[Postfixbuch-users] und wieder Backscatter unterwegs
Christian Roessner
christian at roessner-net.com
So Aug 12 11:15:04 CEST 2007
Hallo Sandy,
> Bleah! Den Kunden darfst du behalten! Ich denke, das einzig richtige in so
> einer Situation ist, ganze Netzwerk-Bereiche direkt zu sperren, die von
> dynamischen IPs kommen. Ich denke nicht, dass das vernünftig verwaltbar
> ist, Millionen von Regeln in Iptables zu haben.
Die FH Gießen Friedberg macht etwas geniales, was auch gut in
policyd-weight passen würde:
Sie ermitteln die ASN, aus der SPAM kommt und bepunkten das. Bei einer
Überschreitung von x, wird dann das ganze ASN geblacklistet, was dort
soviel heißt wie: Mail wird als SPAM getaggt.
So etwas fände ich auch für Postfix klasse.
> Suche also die 100 schlimmsten Bereiche aus und sperre diese Netze manuell
> komplett auf der Firewall. Auf diese Art bekommst du die Rejects zumindest
> in einen erträglichen Bereich zurück und die Verwaltung ist ebenfalls noch
> transparent.
Ja, das ist echt Strafarbeit bei der großen mail.log :-)
> In deiner Situation müsstest du diese Einträge vermutlich zurückführen auf
> die IP-Adressen und diese Bereiche sperren auf der Firewall.
Habe gestern mal mit fail2ban ein nächtliches Experiment auf nur einem
der beiden Server durchgeführt: Habe meine schon zuvor gepostete
Filterregel angewendet mit der Bedingung, dass ein Verstoß innerhalb von
10 Minuten mindestens 3 mal vorkommen muss. Als Folge wird ein Rechner
dann eine halbe Stunde geblockt.
Hier mal das Resultat:
Chain dynamic (4 references)
pkts bytes target prot opt in out source
destination
0 0 reject all -- * * 24.239.32.35
0.0.0.0/0
4 176 reject all -- * * 212.227.15.36
0.0.0.0/0
0 0 reject all -- * * 83.14.93.100
0.0.0.0/0
4 176 reject all -- * * 212.227.15.37
0.0.0.0/0
5 220 reject all -- * * 212.227.15.38
0.0.0.0/0
4 176 reject all -- * * 212.227.126.171
0.0.0.0/0
4 176 reject all -- * * 212.227.15.39
0.0.0.0/0
0 0 reject all -- * * 211.49.167.52
0.0.0.0/0
0 0 reject all -- * * 80.168.201.112
0.0.0.0/0
2 88 reject all -- * * 212.227.126.183
0.0.0.0/0
3 144 reject all -- * * 62.225.183.199
0.0.0.0/0
0 0 reject all -- * * 195.74.58.80
0.0.0.0/0
0 0 reject all -- * * 203.82.61.153
0.0.0.0/0
4 176 reject all -- * * 212.227.126.174
0.0.0.0/0
0 0 reject all -- * * 194.50.173.3
0.0.0.0/0
0 0 reject all -- * * 194.102.147.165
0.0.0.0/0
0 0 reject all -- * * 217.160.136.193
0.0.0.0/0
1 44 reject all -- * * 212.227.126.177
0.0.0.0/0
1 44 reject all -- * * 212.227.15.34
0.0.0.0/0
0 0 reject all -- * * 212.227.126.179
0.0.0.0/0
0 0 reject all -- * * 64.61.49.98
0.0.0.0/0
Und das pflog-Sum:
Grand Totals
------------
messages
1 received
2 delivered
0 forwarded
0 deferred
0 bounced
1958 rejected (99%)
934 reject warnings
0 held
0 discarded (0%)
7581 bytes received
14543 bytes delivered
1 senders
1 sending hosts/domains
1 recipients
1 recipient hosts/domains
smtp delivery failures: none
Das ist hart. Ich meine das wäre ja ein Traum, wenn das die Realität
sein könnte :-)
> Immerhin kann man auf diese Weise die Blacklists und teuren Checks spürbar
> entlasten. Hast du einen lokalen Spiegel von zen.spamhaus.org?
Habe ich leider nicht. Ich könnte das aber durchaus bei mir spiegeln.
Gute Idee.
Gruß
Christian
--
Tel.: 0641-2097252, Mobil: 0171-3611230
PGP: http://www.roessner-net.com/0x6B929997.asc
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 252 bytes
Beschreibung: OpenPGP digital signature
URL : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20070812/492e8faa/attachment.asc>
Mehr Informationen über die Mailingliste Postfixbuch-users