[Postfixbuch-users] und wieder Backscatter unterwegs
Gregor Hermens
gregor at a-mazing.de
Sa Aug 11 12:29:38 CEST 2007
Am Samstag, 11. August 2007 12:13 schrieb Uwe Driessen:
> Gregor Hermens schrieb:
> > vorgestern hatte ich so eine Welle mit ca 20000 Backscatter-Mails, in den
> > Spitzen bis zu 3/s. Hat mir sehr geholfen meinen Kunden zu überzeugen,
> > daß CatchAlls eine schlechte Idee sind... ;-)
> > Nach 8h war der Spuk wieder vorbei.
>
> *ggggg der Kunde hat sich sicherlich gefreut.
> Catchall sollte eigentlich abgeschafft werden in der heutigen Zeit.
Der Kunde hat davon gar nicht sooo viel abbekommen:
Zuerst sind die meisten Mails erst mal im Greylisting hängengeblieben. In der
nächsten Stufe hat ClamAV/SaneSecurity etwa 3000 Mails rausgefischt, bei
denen die Originalmail komplett angehängt war. PDF-Spam übrigens...
Da Amavis bei mir als Pre-Queue-Filter läuft hat das den Load entsprechend
hochgetrieben, was mich dann aufmerksam gemacht hat. Nach Abschalten des
Catch-Alls wurde dann nur noch mit "unknown recipient" abgelehnt und der Load
hat sich normalisiert.
Insgesamt sind nur etwa 600 Mails bis zum Kunden durchgedrungen.
> Nun da alle nur einmal auftreten können und dann erstmal 4 Tage sperre
> bekommen hoffe ich keine 20K Verbindungsversuche von 20K unterschiedlichen
> Backscattern zu bekommen. Dann läuft glaube ich IP-Tables über *g
Eben darum halte ich den Einsatz von IP-Tables hier für Overkill. Das Ablehnen
unbekannter Empfänger verbraucht auch kaum Resourcen. Andererseits kann auch
über Backscatter-Server legitime Mail reinkommen.
Gruß,
Gregor
--
@mazing fon +49 8142 6528665
Gregor Hermens fax +49 8142 6528669
Brucker Strasse 12 gregor.hermens at a-mazing.de
D-82216 Gernlinden http://www.a-mazing.de/
Mehr Informationen über die Mailingliste Postfixbuch-users