Ich mach das jetzt doch - ab sofort hat es in meinem
Repository also Pakete für den Entwicklungszweig von Postfix. Diese Versionen sind mit dem Hinweis „experimental” gekennzeichnet:
QUOTE:
New features are tested in experimental releases. They become part of the next official release once the code has not changed for a significant amount of time. Although this code is still subject to change, it runs on all of Wietse's systems so it is production quality.
Der Hauptgrund für diesen Schritt sind zwei neue Features, die derzeit in die 2.7-Reihe einfließen - nachzulesen im Original z.B.
hier:
Zum einen enthält der Experimental-Zweig das Programm
postscreen. Inspiriert von Programmen wie dem
OpenBSD spamd dient dieses Tool dazu, durch verschiedene Tests Spambots („Zombies”) von den eigentlichen SMTP-Listener-Prozessen fernzuhalten. Die Idee dahinter und einen groben Überblick über die Funktionsweise gibt es z.B. in
diesem PDF. Unerwartet wirksam war hier das "pregreet" getaufte Feature. Dabei wird von postscreen(8) als Begrüßung zunächst das SMTP-Banner mit einem Minuszeichen zwischen dem 220er-Statuscode und dem Hostnamen ausgegeben:
CODE:
220-mail.example.net ESMTP
Wie jedem Posthamster bekannt sein dürfte, leitet diese Art von SMTP-Antwort eine mehrzeilige Antwort ein - sprich, obiges ist
nicht die Aufforderung, doch bitte SMTP zu sprechen. Erst nach einer konfigurierbaren Wartezeit (Default: 4 Sekunden) wird diese „multiline response” abgeschlossen:
CODE:
220 mail.example.net ESMTP
(Man beachte das fehlende Minuszeichen!) Wenn ein Client vor der vollständigen Übermittlung des Banners zu sprechen beginnt (und keine vernünftige SMTP-Implementierung in einem echten Mailserver sollte so etwas tun!), so kann postscreen(8) dazu gebracht werden, die Verbindung zu trennen. Und das ist effektiv:
CODE:
# zgrep -c PREGREET /var/log/mail.log.1.gz
1622936
Das sind dann also einfach mal über eineinhalb Millionen Zombies, die anderweitig keine Resourcen mehr verbraucht haben. Und Rechner, die dieses Tests bestanden haben, kommen für 24h in eine Whitelist - sprich, die Mailserver von Kunden, Partnern und Mailinglisten werden nach kürzester Zeit keine Verzögerungen mehr zu beklagen haben.
Achtung: Wenn man die Black- und Whitelist-Features von postscreen(8) benutzen will, dann sollte man dies tunlichst nur mit dem tun, was Wietse als „low latency databases” bezeichnet - im Klartext: Mit SQL-Datenbanken kann es da zu Problemen kommen!
Das zweite Feature wurde von Wieste mit folgendem Vermerk angekündigt:
QUOTE:
This addresses a concern of people in Europe who want to reject all bad mail with a before-queue filter. The alternative, an after-queue filter, means they would have to discard bad mail (which is illegal) or bounce bad mail (which violates good network citizenship).
Gemeint ist damit eine Verbesserung der Art und Weise, wie Postfix mit einem SMTP-Proxy, also im „before-queue content-filtering”-Modus, zusammenarbeitet. Bisher war es so, daß Postfix die Verbindungen, sobald der erste Empfänger akkzeptiert wurde (da bin ich mir jetzt nicht zu 100% sicher, könnte auch erst zu Beginn der Data-Phase gewesen sein) an den SMTP-Proxy, also z.B.
amavisd-new, weitergeleitet hat. Wenn die Übermittlung der eigentlichen Mail jetzt längere Zeit gedauert hat, war trotzdem die ganze Zeit ein Filter-Prozess belegt. Mit dem neuen Feature „smtpd_proxy_options = speed_adjust” werden Mails jetzt erst nach der vollständigen Übermittlung an den Filter weitergeleitet - und da die Filter im Normalfall deutlich besser an Postfix angebunden sind (Ethernet oder gar Loopback) ist der SMTP-Proxy in so einem Fall dann nur deutlich kürzer belegt.
Ich werde versuchen, in Zukunft regelmäßig neue Snapshots als Debian-Pakete zur Verfügung zu stellen, kann aber natürlich nichts versprechen. Und allen, die die Pakete einsetzen kann ich nur raten, die Logs sorgfältig im Auge zu behalten - und natürlich die Dokumentation zu den neuen Features sowie zu Upgrades zu lesen!
