[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Uwe Driessen driessen at fblan.de
Mo Mai 28 01:04:08 CEST 2007 

Christian Boltz schrieb: 
> Du willst mehr Mails? Kein Problem ;-)
> opensuse-bugs+subscribe at opensuse.org
> Und wenn das immer noch nicht reicht, gibt es noch mehr
> high-traffic-Listen auf opensuse.org.

Nee danke wat soll ich mit SUSE *gg habe nur Debian 

> 
> Außerdem würde ich das Limit *deutlich* höher setzen, weil
> - erwünschte Mails auch mal häufiger als üblich reinkommen können
> - Newsletter o. ä. oft gleichzeitig an mehrere Empfänger einer Domain
>   gehen, vor allem wenn die Domain einer größeren Firma gehört.
>   Und größere Firmen haben i. d. R. eine gewisse Personalfluktuation,
>   die automatisch ungültige Mailadressen "generiert" ;-)

Ich nix große Firma und nix große Firma gehostet das Limit war schon so gewählt das alle
legitimen Zustellversuche sofort durchgehen.  
Und selbst andere Newslisten hauen nicht in derselben sec 50 Mails an ein und denselben
kleinen Server los. Denke nicht dass da Routinen laufen die Sendungen zusammenfassen denn
dann könnte man das auch mit einer gesendeten Mail an die Domain und der Server dort
verteilt es dann wieder in verschiedene Postfächer bewerkstelligen. Gibt es so was schon?
 
> - Angreifer/Spammer/whatever probieren es laut Deiner Beschreibung
>   extrem oft. Mir wäre es egal, ob die 2 oder 50 Adressen durchprobieren
>   können, wenn ich auf der anderen Seite verhindern kann, dass legitime
>   Mails versehentlich geblockt werden. Das bisschen Rauschen im Logfile
>   ist dann ein notwendiges Übel.

Jap oder mein aktuelles backscatter Problem die dann innerhalb der gleichen sec bis zu 20
Verbindungen aufmachen wollten dann wurden sie gefeuert *gg den rest habe ich dann nicht
mehr mitbekommen. Als es anfing waren es innerhalb einer Stunde so was um die 800
Ablehnungen (das war das soll von 2 Tagen in einer Stunde *gg)
Habe leider das Pech Trafik basierend abgerechnet zu werden da tut das schon weh wenn das
stundenlang wegen nix und wieder nix so geht.

> 
> 
> Ich hatte auch mal ein Limit von 5 neuen SSH-Verbindungen pro 5 Minuten
> auf einem Server eingerichtet (per ipt_recent), um automatisierte
> Loginversuche zu blocken. Und dann irgendwann CVS (über SSH) verwendet.

Tztztz nee so was mache ich ja nicht aber nach 5 mal falschen PW bekommste ne Zeitsperre 


> 
> Was habe ich daraus gelernt?
> - Man sollte nicht zu oft "cvs irgendwas" aufrufen, wenn man nicht
>   geblockt werden will ;-)   *aua*
> - Eine Blocktime von 5 Minuten ist mehr als ausreichend - vor allem, da
>   ich bei Kabel Deutschland meine (dynamische) IP z. T. monatelang
>   behalte. Nun stell Dir mal vor, ich hätte bei SSH-Attacken eine
>   Blocktime von 24 Stunden...

Jap wenn es um Dienste wie SSH und Pop3 bzw. falsche PW geht haste recht.
Backscatter versuchen dann 4 Tage lang den scheis zuzustellen und das nicht nur mit einer
Mail sondern mit vielen, dann nehme ich so was langsam persönlich.
Die Kunst besteht ja genau darin nur die zu Blocken die man nicht möchte und die nach
Möglichkeit davon abzuhalten überhaupt Trafik zu verursachen (ich bezahle grundsätzlich
keine R-Callbackgespräche) also warum soll ich mit jemandem reden den ich nicht mag und
das habe ich denjenigen versucht einige male mitzuteilen.

Eine oder 5 backscattermails mal von einem Server habe ich keine Probs mit aber mit dem
was da abgelaufen ist schon. 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users