[Postfixbuch-users] Fragen zu laufender Spam-Attacke
Uwe Driessen
driessen at fblan.de
So Mai 31 21:03:18 CEST 2009
On Behalf Of Andreas v. Heydwolff
> Uwe Driessen wrote:
Hallo Andreas
>
> > Spiel ein bischen mit den nachfolgenden Werten
> >
> > smtpd_delay_reject = no
> > smtpd_client_connection_rate_limit =
Wie viele connection macht den ein "normaler" Client bei dir zu eine bestimmten Zeitpunkt
Setz doch einfach mal
smtpd_client_connection_rate_limit = 5
bei
anvil_rate_time_unit = 5s
ein Client kann somit innerhalb von 5 sec nur 5 Verbindungen gleichzeitig machen
> > smtpd_client_message_rate_limit =
> > smtpd_client_recipient_rate_limit =
> > anvil_rate_time_unit =
>
> Danke, Uwe - das Ergebnis habe ich unter
> http://andreas.heydwolff.de/public_html/postfix raufgeladen,
> xxx.xxx.xxx.xxx:25 inet n - n - 20 smtpd
> -o smtpd_proxy_filter=127.0.0.1:10024
Nur 20 smtp Prozesse wie viele kommen denn nach den restriktionen überhaupt noch durch ?
100 smtp bei 5 Amavischilds kann durchaus funktionieren (du hast 11 also setz ruhig mal
die 100 wieder ein und dein System fängt wieder an zu arbeiten)
smtpd_error_sleep_time = 100 ist nicht gut du sperrst dir damit deine eigenen Prozesse
smtpd_error_sleep_time = 0 wen ich nicht will den haue ich das sofort um die Ohren erst
recht wenn die Maschine stress hat
deine restrictionen
smtpd_recipient_restrictions =
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unlisted_recipient,
reject_rbl_client zen.spamhaus.org=127.0.0.10
reject_rbl_client zen.spamhaus.org=127.0.0.11
reject_rbl_client zen.spamhaus.org= rbl_reply_maps
=hash:/etc/postfix/rbl_reply_maps reject_rbl_client dnsbl.njabl.org,
reject_invalid_hostname
mein Vorschlag
smtpd_recipient_restrictions =
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unlisted_recipient,
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_hostname
reject_unauth_destination,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
reject_unknown_reverse_client_hostname, (da hab ich jetzt nicht nachgeschaut müsste
aber die entschärfte
variante sein )
reject_rbl_client zen.spamhaus.org
reject_rbl_client dnsbl.njabl.org,
smtpd_delay_reject = no (NO,NO,NO wen ich nicht will dem schlag ich die Tür zu FERTIG!!)
>
> smtpd_delay_reject = no werd' ich jetzt noch einstellen, da es munter
> weiter geht und selbst das Mailen an diese Liste kaum geht.
>
> >
> >
> > und was wird da versucht zu senden?
>
> weiß ich nicht, da ich das pre-queue-Filtering mache und nichts geshen
> habe von dem gesendeten Müll.
Schau in dein mail.log rein da steht immer wer woher an wen mehr will ich nicht keine
Inhalte oder sonstiges.
>
> Und woher?
>
> Muss ein bot-Angriff sein, mein iptables-Skript hat bis zum Reload heute
> früh über 1300 verschiedene Hosts geblockt, die in der letzten Minute
> >5x einen connect versucht haben. Die whois-Abfragen zeigen in alle Welt.
Stell das ganze auf IPSET um eine Regel in IPTABLES 1000de IP Adressen
>
> >
> > Evtl. schaust du dir auch mal die dynip an
Ich meine unter fblan.de/postfix ein paar der Tools bzw. da liegt auch eine regex die so
ziemlich alles mit generischen PTR aussperrt (auf Verträglichkeit PRÜFEN und im Header
GENAU lesen wie und wann was getan werden kann/muss)
>
> Hab' das Botnet-Modul von SA schon drin. Geht Dein Vorschlag in diese
> Richtigung oder verstehe ich Dich noch nicht?
Zu spät dann hast du den scheis ja schon zur Verarbeitung
>
> Schöne Grüße aus Wien,
>
Nach Wien wollte ich schon immer mal.
P.S. Konfigs immer mit posten das mag ich gar nicht wenn ich da noch mal 10 andere Fenster
aufmachen soll. Sorry das das heute etwas länger mit den Antworten dauert aber manches
andere geht auch mal vor *gg
Mit freundlichen Grüßen
Drießen
--
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
Mehr Informationen über die Mailingliste Postfixbuch-users