[Postfixbuch-users] und wieder Backscatter unterwegs

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Sa Aug 11 21:01:18 CEST 2007 

Christian Roessner wrote:

> Problem: Kunde hat ca. 500 Mailadressen. Diese Produzieren täglich auf 2
> MXen etwa 600.000 Rejects pro Tag je Server. Und da habe ich jetzt schon
> nur die Hälfte wegen der Amavis-Einträge gerechnet.
> 
> Grand Totals
> ------------
> messages
> 
>     772   received
>     781   delivered
>       1   forwarded
>       1   deferred  (1  deferrals)
>       0   bounced
>  521793   rejected (99%)
>  220038   reject warnings
>       0   held
>       0   discarded (0%)
> 
>  110864k  bytes received
>  110912k  bytes delivered
>     259   senders
>     209   sending hosts/domains
>     164   recipients
>      50   recipient hosts/domains
> 
> 
> smtp delivery failures: none
> 
> Mir ersaufen die Frontends im SPAM. Habe zum Teil ca. 350
> SQL-Connections konstant offen. Trotz proxymap.
> 
> Per Firewall da einzugreifen wäre echt klasse. ;-)

Bleah! Den Kunden darfst du behalten! Ich denke, das einzig richtige in so
einer Situation ist, ganze Netzwerk-Bereiche direkt zu sperren, die von
dynamischen IPs kommen. Ich denke nicht, dass das vernünftig verwaltbar
ist, Millionen  von Regeln in Iptables zu haben.

Suche also die 100 schlimmsten Bereiche aus und sperre diese Netze manuell
komplett auf der Firewall. Auf diese Art bekommst du die Rejects zumindest
in einen erträglichen Bereich zurück und die Verwaltung ist ebenfalls noch
transparent.

Ich hatte meine client_blacklist_pcre aus ähnlichen Gründen aufgesetzt.
Die meisten dieser dynamischen Clients wurden schon von spamhaus.org
erkannt, aber es vereinfachte mir die Logkontrolle, wenn sie direkt
ausgeblendet wurden. Die ungefähr 100 Eintrage haben den Beitrag von
zen.spamhaus.org etwa auf ein Drittel gesenkt.

In deiner Situation müsstest du diese Einträge vermutlich zurückführen auf
die IP-Adressen und diese Bereiche sperren auf der Firewall.

Für den Eintrag /user-.+\.cable\.mindspring\.com/ etwa scheint es etliche
IP-Bereiche zu geben:

209.162.0.0/18
208.120.0.0/16
208.118.0.0/19
208.118.32.0/20
72.40.0.0/16
69.91.0.0/17
69.86.0.0/16
69.81.0.0/16
69.22.64.0/18
69.22.0.0/18
69.22.192.0/18
66.133.192.0/18
64.131.128.0/17
24.239.128.0/18
24.238.128.0/17
24.233.128.0/19
24.225.32.0/18
24.225.64.0/19
24.215.128.0/17
24.199.64.0/17
24.152.128.0/18
24.145.128.0/17
24.110.0.0/16

Und das sind nur die IPs, die bei mir aufschlugen. Ich nehme an, dass die
noch mehr mit Zombies verseuchte Bereiche haben. :-(

Immerhin kann man auf diese Weise die Blacklists und teuren Checks spürbar
entlasten. Hast du einen lokalen Spiegel von zen.spamhaus.org?

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users