[Postfixbuch-users] Wiedermal spammer

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Sa Dez 9 12:23:52 CET 2006


Marcel Hartmann wrote:
> Hi,
> 
> ich habe in meinem maillog ettliche solcher Einträge die immer wieder
> spamwellen an eine existente Domain zustellen wollen:
> 
> Dec  9 11:55:32 localhost postfix/smtpd[11313]: NOQUEUE: reject: RCPT from
> smtp1.blizznet.at[213.143.96.198]: 550
> <pompousnesshillside's at corestyle.net>: Recipient address rejected: User
> unknown in local recipient table; from=<>
> to=<pompousnesshillside's at corestyle.net> proto=ESMTP helo=<mx1.blizznet.at>
> Dec  9 11:57:01 localhost postfix/smtpd[11312]: NOQUEUE: reject: RCPT from
> CPE-61-9-244-222.static.wa.bigpond.net.au[61.9.244.222]: 550
> <herbalist'saccosts at corestyle.net>: Recipient address rejected: User unknown
> in local recipient table; from=<> to=<herbalist'saccosts at corestyle.net>
> proto=SMTP helo=<aisat.com.au>
> Dec  9 11:57:18 localhost postfix/smtpd[11279]: NOQUEUE: reject: RCPT from
> grllc-18.norlight.net[205.196.150.18]: 550
> <herbalist'saccosts at corestyle.net>: Recipient address rejected: User unknown
> in local recipient table; from=<> to=<herbalist'saccosts at corestyle.net>
> proto=ESMTP helo=<Barracuda.graycor.com>
> Dec  9 11:57:29 localhost postfix/smtpd[11256]: NOQUEUE: reject: RCPT from
> mail.ise.bc.ca[207.102.77.253]: 550 <sirloinoverture at corestyle.net>:
> Recipient address rejected: User unknown in local recipient table; from=<>
> to=<sirloinoverture at corestyle.net> proto=ESMTP helo=<Arctic.ise.bc.ca>
> Dec  9 11:57:47 localhost postfix/smtpd[11307]: NOQUEUE: reject: RCPT from
> web3.sitehostingserver.net[65.254.40.226]: 550
> <pompousnesshillside's at corestyle.net>: Recipient address rejected: User
> unknown in local recipient table; from=<>
> to=<pompousnesshillside's at corestyle.net> proto=SMTP
> helo=<web3.sitehostingserver.net>

Was du hier siehst, sind Backscatter Mails. Es ist nicht einfach, gegen 
Backscatter vorzugehen.

> Das Problem das ich sehe ist, dass der SPAMmer dort immer andere
> Absenderadressen/IPs verwendet.
> Die verwendeten Adressen sind teilweise auch existent, daher gehe ich davon
> aus das der SPAMMer
> dort IP Adressen von existierenden Servern nutzt damit die Mails nicht durch
> den fqdn check geblockt 
> werden.

Nein, die Mails wurden ursprünglich von dem Botnetz des Spammers mit 
deiner Domain als Absenderadresse verschickt, und du siehst jetzt die 
Mails als Bounces, welche schlecht konfigurierte Server angenommen haben, 
nicht zustellen konnten, und deshalb an die gefälschte Absenderadresse 
(deine Domain) zurückschicken wollen.

> 
> Ich möchte nun gerne wissen ob ich irgendetwas dagegen tun kann, denn ich
> finde es sind deutlich zu viele Zustellversuche
> die immer an eine bestimmte Domain gerichtet werden. Sie werden zwar alle
> beim RCPT abgewiesen, aber da mittlerweile fast 
> jede 8. Zeile im maillog ein 550 ist denke ich, es könnte mir wichtige
> Ressourcen klauen. Nur leider kann ich nicht mit
> meinem bescheidenen Wissen erkennen wie man sowas blocken könnte.
> header_checks gehen nicht weil er immer andere 
> Absender nutzt.

Die Mails mit 550 bzw 554 abzulehnen ist das einzig richtige. Da dies hier 
echte Server sind, würden sie bei Greylisting/4xx es immer wieder versuchen.

> Ist so etwas normal in der Menge und/oder kann es sogar ignoriert werden? 

Solange dein Server mit der Anzahl gleichzeitiger SMTP-Verbindungen fertig 
wird, ist es kein Problem. Du kannst die IP-Adressen schlecht sperren und 
solltest nur deine Konfiguration darauf abklopfen, ob du die Verbindungen 
so früh wie möglich mit den sparsamsten Checks zuerst abweisen kannst.

Wenn du merkst, dass ständig eine hohe Anzahl von smtpd-Prozessen aktiv 
ist, musst du schauen, ob du die Anzahl der Prozesse erhöhen kannst oder 
die Verbindungen schneller abweist.

Ansonsten kannst du die Spamwelle nur aussitzen. Wenn zuviele Spams 
durchkommen, solltest du dir mal das BACKSCATTER Readme auf der 
Postfix-Site durchsehen.

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users