[Postfixbuch-users] und wieder Backscatter unterwegs

Uwe Driessen driessen at fblan.de
So Aug 12 11:54:57 CEST 2007


Christian Roessner schrieb: 
> Die FH Gießen Friedberg macht etwas geniales, was auch gut in
> policyd-weight passen würde:
> 
> Sie ermitteln die ASN, aus der SPAM kommt und bepunkten das. Bei einer
> Überschreitung von x, wird dann das ganze ASN geblacklistet, was dort
> soviel heißt wie: Mail wird als SPAM getaggt.

Dann hast du aber immer noch die Belastung auf dem Server. Es soll zwar Masochisten geben
die auf Spam stehen .....

> 
> So etwas fände ich auch für Postfix klasse.

Nö postfix ist ein reiner Transporteur das muß ein externes Filterproggi machen.
Frag die Jungs doch mal lieb an ob die den Code rausrücken evtl. findet sich jemand der
das dann zu einem proggy macht mit auswahl ob taggen oder rejecten.

> 
> > Suche also die 100 schlimmsten Bereiche aus und sperre diese Netze manuell
> > komplett auf der Firewall. Auf diese Art bekommst du die Rejects zumindest
> > in einen erträglichen Bereich zurück und die Verwaltung ist ebenfalls noch
> > transparent.
> 
> Ja, das ist echt Strafarbeit bei der großen mail.log :-)

Schau dir mal die Scripte an von gestern die erleichtern das ungemein

> Habe gestern mal mit fail2ban ein nächtliches Experiment auf nur einem
> der beiden Server durchgeführt: Habe meine schon zuvor gepostete
> Filterregel angewendet mit der Bedingung, dass ein Verstoß innerhalb von
> 10 Minuten mindestens 3 mal vorkommen muss. Als Folge wird ein Rechner
> dann eine halbe Stunde geblockt.

Mit einem der Skripte die ich auf dem Server liegen haben analysieren dann weist du wie
oft einzelne Server die Sperre insgesamt bekommen haben. 

Ich habe heute morgen an den Filtern ein bisschen getuned und fail2 neu gestartet und
schon kommen die Jungs alle wieder gegen Backscatter ist fast kein Kraut gewachsen.  

> 
> Hier mal das Resultat:

Das von meinem Server gestern passt hier nicht mehr rein *gg Ohne Fail2ban wäre ich sehr
wahrscheinlich abgesoffen.  

> 
> 
> Und das pflog-Sum:
> 

Zusammenfassung
---------------
Nachrichten

    167   empfangen
    109   zugestellt
      0   weitergeleitet
      2   zurueckgewiesen  (2  Zurueckweisungen)
      0   zurueckgeworfen
   2614   abgelehnt (95%) 

davon 2100 in 6 Stunden von ca. 2000 "offiziellen" Servern

      0   Ablehnungswarnungen
      0   wartend
      0   verworfen (0%)

      0   bytes empfangen
      0   bytes zugestellt
      0   Sender
      0   sendende hosts/domains
     26   Empfaenger
     15   empfangende hosts/domains

Recipient address rejected: User unknown (Gesamt: 2484)

Zeitraum    empfangen  zugestellt   wartend zurueckgew. abgewiesen
0900-1000           6          4          1          0          6 
1000-1100           6          4          0          0        623 
1100-1200          17         12          0          0        793 
1200-1300          32         20          0          0        462 
1300-1400           6          3          0          0        270 
1400-1500           8          6          1          0        213 
1500-1600           2          1          0          0         77

> 
> Das ist hart. Ich meine das wäre ja ein Traum, wenn das die Realität
> sein könnte :-)
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users