[Postfixbuch-users] smtp-attacke

[Sandy Drobic]

Andre Hübner wrote:
> 
> Hi Liste,
>  
> habe auch mal wieder ein Problem bei dem ich nicht weiter weiß.
> Offenbar macht es einigen Leuten Spaß speziell meinen Server oder 
> x-beliebige im Netz zu stören.
> Seit heute habe ich mal wieder reichlich Verbindungen auf Port 25 von 
> wildfremden ip Adressen.
> Ab und zu wird Spam eingeliefert, meistens geht es aber offenbar darum 
> einfach nur den slot zu belegen zu das irgendwann der komplette Port zu 
> ist.
> die ips lassen sich verbunden bis zum timeout, sobald ein platz frei 
> wurde klebt schon wieder ne neue ip drauf.
> Ich kann meine User aber nicht alle auf Port 587 schicken. postgrey und 
> policyd-weight hab ich am laufen, die haben auch reichlich zu tun.
> hab aber leider keinen plan was ich noch so machen könnte ohne meine 
> korrekten User beim einliefern von Mails zu behindern.

Du hast nur zwei Möglichkeiten, deinen Server freizukämpfen:

- erhöhe die Anzahl der smtpd Prozesse, abhängig von der Hardware sollte 
dies meistens möglich sein. Zeige mal master.cf (ohne Kommentare) und sage 
kurz, welche Hardware im Server steckt (CPU, RAM), und wieviele 
content_filter du gleichzeitig laufen lässt. Solange es kein smtpd_proxy 
ist, sollte das relativ problemlos skalieren.

- wirf offensichtlich kaputte Clients schneller raus. Hinweise darauf gibt 
das STRESS_DEPENDENT_README von Wietse. Ist eigentlich gedacht für die 
stress-Parameter, aber vieles davon kann auch für ältere Versionen in 
einer Spamwelle verwendet werden:
http://www.postfix.org/STRESS_README.html

Der effektivste Trick ist dabei das senden von "421 service not available" 
mit unverzüglichem Disconnect bei offensichtlichen Spamzombies.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com