Das Mail-Problem von gestern ist soweit gelöst. Es war eine Attacke von aussen, die unsere Barracuda Spam Firewall überfordert hatte.
Wir haben Anpassungen an der Firewall vorgenommen, damit dies nicht wieder geschehen sollte. Der Support von Barracuda hat gestern auch einige Stunden mit Analysen verbracht, um zu sehen, warum die Firewall nicht mit der hohen Anzahl gleichzeitigen Emails zurecht kam.
Wir empfingen bis zu 44.000 Emails pro Stunde. Das Filtern der Mails hat dazu geführt, dass die CPU-Auslastung der Firewall teilweise bei 100% lag. Es war jedoch verwunderlich, dass die Firewall soviel Leistung brauchte, denn wir haben schon Attacken mit 120.000 Emails pro Stunde ohne Probleme überstanden. Deshalb interessierte sich auch der Support von Barracuda sehr für das aufgetretene Problem von gestern.
In der Zeit, wo die Firewall gestört war, wurden die Mails auf unserem sekundären Mail-Server abgefangen und zur Weiterverarbeitung aufbewahrt.
Zwischenzeitlich haben wir den sekundären Mailserver entsprechend konfiguriert, damit er die Firewall umgehen konnte und die Mails direkt zustellen konnte. Dies hat einige Zeit in Anspruch genommen. Aber dadurch konnten wir die Verzögerungen auf ein Minimum reduzieren.
Die grösste Verzögerung fand gestern zwischen 15h00 und 16h33 statt, bis der sekundäre Server umprogrammiert worden war.
Alle Absender-Server, die korrekt konfiguriert sind, versuchen erst auf mx1.euregio.net (unsere Spam-Firewall) zu verschicken. Wenn diese nicht erreichbar ist, dann schicken die Server auf mx2.euregio.net (den sekundären Mailserver). Dadurch gehen keine Emails verloren, sondern werden nur verzögert zugestellt.
In der letzten Nacht haben wir noch einige zusätzliche Überwachungsscripts erstellt, mit denen wir früher gewarnt werden, wenn eine Attacke startet. Somit können wir schneller reagieren. Ausserdem können wir ab jetzt den sekundären Mailserver innerhalb von 30 Sekunden umschalten, falls es nochmals zu einer ähnlichen Attacke kommt.
Wir entschuldigen uns für eventuelle Unannehmlichkeiten und möchten nochmals versichern, dass wir alles tun werden, damit dies in Zukunft verhindert werden kann.
Mit freundlichen Grüssen,
Jochen Savelberg
Geschäftsführer
Euregio.Net AG
