[Postfixbuch-users] Fragen zu laufender Spam-Attacke

Andreas v. Heydwolff listmail at sandpsych.at
So Mai 31 19:08:36 CEST 2009 

Stefan Förster wrote:
> Hallo Andreas,

Danke sehr fürs Antworten

> Firewall? Blocklist? Ich verstehe ehrlich gesagt nicht ganz.
> Umfassendere und detailliertere Informationen über Dein Setup,
> vielleicht sogar mal die Ausgabe von "postconf -n" wären hier evt.
> hilfreich. Welche Postfix-Version ist bei Dir im Einsatz?

postfix 2.5.5 auf Debian Lenny

Unter http://andreas.heydwolff.de/public_html/postfix
sind der output von postconf -n, die master.cf und meine
virtual Tabelle einzusehen (da gibt es noch ein anderes Problem,
"warning: do not list domain sandpsych.at in BOTH mydestination and
virtual_alias_domains").

Mein setup ist sicher nicht ideal, aber tat bisher was es soll. Die
vermurkste virtual-Konfiguration mit obiger Warnung habe ich erst seit
ich die mailman-Installation auf einen vserver übersiedelt habe, was ich
mit dem Mailsystem auch noch vorhabe. Es war halt nötig, den Mailverkehr
zwischen der Haupt-postfix-Installation, die zum Internet hin versendet
und von dort annimmt, und dem System mit dem mailman durchgängig zu
kriegen. Aus Zeitmangel ging's noch nicht besser.


> Ich habe mir jetzt die Zahlen bei Dir angesehen, und 10k abgewiesene
> Mails an einem Tag ist eigentlich nichts, worüber ich mir Sorgen
> machen würde. Klar, die SNR drückt das, aber hast Du denn wirklich ein
> technisches Problem?

Danke für die Einordnung, das Problem ist wohl die Konfiguration.

> 
>> ------
>> xxx.xxx.xxx.xxx:25 inet n     -       n       -       20 smtpd
>>    -o smtpd_proxy_filter=127.0.0.1:10024
>>
>> 127.0.0.1:25 inet n     -       n       -       11      smtpd
>>    -o content_filter=amavis:[127.0.0.1]:10024
>>    -o receive_override_options=no_address_mappings
> 
> Du verwendest das selbe Regelwer sowohl im pre- als auch im
> post-queue-Modus? Das könnte interessant werden, vor allem, wenn Du
> für Spam in amavisd-new ein "REJECT" hinterlegt hast.

Das zwar nicht, in der conf.d/20-debian_defaults steht

$final_virus_destiny      = D_DISCARD;  # (data not lost, see virus
quarantine)
$final_banned_destiny     = D_BOUNCE;   # D_REJECT when front-end MTA
## $final_spam_destiny       = D_BOUNCE;
$final_spam_destiny       = D_PASS;
$final_bad_header_destiny = D_PASS;     # False-positive prone (for spam)

Habe aber die Zeile
  -o content_filter=amavis:[127.0.0.1]:10024
jetzt rausgenommen, da ich eh nichts prüfen will, das von innen kommt.
Irgendwie muss ich jetzt noch das Mailman-System so dranhängen, dass die
Ausgehenden Mailman-Mails nicht geprüft werden.


> Da ich immer noch nicht so ganz verstehe, wo Dein Problem ist, werde
> ich hier einfach mal auf gut Glück raten:
> 
> Dein System nimmt zuviele Mails an, die dann im Gegenzug die
> amavisd-new-Prozesse verstopfen? Nimm weniger Mails an:

Wird wohl so sein, obwohl  die CPU bei weitem nicht ausgelastet ist die
ganze Zeit.

> http://www.postfix.org/STRESS_README.html

davon hab ich jetzt etwas hineingearbeitet in die Konfiguration, und auch

  http://www.postfix.org/SMTPD_PROXY_README.html

auch nochmal durchgesehen.

> Ich bin mir sicher, daß Uwe oder vielleicht auch Sandy hier noch was
> zu Restriktionen und Policy-Services sagen wird.

Uwes Mail beantworte ich separat.

> 
> Du benötigst einen smtpd, der aus dem LAN heraus funktioniert?
> Definiere einen in der master.cf und setze dort ein niedriges
> Prozesslimit, da man im Normalfall aus dem LAN heraus ja nicht soviele
> Mails wie von außen schicken wird.

Sollte ich noch einen als 10.0.1.10:10027 definieren, z.B.?

> Dein System ist platt, weil Du dynamische Anpassungen an Filterlisten
> oder Firewall-Regeln vornimmst? Stell das ab.

war auf dem Mailserver selbst nicht der Fall, in meiner Not habe ich nur
auf der Firewall alle IPs, die mehr als 5 connects/Minute auf port 25
versucht haben, per Skript geblockt.

Im Moment kann ich diese Mail wieder nicht versenden, grmpf.

Gruß, Andreas

Mehr Informationen über die Mailingliste Postfixbuch-users