[Postfixbuch-users] Spamwelle die dreihunderzweiundvierzigste?!

Egon Gruber egon.gruber at gmail.com
Do Aug 30 15:39:51 CEST 2007


crandler schrieb:
>> Seit Montag habe ich dasselbe Problem. Gestern Vormittag und vor allem
>> auch habe ich sehr viele Mailzustellungsversuche
>> von Clients, viele ohne PTR, viele aus Dial-In-Netzen.
>>     
>
> In de.admin.net-abuse.mail wird von mindestens einem neuen Bot(net)
> berichtet. Ich zitiere Bernd Hohmann:
>    "Der eine macht eine EHLO-Session auf und schliesst den Socket sobald das
>
>    "mail from" akzeptiert wurde. 
>    Der andere macht auch auf EHLO und nach dem ACK zum "mail from" gar 
>    nichts mehr und hält die Verbindung bis zum Timeout auf - was unschön 
>    ist, wenn 1 Bot parallel viele und viele Bots noch mehr Verbindungen 
>    aufhalten."
>
> Genau das ist das Problem, was wir auch hier feststellen können - die
> Clients belagern das System ohne sich zu schämen.
>
>
>   
Dies kann ich nur bestätigen. Denke man muss versuchen sofrüh wie 
möglich den Client abzuweisen,
also vor "mail from".

>> Ich habe nun heute den Standartwert von smtdp von 100 anfangs auf 200,
>> dann 300 und nun schlussendlich auf 850 gesetzt, wobei nun
>> glücklicherweise der Wert von 600 nur selten überschritten wird. Mit RAM-
>> Speicherplatz und CPU habe ich keinerlei Probleme.
>> Jetzt läuft der SMTP Connect relativ ohne Probleme. Vorher war dieser
>> extrem lansam und zwischen Telnet und Helo dauerte es oft bis zu einer
>> Minute oder mehr. So wurden auch einige Mails verzögert zugestellt und
>> unser Monitoringsystem hat immer wieder Alarm geschlagen, dass der
>> Mailservice (Port 25) nicht aktiv sei.
>>     
>
> Alles schön und gut, wenn die Clients nur "idlen", nur was, wenn jetzt ein
> neuer Bot kommt, der hier massiv Schrottdaten einliefern will. Damit schießt
> er dir die Kiste ab. Irgendwie ist das alles nicht so das gelbe vom Ei.
>  
>
>
>   
Klar irgendwo kommt man an seine Grenzen.
>> Denke das Hauptproblem ist, dass sehr viele Clients (unknown, aus
>> DIAL-IN-Netzen) eine Verbindung aufbauen und somit Ressourcen besetzen.
>>     
>
> ACK
>
>
>   
>> Einige diese Verbindungen werden bis zum Timeout von 300s aufrecht
>> gehalten, obwohl diese mittels RBL (554) sofort abgewiesen wurden. Somit
>> besetzen diese Clients für 300s (Standarteinstellung) den smtpd.
>>     
>
> Ja, das ist bitter. Mich wundert, dass hier auf der Liste bis jetzt gerade
> mal 3-4 Leute betroffen sind. 
> Ich tippe auf einen baldigen Bericht bei heise mit der ungefähren
> Überschrift "Böser Bot soll aufzeigen, dass das SMTP-Protokoll sehr in die
> Jahre gekommen ist..." oder so in der Art. :)
>  
>
>   
>> Wie ist es möglich, dass die Clients die Verbindung nicht abbauen bwz.
>> muss Postfix warten bis der Client die Meldung 554 erhalten hat,
>> damit die Verbindung abgebaut wird?
>>     
>
> Die Bots sprechen bewusst kein korrektes SMTP. Sie wurden dafür konzipiert,
> genau das zu bewirken.
>
>   
>> Wie kann man dem Problem am besten entegenwirken?
>>     
>
> Vorausgesetzt du meinst damit am effektivsten:
> RFC vor dem geistigen Auge ausblenden, smtpd_timeout runterschrauben auf
> wenige Sekunden, smtpd_client_connection_count_limit runterschrauben auf
> wenige Verbindungen und hoffen, dass du auch nur die "Bösen" damit
> rauswirfst. <<< Das soll keine Empfehlung sein.
>
> Gruß Sven
>
>   
Mit diesen Parametern muss man vorsichtig umgehen. Danke für den Tipp.

Servus,
Egon




Mehr Informationen über die Mailingliste Postfixbuch-users