[Postfixbuch-users] Wiedermal spammer
Marcel Hartmann
mail at marcel-hartmann.com
Sa Dez 9 16:27:13 CET 2006
Hallo Sandy,
> Marcel Hartmann wrote:
> > ...
>
> Die Mails mit 550 bzw 554 abzulehnen ist das einzig richtige. Da dies
> hier
> echte Server sind, würden sie bei Greylisting/4xx es immer wieder
> versuchen.
Ja da ich greylisting verwende ist dies eben das was mich nervt. Ich denke
ich habe
mit den Postfixeigenen Mitteln wie in Ralfs Buch beschrieben und dem
greylisting
schon einen ganz effektiven Schutz mit amavisd und SA, jedoch nerven mich
die Mails
eben die 550 554, die erst beim RCPT abgeölehnt werden weil der recipient
nicht
vorhanden ist. Hier miene restrictions:
<snip>
smtpd_data_restrictions =
# verbietet bounces an mehrere empfänger
reject_multi_recipient_bounce,
permit
smtpd_sender_restrictions =
# unerwünschte absender blocken
check_sender_access hash:/etc/postfix/maps/check_sender,
permit
smtpd_recipient_restrictions =
# blockt sender und empfänger ohne fqdn
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
# blockt unbekannte absender und empfänger domains
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
# erlaubt unseren IPs uns als relay zu nutzen
permit_mynetworks,
# sasl auth users dürfen relayen
permit_sasl_authenticated,
# rejected wenn der empfänger nicht über uns läuft
reject_unauth_destination,
# nicht vorhandene konten ablehnen
reject_unlisted_recipient,
check_recipient_access hash:/etc/postfix/maps/nogrey_norbl,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client relays.ordb.org,
#reject_rbl_client dynablock.njabl.org,
check_client_access hash:/etc/postfix/maps/policyd_weight_whitelist,
# blockt ungültige zeichen im hostnamen
reject_invalid_hostname,
# eigene IP/Hostnamen nicht im HELO/EHLO erlauben
check_helo_access pcre:/etc/postfix/maps/helo_checks,
# ungültige nameservereinträge blocken
check_sender_mx_access cidr:/etc/postfix/maps/bogus_mx,
# greylisting für bestmmte recipients ausschalten
check_recipient_access hash:/etc/postfix/maps/nogreylisting,
# whitelist für deaktivieren des postgrey für bestimmte empfänger
check_policy_service inet:127.0.0.1:10023,
permit
Dazu noch diese hier:
smtpd_helo_required = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 20
smtpd_error_sleep_time = 1s
mime_header_checks=pcre:/etc/postfix/maps/mime_header_checks
header_checks = pcre:/etc/postfix/maps/header_checks
# amavisd-new content filter
content_filter = smtp-amavis:[127.0.0.1]:10024
</snip>
Blockt Ihr denn die 550 und 554 raus? Ich würde dies auch gern machen wenn
ich
dadurch auf dem Produktivsystem keine Einbußen verzeichnen muss. O.ä.
>
> > Ist so etwas normal in der Menge und/oder kann es sogar ignoriert
> werden?
>
> Solange dein Server mit der Anzahl gleichzeitiger SMTP-Verbindungen
> fertig
> wird, ist es kein Problem. Du kannst die IP-Adressen schlecht sperren
> und
> solltest nur deine Konfiguration darauf abklopfen, ob du die
> Verbindungen
> so früh wie möglich mit den sparsamsten Checks zuerst abweisen kannst.
>
> Wenn du merkst, dass ständig eine hohe Anzahl von smtpd-Prozessen aktiv
> ist, musst du schauen, ob du die Anzahl der Prozesse erhöhen kannst
> oder
> die Verbindungen schneller abweist.
>
> Ansonsten kannst du die Spamwelle nur aussitzen. Wenn zuviele Spams
> durchkommen, solltest du dir mal das BACKSCATTER Readme auf der
> Postfix-Site durchsehen.
Die Sache mit den SMTP Prozessen werde ich einmal genauer unter die Lupe
nehmen.
Danke für den Hinweis! Ich denke bisher reicht die Last die der Server trägt
noch, aber da ich gerade eine SPAM Welle als Angriff auf meine
vhost-HTML-Formulare
zu verzeichnen hatte bin ich lieber etwas vorsichtiger in Zukunft.
>
> Sandy
Gruß
Marcel
Mehr Informationen über die Mailingliste Postfixbuch-users