[Postfixbuch-users] Fragen zu laufender Spam-Attacke

Andreas v. Heydwolff listmail at sandpsych.at
Sa Mai 30 15:35:42 CEST 2009 

Hallo Liste,

dank dem Postfixbuch ist es mir vor einigen Jahren gelungen, ein
Amavis-Spamassassin-System aufzusetzen, das seither ohne große
Veränderungen gut läuft und Mails scannt bevor sie endgültig angenommen
werden oder nicht.

pflogsumm hat täglich bisher immer so etwa 25-40% Spam gemeldet, gestern
waren es 60% und heute 99%.

Gegenwärtig habe ich meinen SMTP-Port zu und die Firewall lehnt pro
Sekunde bis zu 4 connects ab, im Schnitt 2/sec. Mit vuurmuur kann ich
die Blocklist ergänzen, aber wenn ein Server abgehängt wurde, baut der
nächste schon 200 Verbindungen auf.

[snip]

Grand Totals
------------
messages

   8510   received
     32   delivered
      0   forwarded
     27   deferred  (267  deferrals)
      0   bounced
   9290   rejected (99%)
      0   reject warnings
      0   held
      0   discarded (0%)

[snip]

Per-Hour Traffic Summary
    time          received  delivered   deferred    bounced     rejected
    --------------------------------------------------------------------
    0000-0100           3          2          3          0        485
    0100-0200         675          4          3          0        449
    0200-0300           2          1          4          0        475
    0300-0400         397          7          2          0        426
    0400-0500        1293          5          1          0        425
    0500-0600           1          0          4          0        405
    0600-0700           6          3         13          0        425
    0700-0800         367          5          8          0        423
    0800-0900        5748          2          8          0        406
    0900-1000           2          1          6          0        410
    1000-1100           1          0          8          0        399
    1100-1200           1          0         11          0        410

[snip]

Muß ich mich nach einem anderen Domainnamen umsehen? Sind solche an
DoS-Attacken erinnernde Spamorgien vorübergehende Einzelfälle?

Ist das die "ganz normale Härte" und mein SOHO war nur bisher verschont
vor solchen Angriffen? Heißen die gleichmäßigen Reject-Zahlen in der
per-hour-Tabelle, dass mein System am Limit war und brav abgearbeitet
hat, was an der Türe angeklopft hat (pro versuchtem
username at meinedomain.tld bis zu 102 Mal)?

Noch Schnipsel aus meiner master.cf:

------
xxx.xxx.xxx.xxx:25 inet n     -       n       -       20 smtpd
   -o smtpd_proxy_filter=127.0.0.1:10024

127.0.0.1:25 inet n     -       n       -       11      smtpd
   -o content_filter=amavis:[127.0.0.1]:10024
   -o receive_override_options=no_address_mappings

127.0.0.1:10025 inet n  -       n       -       -       smtpd

pickup    fifo  n       n       -       60      1       pickup
smtp      unix  -       -       -       -       10      smtp

amavis  unix    -       -       n       -       2       lmtp
  -o lmtp_data_done_timeout=1200
  -o lmtp_send_xforward_command=yes
  -o disable_dns_lookups=yes
  -o max_use=20
------

Sollte ich irgend etwas anpassen? Die Hardware habe ich erst
aufgerüstet, ist das schwächtsmögliche AM2-CPU-System (zwecks niedrigem
Stromverbraucht) mit 2Gb RAM, auf dem noch diverses anderes eher
Unaufwendiges läuft, oder geht das bei solchen Attacken eh nicht schneller?

Kann bei solchen Attacken ein Script evtl. die IP in iptables sperren,
von der der connect aus erfolgt, oder hilft hier eine Teergrube, zu der
umgeleitet wird?

Wie kann ich erreichen, dass connects vom LAN aus prioritär angenommen
werden? Diese Mail habe ich erst mit viel Mühe versenden können.

Schöne Grüße

Andreas v.Heydwolff

Mehr Informationen über die Mailingliste Postfixbuch-users