[Postfixbuch-users] und wieder Backscatter unterwegs
Uwe Driessen
driessen at fblan.de
So Aug 12 11:54:57 CEST 2007
Christian Roessner schrieb:
> Die FH Gießen Friedberg macht etwas geniales, was auch gut in
> policyd-weight passen würde:
>
> Sie ermitteln die ASN, aus der SPAM kommt und bepunkten das. Bei einer
> Überschreitung von x, wird dann das ganze ASN geblacklistet, was dort
> soviel heißt wie: Mail wird als SPAM getaggt.
Dann hast du aber immer noch die Belastung auf dem Server. Es soll zwar Masochisten geben
die auf Spam stehen .....
>
> So etwas fände ich auch für Postfix klasse.
Nö postfix ist ein reiner Transporteur das muß ein externes Filterproggi machen.
Frag die Jungs doch mal lieb an ob die den Code rausrücken evtl. findet sich jemand der
das dann zu einem proggy macht mit auswahl ob taggen oder rejecten.
>
> > Suche also die 100 schlimmsten Bereiche aus und sperre diese Netze manuell
> > komplett auf der Firewall. Auf diese Art bekommst du die Rejects zumindest
> > in einen erträglichen Bereich zurück und die Verwaltung ist ebenfalls noch
> > transparent.
>
> Ja, das ist echt Strafarbeit bei der großen mail.log :-)
Schau dir mal die Scripte an von gestern die erleichtern das ungemein
> Habe gestern mal mit fail2ban ein nächtliches Experiment auf nur einem
> der beiden Server durchgeführt: Habe meine schon zuvor gepostete
> Filterregel angewendet mit der Bedingung, dass ein Verstoß innerhalb von
> 10 Minuten mindestens 3 mal vorkommen muss. Als Folge wird ein Rechner
> dann eine halbe Stunde geblockt.
Mit einem der Skripte die ich auf dem Server liegen haben analysieren dann weist du wie
oft einzelne Server die Sperre insgesamt bekommen haben.
Ich habe heute morgen an den Filtern ein bisschen getuned und fail2 neu gestartet und
schon kommen die Jungs alle wieder gegen Backscatter ist fast kein Kraut gewachsen.
>
> Hier mal das Resultat:
Das von meinem Server gestern passt hier nicht mehr rein *gg Ohne Fail2ban wäre ich sehr
wahrscheinlich abgesoffen.
>
>
> Und das pflog-Sum:
>
Zusammenfassung
---------------
Nachrichten
167 empfangen
109 zugestellt
0 weitergeleitet
2 zurueckgewiesen (2 Zurueckweisungen)
0 zurueckgeworfen
2614 abgelehnt (95%)
davon 2100 in 6 Stunden von ca. 2000 "offiziellen" Servern
0 Ablehnungswarnungen
0 wartend
0 verworfen (0%)
0 bytes empfangen
0 bytes zugestellt
0 Sender
0 sendende hosts/domains
26 Empfaenger
15 empfangende hosts/domains
Recipient address rejected: User unknown (Gesamt: 2484)
Zeitraum empfangen zugestellt wartend zurueckgew. abgewiesen
0900-1000 6 4 1 0 6
1000-1100 6 4 0 0 623
1100-1200 17 12 0 0 793
1200-1300 32 20 0 0 462
1300-1400 6 3 0 0 270
1400-1500 8 6 1 0 213
1500-1600 2 1 0 0 77
>
> Das ist hart. Ich meine das wäre ja ein Traum, wenn das die Realität
> sein könnte :-)
>
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045 Fax: 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users