сколько доменов, ящиков что лимитов не хватает? или dsnbl проверяется для каждого подключения без отсева по прочим фильтрам?
похоже, что каждого и PBL spamhaus
telnet mail.martika-home.ru 25
Trying 82.200.44.130...
Connected to mail.martika-home.ru.
Escape character is '^]'.
220-mail.martika-home.ru ESMTP Postfix
521 5.7.1 Service unavailable; client [83.246.237.229] blocked using zen.spamhaus.org
Connection closed by foreign host.
большую часть можно отсеять другими методами, а dsnbl в последнюю очередь
Andrey, у меня порядок такой nftables blacklist (тупо drop подсетей говнохостеров) postfix (фильтры prce, получатель, адресат, заголовки, проверки подписей и еще вагон всего что должно быть, в противном случае reject) postfix поднимает postscreen когда уже все фильтры прошли
amavis тоже самое, но тут больше правка на то что прошло и либо отбеливаем либо ставим отметку спам ( некоторые адреса больших публичных служб), либо если совпало то reject (хотя отсюда думаю на postfix перенести, зачем разбирать почту если уже известен отправитель)
в довесок postscreen + bind9 cache dnsbl тк 100 000 запросов в сутки это не много. поэтому кеширующий прокси
выдержка лога одного и серверов где я обслуживаю
Grand Totals ------------ messages 14630 received 30338 delivered 54010 rejected (55%)
там не хватает запросов уже
есть сервера где нагрузка еще больше, там до 200к писем, но там обучение спаму через пересылку письма на ящик spam и отбеливание на ham )
и dnsbl там еще нет, сервак старый перенести на новую ОС сложно, а ту обновлять я "ссу" там реальное железо и никаких тебе снапшотов ))))
У spamhaus ttl от минуты до нескольких, такая актуальность не нужна, может если игнорировать ttl и кэшировать ответы сутки-неделю (например как min-cache-ttl у dnsmasq), количество запросов сильно уменьшится.
может если игнорировать ttl и кэшировать ответы сутки-неделю (например как min-cache-ttl у dnsmasq), количество запросов сильно уменьшится.
думал на эту тему идей было несколько - купить подписку, но ненашел поставщика в России - увеличить время хранения dns cache (тут думал оптимально 3-4 часа ставить, что бы если важный отправитель то успел "отбелиться" за рабочий день, ну либо если будет адрес известен этого горя то можно будет принятие от данного домена сразу принимать без проверок вроде sender_access example.com OK - поднять больше dns серверов на других белых IP