[Postfixbuch-users] und wieder Backscatter unterwegs

[Uwe Driessen]

Christian Roessner schrieb:
> 
> ei da habe ich mich doch gleich mal mit dran gehängt. Das Teil scheint
> echt klasse zu sein. Es kann ja sogar drekt mit shorewall zusammen arbeiten.
> 
> Habt ihr da noch weitere Regeln für Postfix? Auch etwas gegen nicht-from=<>?

STOP Christian 
Bei aller Liebe für das eine oder andere aus der quick and dirty Kiste bedenke bitte das
die Sperrzeit beim geposteten "Beispiel" ca. 4 Tage beträgt.
Auch von diesen Servern wichtige Mails kommen könnten

> 
> Kann ich da einfach so etwas machen?

Man kann fast alles so einfach machen ABER NUR wenn du DIR DER FOLGEN auch bewusst bist.

> 
> NOQUEUE: reject: RCPT from(.*)\[<HOST>\]: 550 (.*) Recipient address
> rejected: User unknown in virtual mailbox table;
> 
> Oder kann das zu Problemen führen?

Jap zu jeder Menge Probs bei falscher Einnahme und Überschreitung der Höchstdosierung  
Du sollst deinen Mailserver nicht lahm legen sondern nur verhindern das er lahm gelegt
wird.
Du musst erstmal analysieren, lokalisieren und dann schauen welches das richtige Mittel
der Wahl ist und dabei eher auf die konservativen vertrauen.

> 
> Problem: Kunde hat ca. 500 Mailadressen. Diese Produzieren täglich auf 2
> MXen etwa 600.000 Rejects pro Tag je Server. Und da habe ich jetzt schon
> nur die Hälfte wegen der Amavis-Einträge gerechnet.

Reject wegen User unbekannt verbraucht noch die geringsten Resurcen. Ich gebe aber zu auch
so was nervt wenn man im Log was wirklich wichtiges sucht. 

> 
> Grand Totals
> ------------
> messages
> 
>     772   received
>     781   delivered
>       1   forwarded
>       1   deferred  (1  deferrals)
>       0   bounced
>  521793   rejected (99%)
>  220038   reject warnings
>       0   held
>       0   discarded (0%)
> 
>  110864k  bytes received
>  110912k  bytes delivered
>     259   senders
>     209   sending hosts/domains
>     164   recipients
>      50   recipient hosts/domains
> 
> 
> smtp delivery failures: none
> 
> Mir ersaufen die Frontends im SPAM. Habe zum Teil ca. 350
> SQL-Connections konstant offen. Trotz proxymap.

Das ist eigentlich noch im Rahmen wie hoch ist die Proz Belastung am Server? 

s.o. beobachten Gemeinsamkeiten finden wenn du Muster erkennst in der Liste Posten dann
finden wir sicherlich den einen oder anderen Weg ohne quick and dirty.

Ich habe hier zwar einige solcher Regeln mit fail2ban am laufen aber da kommen dann z.T
auch nur mal 5 Minuten sperren raus um einen der meint bombadieren zu müssen mal ein
bisschen auszubremsen. Das reicht um einen wild gewordenen Mailserver oder script aus dem
tritt zu bringen und zur Aufgabe zu bewegen ohne das nachfolgender Mailverkehr behindert
wird.

Du solltest immer in der Reihenfolge vorgehen
1. Postfix regel
2. policyd-weight
3. postgrey (evtl. auch nur selectiv)  
4. gibt es immer noch probs dann in der Liste nachfragen

Belastung immer noch zu hoch dann muß man sehr genau abwägen zwischen Genialität und
Wahnsinn(ich zähle mich eher zu der letzten Gattung *gg)
  
> 
> Per Firewall da einzugreifen wäre echt klasse. ;-)

Aller aller allerletzte Möglichkeit denn die macht unter umständen Einsam.

> 
> Gruß
> Christian
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397