Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 1833 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

CPU spikes past 10 -- Astaro overloaded

UDPride
Gang-

Im not sure whats causing this but over the last few weeks there have been times where my Astaro 6.311 has been completely saturated/unresponsible from being overloaded by the CPU. When I go into the hardware reporting the CPU usage will spike past the "10" mark when usuaully its well under 1.0.

I think the SMTP proxy is causing this because when I shut it down and manually route mail though the Astaro (passive), the Astaro will eventually right itself and the CPU usage will come down. These spikes can occur out of the blue and immediately. If I wait a day or two and turn the SMTP proxy back on, the problem is gone.

In the proxy content manager Im identifying a LOT of bounced emails coming back to us from bogus addresses (say our company name is ABC.COM - the bouncebacks are trying to return to 354856734034094fgh48@abc.com).

I did notice in doing a DNSREPORTS lookup that our DNS record holder does not have an SPF record for us. Could this be causing the entire issue, and the proxy is getting a ton of spoofed mail address bouncebacks? We dont have relaying turned on for our exchange server, so Im thinking the bouncebacks are spoofed spam. 

I want to get the SPF record set up for our domain whether it solves the Astaro CPU overload problem or not but Im a bit worried it may affect other email we do. We DO send third party email from our network that is labeled with "theircompanyperson@theircompany.com". I wouldnt want this email blocked or bounced by an SPF record. Im hoping the SPF would just reconcile mail with our OWN domain *(mycompany.com).

Any thoughts on all of these issues appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    BATV should help, if it's available in 6.3

    Barry
  • 0 in reply to BarryG
    BATV is available in 6.3 ... 

    However, I'm interested in what kind of hardware this is on; I had a customer that had a 220 that handled their email traffic, etc. and when they suddenly became a target of spammers, they got hammered so bad that a hardware upgrade was necessary; so many exim and spamd processes were spawned that the system could not handle it.  Upgrading to 7.101 should help, but if your hardware is below par, consider upgrading it.  RAM helps the most.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    What hardware do you have for your Astaro?

    Any reason you can't move up to v.7101 (the current version)?

    What other services are you using (HTTP Proxy, IPS, etc.)?

    BATV works fine in both 6.x and 7.x, but no reason not go to 7.x.
  • 0 in reply to eganders_01
    What is BATV???

    Im on an ASG120 running 6.311.

    We're in the process of upgrading to 7.x, but its a long process because the migration path is so non-automated.

    it happens again this morning. the Astaro CPU usage was over 20. Had to shut down SMTP Proxy and add manual SMTP rules to cure problem. We do run HTTP proxy as well but it appears to not affect anything. 

    Im getting tons and tons of what look like spam bounce-back emails in the proxy content manager. They are returning to the domain with goofy spam-like addresses from our domain we obviously do not have. Its not a relay issue on our mail server. this is where I wonder if a lack of an SPF record by our DNS host is the culprit?
  • 0 in reply to UDPride
    Doubtful the SPF record has much to do with it, people attacking systems like this appear to have little rhyme or reason as to their actions other than annoy the hell out of you and block your inbound email.

    Someone may have sent a crapload of spam using your domain as the return address, so that when their garbage bounces it hits your system. Great way to bludgeon someone into the ground. 

    You may upgrade hardware, or you may just choose to shut down your system for a few hours, or clean the stuff out of your system, but I doubt there's a lot you can do to stop this kind of stuff.
  • 0 in reply to jjohnston62
    Thats exactly what appears to be happening. Bounce-back blowback from bogus spammed addresses using our domain name. They are coming from all over. The proxy content manager will get 2-3 a minute at times. After a while the CPU just grinds to a halt and I cant even ping the Astaro and log in. Shuts the network down.

    Right now the manual SMTP rules are working okay for the most part but Id like to go back to the SMTP proxy. It would be nice if we could somehow assign valid addresses on the proxy so that if there is a bounceback and it doesnt reconcile the address, it would reject it back.
  • 0 in reply to UDPride
    Try going to Version 7.101; the anti-spam system / etc. have lower demands than 6.x ... make sure you have at least 512MB (1GB is better) in the system before you upgrade, though.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to UDPride
    Sorry, didn't notice you had a 120.  I would just upgrade to 7.101 and be done with it.  You may still end up needing to go to faster hardware, though.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to UDPride
    What is BATV???
    ...
    Im getting tons and tons of what look like spam bounce-back emails in the proxy content manager. They are returning to the domain with goofy spam-like addresses from our domain we obviously do not have. Its not a relay issue on our mail server. this is where I wonder if a lack of an SPF record by our DNS host is the culprit?


    http://en.wikipedia.org/wiki/Bounce_Address_Tag_Validation

    This is designed to help deal with the exact problem you're experiencing.

    Barry
  • 0 in reply to BrucekConvergent
    Interesting. Im just learning BATV now.

    Can I run BATV in transparent mode (Im currently running transparent)? I have my mail servers set up in the allow relay from field. I assume this function would be working already?

    Theres already a passcode in the BATV Secret field, with no entries for BATV skip receipients/senders.

    I think this will help solve my problem, I just need a bit more undestanding in how to set up.

    if I understand the logic correctly, outgoing mail from the mailserver attaches the BATV secret passcode in the email. If the bounce back doesnt have that passcode as well, the email is simply dropped.

    Obviously, thats not happening at the moment.
  • 0 in reply to UDPride
    friendly bump. any further help?
Reply Children
No Data
Cookie Information Banner