.. Wat is de zin van al die 'help' mailtjes? Probeert men zo iets uit te halen? Ik snap echt niet wat er speelt, maar wel dát er iets speelt..

bvankuik
14/09/07, 09:33
Ik heb geen ervaring met Majordomo, maar het lijkt alsof iemand mailtjes stuurt met een fake from-veld (xxx@klantdomein), met als subject-veld 'help' en als to-field de majordomo list.

Kun je niet achterhalen in de SMTP logs wie dat doet, en dan dat IP adres blokken?

brinkie
14/09/07, 21:14
Ik heb geen ervaring met Majordomo, maar het lijkt alsof iemand mailtjes stuurt met een fake from-veld (xxx@klantdomein), met als subject-veld 'help' en als to-field de majordomo list.

Kun je niet achterhalen in de SMTP logs wie dat doet, en dan dat IP adres blokken?

Het gaat om binnenkomende mails.. van allerlei afzenders.

az-nzl
15/09/07, 09:59
Je kan op je inkomende mailserver verifying van het sender address aan zetten, en dan het liefst enkel voor het domein waar dit voor gebeurd.

brinkie
15/09/07, 10:15
Je kan op je inkomende mailserver verifying van het sender address aan zetten, en dan het liefst enkel voor het domein waar dit voor gebeurd.

Er bleek (tevens) sprake te zijn van brakke scripting. De rust is weergekeerd na wat aanpassingen op dat gebied. Maar dat kan ook toeval c.q. ongelukkig samenloop van omstandigheden zijn..

brinkie
29/09/07, 13:02
Inmiddels zijn we weer wat verder in de tijd. Gisteren en eergisteren vloog de serverload bij vlagen weer omhoog en in m'n /tmp folder vond ik ladingen aan digest.* bestanden (> 2 Gb). Gistermiddag reageerde de server bijna nergens meer op en ik heb een reboot gedaan. Toen werd het tijdelijk wat rustiger maar later vloog het weer omhoog.

In het bestand majordomo.debug de volgende regels:


majordomo@domein.nl: not replying to majordomo to avoid mail loop.
mj_majordomo: ABORT
majordomo@domein.nl punting to avoid mail loop.
mj_majordomo: ABORT
majordomo@domein.nl punting to avoid mail loop.


Deze user (domein.nl = uiteraard niet het domein) gebruikte geen mailinglists (meer). Ik heb het nu -in goed overleg uiteraard- helemaal bij 'm uitgezet.

Ik heb m'n hele server afgespeurd naar eventuele problemen (rootkithunter, scripts, enz) en vind geen voor de hand liggende zaken. SpamAssasin heeft het soms wel héél erg druk, in mijn optiek. Maar dat is op alle servers zo.

Er is één user die een aantal mailinglists gebruikt, bij deze user heb ik de config's allemaal aangepast omdat die de maximale aantal bytes zodanig hoog had dat mijn conclusie was dat men het gebruikte om met elkaar bestanden (flink grote) uit te wisselen.

Iemand nog suggesties?