[Postfixbuch-users] Spamwelle die dreihunderzweiundvierzigste?!

[Sandy Drobic]

Thomas Krieger wrote:
> Hallo zusammen, 
>> ich möchte mal in die Runde fragen, ob derzeit noch jemand massiv mit
>> offenen Verbindungen/Botnet-Attacken zu kämpfen hat?
>>
>> Etliche Clients, viele ohne PTR, viele aus Dial-In-Netzen versuchen derzeit
>> irgendeinen Müll einzuliefern. Dank einigen bewährten Restriktionen werden
>> sie zwar nach einigen Sekunden abgewiesen, "verstopfen" mir trotzdem die
>> begrenzten smtpds.
>>
>> Block per Firewall fast unmöglich, da immer unterschiedliche IP-Adressen.
> 
> ich habe seit ca. 12:00 Uhr am Montag das Problem. Massiv viele Mails aus 
> Dialup-Bereichen von ständig wechselnden IPs. Die verstopfen nur die smtpd. 
> Heute gegen 11:00 Uhr wurde es noch einmal schlimmer.
> 
> Ich habe gestern und heute ca. 330.00 Rejects und ca. 24.00 ausgelieferte 
> Mails.

Das grenzt in der Tat schon an einen DDOS-Angriff bei über 1000 Rejects
pro Minute. :-/

Ich nehme an, dass du smtpd_delay_reject auf "no" gestellt hast, um die
Dialin-Rechner direkt loszuwerden?

> Ich habe gestern ein kleines böses Skript, dass die IPs ohne PTR in iptables 
> Regeln umwandelt und dynamisch in die Firewall einfügt, laufen lassen. 
> Das hat nichts genutzt. Nach 1 Stunde ca. 4000 IPs geblockt. Ich habe dann mal 
> eine Stunde lang nur mitzählen lassen. Die meisten IPs kommen tatsächlich nur 
> einmal vor.

Ja, ich denke auch, das dies keine Lösung ist. Für dich kommt
wahrscheinlich nur ein lokaler Spiegel einer RBL in Frage, mit der du
eingehende IPs direkt checken und rejecten kannst.

Wieviele smtpd sind denn bei dir simultan in Gebrauch wegen dieser
Zombies? Wieviele hast du als max gesetzt?

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com