[Postfixbuch-users] Spamversuche abstellen???

Daniel Chitralla dc at ereignisschmiede.de
Mi Jun 11 01:03:16 CEST 2003


> * Daniel Chitralla <dc at ereignisschmiede.de>:
> > Hallo, entschuldigt bitte, dass ich mich nochmal melde...
> >
> > Ich werde immer noch zugemüllt. Rejecte jede dieser Emails, und auf jede
> > dieser Emails folgt eine neue.
>
> Firewall den Host der die Scheisse einliefert, evtl. ueber ein Script,
> das das Log verfolgt und Firewalleintraege macht.

In welche Datei kommen bei SuSE 8.0 mit der über yast eingestellten Firewall
derartige Einträge? Hosts.deny, oder?

>
> > Im Prinzip nicht so schlimm, aber ich kann meinen Mailserver nicht so
toll
> > benutzen, weil ich selber mit meinen paar Mails nicht mehr dazwischen
> > komme - so gut ist der Mailserver oder die Verbindung mit all den
Anfragen
> > ausgelastet.
>
> Echt? Krass. Versuch doch ueber die Firewall rate limiting!
> Und zwar in Bezug auf die Verbindungsaufbauten.
>
> Du setzt smtpd_soft_error_limit und smtpd_hard_error_limit auf 1 und
> 2, sodass die Verbindung abgebrochen wird wenn zuviele Fehler (2)
> passieren. Durch das Rate Limiting auf die Verbindungsaufbauten sperrt
> sich der Angreifer selbst aus :)
>

So:?
/etc/postfix/main.cf:
smtpd_soft_error_limit = 1
smtpd_hard_error_limit = 2

Habe ich jedenfalls mal gemacht, die Log sagt jetzt manchmal:

too many errors after RCPT from unknown[200.93.42.145]
disconnect from unknown[200.93.42.145]

also erster Erfolg?!

> > Was für eine Einstellung kann ich vornehmen? Die smtpd-Connections in
der
> > master.cf habe ich schon heruntergesetzt, den smtpd_timeout in der
main.cf
> > auch. Ich denke, in so einem Fall hilft auch eine Teergrube nicht viel,
> > oder?
>
> Nein, offensichtlich hat der Angreifer mehr Bandbreite als Du.
>
> Hast Du eine statische IP?
>

Ja, statische IP, erst seit ein paar Tagen. Gestern abend den Emailserver
aufgesetzt, zum Glück gut gegen Relaying gesichert (auch getestet: ordb,
abuse.net) - und hatte heute morgen schon die nette Überraschung in den
Logfiles.

Habe mir jetzt ein paar Adressen (web.de, hotmail.com, ...) als virtual
eingetragen. Konnte so aber leider nur 2 Musteremails herausfischen -
irgendein Krankenversicherungsvertreterkram, englischsprachig,
Reseller-Style. Den Headern nach gehen die Mails direkt zu mir. Eine
Auswertung der IP-Adressen würde sich aber nur bei noch mehr abgefangenen
Emails lohnen - und dazu müsste ich mir hunderte Domains (@davetek.com,
@odeon.pl, @execpc.com, .......) als Virtual-Domains anlegen.

Wenn ich die gleichzeitigen SMTPD-Connections raufsetze (z.B. 200), fängt
der Server an zu Swappen und ich kann irgendwann keine Mails mehr
verschicken.
Wenn ich sie runtersetze (z.B. 5), kann ich viel eher keine Mails mehr
verschicken.
Die Prozessorauslastung ist nicht erwähnenswert.
Ich denke, das Nadelöhr ist meine 256er Anbindung :-)



> -- 
> Ralf Hildebrandt (Im Auftrag des Referat V a)
Ralf.Hildebrandt at charite.de
> Charite Campus Mitte                            Tel.  +49 (0)30-450
570-155
> Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450
570-916
> AIM: ralfpostfix
>


----------------------------------------------------------------------------
----


-- 
_______________________________________________
Postfixbuch-users mailingliste
JPBerlin - Mailbox und Politischer Provider
Postfixbuch-users at listi.jpberlin.de
http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users




Mehr Informationen über die Mailingliste Postfixbuch-users