[Postfixbuch-users] Spamwelle die dreihunderzweiundvierzigste?!

Uwe Driessen driessen at fblan.de
Mi Aug 29 17:45:49 CEST 2007 

usenet at deiszner.de schrieb: 
> From: "crandler"  schrieb:
> 
> > Hallo zusammen,
> >
> > ich möchte mal in die Runde fragen, ob derzeit noch jemand massiv mit
> > offenen Verbindungen/Botnet-Attacken zu kämpfen hat?
> >
> > Etliche Clients, viele ohne PTR, viele aus Dial-In-Netzen versuchen
> > derzeit
> > irgendeinen Müll einzuliefern. Dank einigen bewährten Restriktionen werden
> > sie zwar nach einigen Sekunden abgewiesen, "verstopfen" mir trotzdem die
> > begrenzten smtpds.
> >
> > Block per Firewall fast unmöglich, da immer unterschiedliche IP-Adressen.

Doch wenn du es intelligent mit einer automatischen Sperrung und wieder automatischen
Entsperrung machst geht das ganz gut*gg

 
> Ich bin nicht der Meinung, das IP-Tables wirkungslos sind, Du könntest z.B.
> schauen, wie die IP's der Dialup Netze lauten.
> Es sind zumeist Asiatische oder Südamerikanische Dialup Netze - die werden
> dann gesperrt und dann ist Ruhe.
> 
> Oder hat jemand noch einen Vorschlag ?

Jede menge und mindestens eine die zumindest bei mir funzt.
Aber alles aus der quick and Dirty Kiste.

Sofern Ihr nicht die rejecst mit einer Zeitstrafe innerhalb von Postfix durch verzögerter
Antwort belegst sollte das aber noch die "billigste und schnellste" Art sein diese Rechner
loszuwerden.

Meine Erfahrung ist das  ein einzelner Rechner aus solch einem Netz in der Regel nur
einmal kommt, nie kurz hintereinander, und fast nie an einem Tag 2 mal die letzte
Auswertung über die Logs von ca. 3 Wochen haben das auch bestätigt. Da diese Rechner in
der Regel sofort per Iptables für eine gewisse Zeit gesperrt werden kann es auch sein das
ich nur immer die ersten 1-2 Versuche in den Logs sehe. Aber wie gesagt die wenigsten
kamen innerhalb von 3 Wochen 2 mal vor. 

Kann natürlich auf einem Server mit viel Trafik und ein paar K an Mails pro Tag anders
aussehen.

Unter funk.fblan.de/postfix stehen die Scripte mit denen ich mir das auswerten lasse.
Müsst die halt anpassen damit die euch das richtige auswerten. Die haben zur Zeit den
Bastelstatus also bitte nur als Ideengeber und oder Vorlage für eigene nehmen. 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users