[Postfixbuch-users] Wiedermal spammer

Marcel Hartmann mail at marcel-hartmann.com
Sa Dez 9 16:27:13 CET 2006


Hallo Sandy,

> Marcel Hartmann wrote:
> > ...
> 
> Die Mails mit 550 bzw 554 abzulehnen ist das einzig richtige. Da dies
> hier
> echte Server sind, würden sie bei Greylisting/4xx es immer wieder
> versuchen.

Ja da ich greylisting verwende ist dies eben das was mich nervt. Ich denke
ich habe 
mit den Postfixeigenen Mitteln wie in Ralfs Buch beschrieben und dem
greylisting
schon einen ganz effektiven Schutz mit amavisd und SA, jedoch nerven mich
die Mails
eben die 550 554, die erst beim RCPT abgeölehnt werden weil der recipient
nicht 
vorhanden ist. Hier miene restrictions:

<snip>
smtpd_data_restrictions =
        # verbietet bounces an mehrere empfänger
        reject_multi_recipient_bounce,
        permit

smtpd_sender_restrictions =
        # unerwünschte absender blocken
        check_sender_access hash:/etc/postfix/maps/check_sender,
        permit

smtpd_recipient_restrictions =
        # blockt sender und empfänger ohne fqdn
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        # blockt unbekannte absender und empfänger domains
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        # erlaubt unseren IPs uns als relay zu nutzen
        permit_mynetworks,
        # sasl auth users dürfen relayen
        permit_sasl_authenticated,
        # rejected wenn der empfänger nicht über uns läuft
        reject_unauth_destination,
        # nicht vorhandene konten ablehnen
        reject_unlisted_recipient,
        check_recipient_access hash:/etc/postfix/maps/nogrey_norbl,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client list.dsbl.org,
        reject_rbl_client relays.ordb.org,
        #reject_rbl_client dynablock.njabl.org,
        check_client_access hash:/etc/postfix/maps/policyd_weight_whitelist,
        # blockt ungültige zeichen im hostnamen
        reject_invalid_hostname,
        # eigene IP/Hostnamen nicht im HELO/EHLO erlauben
        check_helo_access pcre:/etc/postfix/maps/helo_checks,
        # ungültige nameservereinträge blocken
        check_sender_mx_access cidr:/etc/postfix/maps/bogus_mx,
        # greylisting für bestmmte recipients ausschalten
        check_recipient_access hash:/etc/postfix/maps/nogreylisting,
        # whitelist für deaktivieren des postgrey für bestimmte empfänger
        check_policy_service inet:127.0.0.1:10023,
        permit

Dazu noch diese hier:

smtpd_helo_required = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes

smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
smtpd_error_sleep_time = 1s

mime_header_checks=pcre:/etc/postfix/maps/mime_header_checks
header_checks = pcre:/etc/postfix/maps/header_checks

# amavisd-new content filter
content_filter = smtp-amavis:[127.0.0.1]:10024

</snip>

Blockt Ihr denn die 550 und 554 raus? Ich würde dies auch gern machen wenn
ich 
dadurch auf dem Produktivsystem keine Einbußen verzeichnen muss. O.ä.

> 
> > Ist so etwas normal in der Menge und/oder kann es sogar ignoriert
> werden?
> 
> Solange dein Server mit der Anzahl gleichzeitiger SMTP-Verbindungen
> fertig
> wird, ist es kein Problem. Du kannst die IP-Adressen schlecht sperren
> und
> solltest nur deine Konfiguration darauf abklopfen, ob du die
> Verbindungen
> so früh wie möglich mit den sparsamsten Checks zuerst abweisen kannst.
> 
> Wenn du merkst, dass ständig eine hohe Anzahl von smtpd-Prozessen aktiv
> ist, musst du schauen, ob du die Anzahl der Prozesse erhöhen kannst
> oder
> die Verbindungen schneller abweist.
> 
> Ansonsten kannst du die Spamwelle nur aussitzen. Wenn zuviele Spams
> durchkommen, solltest du dir mal das BACKSCATTER Readme auf der
> Postfix-Site durchsehen.

Die Sache mit den SMTP Prozessen werde ich einmal genauer unter die Lupe
nehmen.
Danke für den Hinweis! Ich denke bisher reicht die Last die der Server trägt

noch, aber da ich gerade eine SPAM Welle als Angriff auf meine
vhost-HTML-Formulare 
zu verzeichnen hatte bin ich lieber etwas vorsichtiger in Zukunft.

> 
> Sandy

Gruß

Marcel




Mehr Informationen über die Mailingliste Postfixbuch-users