[Postfixbuch-users] Spamwelle, bzw. disconnect nach 5xx Fehler

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Mi Jan 9 23:41:20 CET 2008 

Thomas Klein wrote:
> Guten Abend,
> 
> schätze mal, ihr seid sicher genauso wie ich von den heutigen Spamwellen 
> überflutet worden. Hab heute Rekordwerte bei den Rejects verzeichnen 
> können auf mehreren Systemen.
> 
> Beim Logs durchsehen stellte ich fest:
> Die Spam-Clients unternehmen pro SMTP-Connect mehrere 
> Einlieferungsversuche. Meistens werden diese von policy-weight schon mit 
> einem 500er Fehler ausgebremst. Die machen aber nicht sofort danach 
> einen disconnect, sondern versuchen in der gleichen Session bei 10 
> anderen Usern noch ihre Mail loszuwerden.

Normal ist, dass ein Client nach einem REJECT bei rcpt to weitere 
Empfänger durchgibt, bis er entweder keine Empfänger für die Mail mehr hat 
oder durch smtpd_hard_error_limit gestoppt wird. Dieser Wert gibt an, nach 
wieviel Fehlern (nicht nur ungültige Empfänger, sondern Fehler insgesamt 
in der Session) die Verbindung abgebaut wird. Standard ist 20. Wenn du nur 
eine kleine Site hat, wo es ungewöhnlich ist, dass eine Mail an mehr als 
20-30 Empfänger adressiert ist, dann kannst du diesen Wert auch runtersetzen.

> Ich habe das vorher nicht so genau beobachtet; aber wäre es nicht 
> besser, einen disconnect zu erzwingen, wenn ein 500er Fehler vom 
> Mailserver geliefert wird? Ohne es genau zu wissen, hätte ich behauptet, 
> dass ein nicht-spam-client nach einem 500er Fehler von selbst erstmal 
> disconnected.

Falsch! Das wäre auch schrecklich ineffizient. Stelle dir mal vor, man 
würde jedesmal wieder die TLS-Verbindung neu aufbauen müssen, wenn ein 
einziger ungültiger Empfänger dabei ist. (^-^)

Mail an 50 User, davon sind 30 nicht mehr gültig, weil der Newsletter an 
alte Adressen geht und die Firma das Namenschema der Adressen geändert hat 
und die User die Adresse nicht korrigiert haben. Dann darf der 
einliefernde Client sich mindestens 30 mal verbinden, um die ungültigen 
Adressen je einmal zu probieren.
> 
> Ob das andererseit die Menge der Spams eindämmt, wage ich mal zu 
> bezweifeln, ist nur so ein Ansatz.

smtpd_hard_error_limit auf einen für die eigene Site vernünftigen Wert 
setzen ist eine Sache der eigenen Einstellung. Es verhindert zumindest, 
dass der Spamzombie einen Wörterbuch-Angriff durchführt und tausende von 
Adressen durchtestet.

Ich habe aber festgestellt, dass die Zombies inzwischen etwas 
hartgesottener sind: sie kommen nach kurzer Zeit wieder, wenn die 
Verbindung getrennt wird. Dagegen hilft nur noch Firewalling, etwa durch 
Fail3ban, oder wenigtens sofortiges Disconnecten mit "421 Service for 
Client not available..."

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users