postfix: add rate-limiting exceptions for our own nodes

Guichet s'est fait OOM-killed par Nomad en utilisation normale (nouvel
utilisateur qui clique sur un lien d'invitation).

.gitignore

@@ -4,3 +4,4 @@ secrets/*
 cluster/*/secrets/*
 !cluster/*/secrets/*.sample
 
+adrn-notes/

cluster/prod/app/email/config/postfix/main.cf

@@ -83,11 +83,14 @@ smtpd_forbid_unauth_pipelining = yes
 smtpd_discard_ehlo_keywords = chunking
 smtpd_forbid_bare_newline = yes
 
-smtpd_client_connection_rate_limit = 2
-
 #===
 # Rate limiting
 #===
+smtpd_client_connection_rate_limit = 2
+# do not rate-limit ourselves
+# in particular, useful for forgejo who opens a lot of SMTP connections
+smtpd_client_event_limit_exceptions = $mynetworks /etc/postfix/rate-limit-exceptions
+
 slow_destination_recipient_limit = 20
 slow_destination_concurrency_limit = 2
 

cluster/prod/app/email/deploy/email.hcl

@@ -382,6 +382,20 @@ job "email" {
         destination = "secrets/postfix/transport"
       }
 
+      template {
+        data = <<EOH
+        {{- range ls "diplonat/autodiscovery/ipv4" }}
+          {{- with $a := .Value | parseJSON }} {{ $a.address }}
+          {{- end }}
+        {{- end }}
+        {{- range ls "diplonat/autodiscovery/ipv6" }}
+          {{- with $a := .Value | parseJSON }} [{{ $a.address }}]
+          {{- end }}
+        {{- end }}
+        EOH
+        destination = "secrets/postfix/rate-limit-exceptions"
+      }
+
       # --- secrets ---
       template {
         data = "{{ with $d := key \"tricot/certs/smtp.deuxfleurs.fr\" | parseJSON }}{{ $d.cert_pem }}{{ end }}"

cluster/prod/app/guichet/deploy/guichet.hcl

@@ -28,7 +28,11 @@ job "guichet" {
       }
 
       resources {
-        memory = 200
+        # limite de mémoire un peu élevée par précaution.
+        # avec 200M, j'ai observé guichet se faire OOM-killed au moment
+        # où un nouvel utilisateur clique sur un lien d'invitation
+        # fraichement généré.
+        memory = 300
       }
 
       service {