[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

Sandy Drobic postfixbuch-users at drobic.de
So Sep 12 22:51:33 CEST 2010


On 2010.09.12 22:34, lars wrote:
> smtpd_recipient_restrictions = 
> check_policy_service inet:127.0.0.1:12525        
> check_policy_service inet:127.0.0.1:60000
> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> warn_if_reject reject_unverified_sender
> reject_unknown_recipient_domain,
> reject_unverified_recipient,
> reject_unauth_destination,
> permit_mynetworks,
> reject_unlisted_recipient permit_sasl,
> permit_sasl_authenticated,
> reject_unauthenticated_sender_login_mismatch

Setze die Restrictions etwas strategischer um:

smtpd_recipient_restrictions =
	reject_non_fqdn_sender
	reject_non_fqdn_recipient
	permit_mynetworks
	permit_sasl_authenticated
	reject_unauth_destination
# 	reject_non_fqdn_helo_hostname
# 	reject_invalid_helo_hostname	
# bis hierhin sind alle Checks ohne externe Abfragen und damit sehr schnell.
	reject_unknown_sender_domain
# zen wird bei deinem Volumen nur kostenpflichtig möglich sein
#	reject_rbl_client zen.spamhaus.org
	reject_unverified_recipient
	...

Wenn du die HELO-Checks mit einbeziehst, sollten eine Menge Abfragen schon
geblockt werden.

Wenn alles nichts hilft, dann wirst du wohl ein kleines Logscrubber-Script
schreiben müssen, das z.B. alle Clients mit mehr als 50 Rejects pro 5 Minuten
per IPTables für ein paar Stunden blockt. Du könntest dies auch an Fail2Ban
übergeben, das ist dafür gedacht. Sorge nur dafür, dass du entsprechende
Ausnahmen einsetzt, welche dein internes Netzwerk vor einem Eigentor schützen.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@)drobic (.) de



Mehr Informationen über die Mailingliste Postfixbuch-users