[ext] rate-limit für User-Accounts

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Do Jun 3 08:59:37 CEST 2021 

* Wiethoff, Helge <helge.wiethoff at thga.de>:

> leider mussten wir einiges an Reputation unseres Mail-Gateways
> einbüßen, nachdem ein Account kompromittiert wurde und Spam versandt
> hat.

Ein golden classic.

> Ich würde jetzt gerne an irgendeiner Stelle ein rate-limit für Mails
> mit "From: ... at sub.example.com" einführen, dass größer ist, als mein
> Nagios-Plugin: Dadurch würde ich weiterhin gewarnt werden aber es wird
> dem User ein Riegel vorgeschoben und es können keine weiteren Mails
> versendet werden.

Ich mache das via postfwd:


&&EXCHANGE {
   client_address==10.32.x.y
   client_address==10.32.y.x
   # Exchange HT
}
	 
# Arbeitszeit
id=mass_mailing_business_hours
   days=Mon-Fri
   time=08:00:00-20:00:00
   &&EXCHANGE
   action=rcpt(sender/500/43200/450 4.7.1 Recipient limit exceeded)
	    
# sonst
id=mass_mailing_feierabend
   time=20:00:01-23:59:59
   time=00:00:00-07:59:59
   days=Mon-Fri
   &&EXCHANGE
   action=rcpt(sender/250/43200/450 4.7.1 Recipient limit exceeded)

# sonst
id=mass_mailing_wochenende
   days=Sat
   days=Sun
   &&EXCHANGE
   action=rcpt(sender/200/43200/450 4.7.1 Recipient limit exceeded)

Das "&&EXCHANGE" limitiert das auf die IPs des Exchangeserver, da der
Mailman senden können soll.

> Geht das irgendwie mit Postfix oder Dovecot-Bordmitteln? 

Nein.

> Auf dem Mail-
> Gateway läuft rspamd und da gibt es ja auch ein rate-limit-Modul.

Das habe ich nie verstanden, würde daher auch eine Antwort in diesem
Bereich begrüßen.

> Geht
> das damit? Irgendwie so vielleicht oder stelle ich mir die selectors
> falsch vor?
> 
>     from = {
>       selector = smtp_from.lower;from("smtp","orig"):domain.get_tld.in('sub.example.com'
> )
>       bucket = {
>         burst = 100;
>         rate = 0.01666666666666666666; # leak 1 message per minute
>       }
>     }

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de

Mehr Informationen über die Mailingliste Postfixbuch-users