Zuviel SPAM, richtiges Justieren der SPAM-Filter

fk+postfix at celebrate.de fk+postfix at celebrate.de
Di Dez 15 17:07:46 CET 2020


Am 15.12.2020 um 09:21 schrieb Andreas Reschke:

> Am 14.12.20 um 09:15 schrieb fk+postfix at celebrate.de:
>> Dem vorgeschaltet ist ein IP blocking per iptables. Das sind durch 
>> fail2ban auffällig gewordene IP's, hauptsächlich login Bruteforce 
>> Attacken oder Zombi Hosts, da gibt es eine handvoll IP Adressen, 
>> hauptsächlich aus China, die eine Verbindung aufbauen und dann kein 
>> EHLO senden.
>
>
> Hallo Frank,
>
> kannst du deine Konfig für Fail2ban veröffentlichen? Ich kämpfe auch 
> mit Bruteforce Angriffe aus China. Zur Zeit blocke ich die per Hand.
>
Der Filter sieht so aus:

# Fail2ban filter for extern postfix RBL

[INCLUDES]

# Read common prefixes. If any customizations available -- read them from
# common.local
before = common.conf


[Definition]
failregex = ^%(__prefix_line)sstatistics: max connection rate [5-10]/60s 
for \((.*):<HOST>\)

Hier wird aus dem Logfile der Gewinner (also die IP) der meisten 
Verbindungen ermittelt, wenn diese über 5 in der letzten Minute liegt.
Mehr als 10 wird nicht ausgewertet, da Postfix nur max. 10 Verbindungen 
von einer IP zeitgleich zulässt.

Die Jail.local u.a.:

[postfix-maxconn]
enabled = true
filter = postfix-maxconn
action = sendmail-match[name=postfix-maxconn-mail, dest=***@celebrate.de]
          iptablesBLOCKLIST[name=postfix-maxconn-ipblock]
logpath = /var/log/maillog
maxretry = 0
findtime = 61
bantime = -1

Die Aktion für iptablesBLOCKLIST:

[Definition]
actionban = /opt/logblock/fail2sql.sh <ip> <matches>

Hier wird ein Script gestartet, welches prüft, ob wir die IP schon in 
unserer internen, globalen DB haben.
Falls nicht wird auf ein erfolgreiches Triplet im Greylisting geprüft, 
gibt es das auch nicht, prüfen wir gegen
unsere Whitelist. Falls diese IP dort auch nicht vorhanden ist, werden 
zu der IP neben Hostname, AS Nummer noch ein paar
weitere Infos gesammelt und die IP in unsere Datenbank aufgenommen, 
zeitgleich wir die IP per iptables auf allen Systemen geblockt.

Parallel dazu wird bei einem falschen SASL Login auch sofort die IP 
geprüft und geblockt.

In der DB finden wir u.a. viele Tor Exit Nodes, und Shodan Census IPs, 
daneben viele DialUps aus Brasilien und Argentinien.
Die Russen und Chinesen sind auch sehr präsent.

Werde mir aber mal rspamd ansehen und das Scoring.

lg Frank



Mehr Informationen über die Mailingliste Postfixbuch-users