[Postfixbuch-users] Postfixbuch-users Nachrichtensammlung, Band 55, Eintrag 24

SBenker SBenker at Laboraerzte.de
Do Jun 12 10:57:08 CEST 2003 

Um Emails an die Liste Postfixbuch-users zu schicken, schicken Sie
diese an die Adresse
	postfixbuch-users at listi.jpberlin.de

Um sich via Web von der Liste zu entfernen oder draufzusetzen:
	http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
oder, via Email, schicken Sie eine Email mit dem Wort 'help' in
Subject/Betreff oder im Text an
	postfixbuch-users-request at listi.jpberlin.de

Sie koennen den Listenverwalter dieser Lister unter der Adresse
	postfixbuch-users-owner at listi.jpberlin.de
erreichen

Wenn Sie antworten, bitte editieren Sie die Subject/Betreff auf einen
sinnvollen Inhalt der spezifischer ist als "Re: Contents of
Postfixbuch-users digest..."


Meldungen des Tages:

   1. Re: Spamversuche abstellen??? (Ralf Hildebrandt)
   2. Mails an Server REJECTen (Jim Knuth)
   3. Re: Mails an Server REJECTen (Ralf Hildebrandt)
   4. Re: Mails an Server REJECTen (Jim Knuth)
   5. Re: Spamversuche abstellen??? (Daniel Chitralla)
   6. Re: Mails an Server REJECTen (Ralf Hildebrandt)
   7. Re: Spamversuche abstellen??? (Ralf Hildebrandt)
   8. Re: Spamversuche abstellen??? (Daniel Chitralla)


----------------------------------------------------------------------

Message: 1
Date: Wed, 11 Jun 2003 00:24:49 +0200
From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
Subject: Re: [Postfixbuch-users] Spamversuche abstellen???
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <20030610222449.GV6820 at charite.de>
Content-Type: text/plain; charset=iso-8859-15

* Daniel Chitralla <dc at ereignisschmiede.de>:
> Hallo, entschuldigt bitte, dass ich mich nochmal melde...
> 
> Ich werde immer noch zugemüllt. Rejecte jede dieser Emails, und auf jede
> dieser Emails folgt eine neue.

Firewall den Host der die Scheisse einliefert, evtl. ueber ein Script,
das das Log verfolgt und Firewalleintraege macht.
 
> Im Prinzip nicht so schlimm, aber ich kann meinen Mailserver nicht so toll
> benutzen, weil ich selber mit meinen paar Mails nicht mehr dazwischen
> komme - so gut ist der Mailserver oder die Verbindung mit all den Anfragen
> ausgelastet.

Echt? Krass. Versuch doch ueber die Firewall rate limiting!
Und zwar in Bezug auf die Verbindungsaufbauten.

Du setzt smtpd_soft_error_limit und smtpd_hard_error_limit auf 1 und
2, sodass die Verbindung abgebrochen wird wenn zuviele Fehler (2)
passieren. Durch das Rate Limiting auf die Verbindungsaufbauten sperrt
sich der Angreifer selbst aus :)

> Was für eine Einstellung kann ich vornehmen? Die smtpd-Connections in der
> master.cf habe ich schon heruntergesetzt, den smtpd_timeout in der main.cf
> auch. Ich denke, in so einem Fall hilft auch eine Teergrube nicht viel,
> oder?

Nein, offensichtlich hat der Angreifer mehr Bandbreite als Du.

Hast Du eine statische IP?

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)  
Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450
570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450
570-916
AIM: ralfpostfix

------------------------------

Message: 2
Date: Wed, 11 Jun 2003 00:37:39 +0200
From: "Jim Knuth" <jk at jkart.de>
Subject: [Postfixbuch-users] Mails an Server REJECTen
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <003d01c32fa0$e6187060$0100a8c0 at server>
Content-Type: text/plain;	charset="iso-8859-15"

Hallo,

wie kann ich denn Mails, die direkt an den Server,
ala 
xxx at server.de

adressiert und leider angenommen werden, rejecten,
d.h. nicht annehmen lassen?

cu Jim


------------------------------

Message: 3
Date: Wed, 11 Jun 2003 00:41:13 +0200
From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
Subject: Re: [Postfixbuch-users] Mails an Server REJECTen
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <20030610224113.GW6820 at charite.de>
Content-Type: text/plain; charset=us-ascii

* Jim Knuth <jk at jkart.de>:

> wie kann ich denn Mails, die direkt an den Server,
> ala 
> xxx at server.de
> 
> adressiert und leider angenommen werden, rejecten,
> d.h. nicht annehmen lassen?

local_recipient_maps korrekt konfigurieren wuerde ich sagen.
Das default sollte richtig sein:

local_recipient_maps = proxy:unix:passwd.byname $alias_maps

Vorsicht: proxy: gibts erst ab Postfix 2.x

Wenn server.de aber ein virtuelle domain ist (in virtual_maps), dann
den 
@server.de	catchalladress
wegnehmen

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)  
Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450
570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450
570-916
AIM: ralfpostfix

------------------------------

Message: 4
Date: Wed, 11 Jun 2003 01:00:38 +0200
From: "Jim Knuth" <jk at jkart.de>
Subject: Re: [Postfixbuch-users] Mails an Server REJECTen
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <005501c32fa4$1c00c3a0$0100a8c0 at server>
Content-Type: text/plain;	charset="iso-8859-1"

Ja, hat funktioniert. Danke.
Leider funktioniert das fuzzy-Script nun nicht mehr. :-(

> local_recipient_maps korrekt konfigurieren wuerde ich sagen.
> Das default sollte richtig sein:
> 
> local_recipient_maps = proxy:unix:passwd.byname $alias_maps
> 
> Vorsicht: proxy: gibts erst ab Postfix 2.x
> 
> Wenn server.de aber ein virtuelle domain ist (in virtual_maps), dann
> den 
> @server.de catchalladress
> wegnehmen


------------------------------

Message: 5
Date: Wed, 11 Jun 2003 01:03:16 +0200
From: "Daniel Chitralla" <dc at ereignisschmiede.de>
Subject: Re: [Postfixbuch-users] Spamversuche abstellen???
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <031501c32fa4$7a2234f0$e2ecf53e at offline>
Content-Type: text/plain;	charset="iso-8859-15"

> * Daniel Chitralla <dc at ereignisschmiede.de>:
> > Hallo, entschuldigt bitte, dass ich mich nochmal melde...
> >
> > Ich werde immer noch zugemüllt. Rejecte jede dieser Emails, und auf jede
> > dieser Emails folgt eine neue.
>
> Firewall den Host der die Scheisse einliefert, evtl. ueber ein Script,
> das das Log verfolgt und Firewalleintraege macht.

In welche Datei kommen bei SuSE 8.0 mit der über yast eingestellten
Firewall
derartige Einträge? Hosts.deny, oder?

>
> > Im Prinzip nicht so schlimm, aber ich kann meinen Mailserver nicht so
toll
> > benutzen, weil ich selber mit meinen paar Mails nicht mehr dazwischen
> > komme - so gut ist der Mailserver oder die Verbindung mit all den
Anfragen
> > ausgelastet.
>
> Echt? Krass. Versuch doch ueber die Firewall rate limiting!
> Und zwar in Bezug auf die Verbindungsaufbauten.
>
> Du setzt smtpd_soft_error_limit und smtpd_hard_error_limit auf 1 und
> 2, sodass die Verbindung abgebrochen wird wenn zuviele Fehler (2)
> passieren. Durch das Rate Limiting auf die Verbindungsaufbauten sperrt
> sich der Angreifer selbst aus :)
>

So:?
/etc/postfix/main.cf:
smtpd_soft_error_limit = 1
smtpd_hard_error_limit = 2

Habe ich jedenfalls mal gemacht, die Log sagt jetzt manchmal:

too many errors after RCPT from unknown[200.93.42.145]
disconnect from unknown[200.93.42.145]

also erster Erfolg?!

> > Was für eine Einstellung kann ich vornehmen? Die smtpd-Connections in
der
> > master.cf habe ich schon heruntergesetzt, den smtpd_timeout in der
main.cf
> > auch. Ich denke, in so einem Fall hilft auch eine Teergrube nicht viel,
> > oder?
>
> Nein, offensichtlich hat der Angreifer mehr Bandbreite als Du.
>
> Hast Du eine statische IP?
>

Ja, statische IP, erst seit ein paar Tagen. Gestern abend den
Emailserver
aufgesetzt, zum Glück gut gegen Relaying gesichert (auch getestet: ordb,
abuse.net) - und hatte heute morgen schon die nette Überraschung in den
Logfiles.

Habe mir jetzt ein paar Adressen (web.de, hotmail.com, ...) als virtual
eingetragen. Konnte so aber leider nur 2 Musteremails herausfischen -
irgendein Krankenversicherungsvertreterkram, englischsprachig,
Reseller-Style. Den Headern nach gehen die Mails direkt zu mir. Eine
Auswertung der IP-Adressen würde sich aber nur bei noch mehr
abgefangenen
Emails lohnen - und dazu müsste ich mir hunderte Domains (@davetek.com,
@odeon.pl, @execpc.com, .......) als Virtual-Domains anlegen.

Wenn ich die gleichzeitigen SMTPD-Connections raufsetze (z.B. 200),
fängt
der Server an zu Swappen und ich kann irgendwann keine Mails mehr
verschicken.
Wenn ich sie runtersetze (z.B. 5), kann ich viel eher keine Mails mehr
verschicken.
Die Prozessorauslastung ist nicht erwähnenswert.
Ich denke, das Nadelöhr ist meine 256er Anbindung :-)



> -- 
> Ralf Hildebrandt (Im Auftrag des Referat V a)
Ralf.Hildebrandt at charite.de
> Charite Campus Mitte                            Tel.  +49 (0)30-450
570-155
> Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450
570-916
> AIM: ralfpostfix
>


----------------------------------------------------------------------------
----


-- 
_______________________________________________
Postfixbuch-users mailingliste
JPBerlin - Mailbox und Politischer Provider
Postfixbuch-users at listi.jpberlin.de
http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


------------------------------

Message: 6
Date: Wed, 11 Jun 2003 06:58:13 +0200
From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
Subject: Re: [Postfixbuch-users] Mails an Server REJECTen
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <20030611045813.GD6820 at charite.de>
Content-Type: text/plain; charset=us-ascii

* Jim Knuth <jk at jkart.de>:

> Ja, hat funktioniert. Danke.
> Leider funktioniert das fuzzy-Script nun nicht mehr. :-(

Richtig. Wir stellen nachts das fuzzy script ab und tagsueber wieder an.

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)  
Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450
570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450
570-916
AIM: ralfpostfix

------------------------------

Message: 7
Date: Wed, 11 Jun 2003 07:00:32 +0200
From: Ralf Hildebrandt <Ralf.Hildebrandt at charite.de>
Subject: Re: [Postfixbuch-users] Spamversuche abstellen???
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <20030611050032.GE6820 at charite.de>
Content-Type: text/plain; charset=iso-8859-15

* Daniel Chitralla <dc at ereignisschmiede.de>:

> > Firewall den Host der die Scheisse einliefert, evtl. ueber ein Script,
> > das das Log verfolgt und Firewalleintraege macht.
> 
> In welche Datei kommen bei SuSE 8.0 mit der über yast eingestellten Firewall
> derartige Einträge? Hosts.deny, oder?

Ich benutze weder yast noch SuSE. Ich wuerde vermuten, das muss man
manuell machen.

> /etc/postfix/main.cf:
> smtpd_soft_error_limit = 1
> smtpd_hard_error_limit = 2

Ja
 
> Habe ich jedenfalls mal gemacht, die Log sagt jetzt manchmal:
> 
> too many errors after RCPT from unknown[200.93.42.145]
> disconnect from unknown[200.93.42.145]
> 
> also erster Erfolg?!

Immerhin das geht.

> Wenn ich die gleichzeitigen SMTPD-Connections raufsetze (z.B. 200), fängt
> der Server an zu Swappen und ich kann irgendwann keine Mails mehr
> verschicken.

default_process_limit sollte so hoch sein, dass die Maschine nicht
swapped.

> Ich denke, das Nadelöhr ist meine 256er Anbindung :-)

Ja.

-- 
Ralf Hildebrandt (Im Auftrag des Referat V a)  
Ralf.Hildebrandt at charite.de
Charite Campus Mitte                            Tel.  +49 (0)30-450
570-155
Referat V a - Kommunikationsnetze -             Fax.  +49 (0)30-450
570-916
AIM: ralfpostfix

------------------------------

Message: 8
Date: Wed, 11 Jun 2003 08:37:25 +0200
From: "Daniel Chitralla" <dc at ereignisschmiede.de>
Subject: Re: [Postfixbuch-users] Spamversuche abstellen???
To: "Eine Diskussionsliste rund um das Postfix-Buch."
	<postfixbuch-users at listi.jpberlin.de>
Message-ID: <046401c32fe3$ec44f650$e2ecf53e at offline>
Content-Type: text/plain;	charset="iso-8859-15"

> > /etc/postfix/main.cf:
> > smtpd_soft_error_limit = 1
> > smtpd_hard_error_limit = 2
>
> Ja
>

Der Tipp war super, danke! Die Verbindungsversuche wurden zunächst etwas
weniger. Seit ca. eineinhalb Stunden keine Versuche mehr. Server läuft
stabil.

Auf wieviel würdest du die Werte im Normalbetrieb setzen?


------------------------------

_______________________________________________
Postfixbuch-users mailing list
Postfixbuch-users at listi.jpberlin.de
http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users


Ende Postfixbuch-users Nachrichtensammlung, Band 55, Eintrag 24
***************************************************************

Mehr Informationen über die Mailingliste Postfixbuch-users