[Postfixbuch-users] Spamwelle die dreihunderzweiundvierzigste?!

crandler crandler at crandland.de
Mi Aug 29 19:40:55 CEST 2007 

>> ich möchte mal in die Runde fragen, ob derzeit noch jemand massiv mit
>> offenen Verbindungen/Botnet-Attacken zu kämpfen hat?
>> Etliche Clients, viele ohne PTR, viele aus Dial-In-Netzen versuchen
>> derzeit irgendeinen Müll einzuliefern. Dank einigen bewährten
>> Restriktionen werden sie zwar nach einigen Sekunden abgewiesen,
>> "verstopfen" mir trotzdem die begrenzten smtpds. Block per Firewall fast
>> unmöglich, da immer unterschiedliche IP- Adressen.

> Doch wenn du es intelligent mit einer automatischen Sperrung und wieder
> automatischen Entsperrung machst geht das ganz gut*gg

Hallo Uwe! Vielen Dank für deine Antwort.

Leider wird das schwierig mit deiner IP-Sperre bei Adressen, die nur einmal
vorkommen. Erraten oder würfeln halte ich für zu riskant! ;)
Für wiederkehrende Störenfriede sicher sehr sinnvoll, wenn auch nicht ganz
"vertretbar" - zum Schutz der Infrastruktur allenfalls.


> Sofern Ihr nicht die rejecst mit einer Zeitstrafe innerhalb von Postfix
> durch verzögerter Antwort belegst sollte das aber noch die "billigste und
> schnellste" Art sein diese Rechner loszuwerden.

Nein, das wäre der sichere SMTPD-Tod. Die Zombie-Verbindungen brauchen so
schon genug Ressourcen. 

 
> Meine Erfahrung ist das  ein einzelner Rechner aus solch einem Netz in der
> Regel nur einmal kommt, nie kurz hintereinander, und fast nie an einem Tag
> 2 mal die letzte Auswertung über die Logs von ca. 3 Wochen haben das auch
> bestätigt. Da diese Rechner in der Regel sofort per Iptables für eine
> gewisse Zeit gesperrt werden kann es auch sein das ich nur immer die
> ersten 1-2 Versuche in den Logs sehe. Aber wie gesagt die wenigsten
> kamen innerhalb von 3 Wochen 2 mal vor.

Wenn die Rechner nicht wiederkommen, brauchst du doch auch deinen IP-Tables
Eintrag nicht. :=)


> Kann natürlich auf einem Server mit viel Trafik und ein paar K an Mails
> pro Tag anders aussehen.

Ja, leider. Ich rede hier von mehreren 10T Rejects pro Stunde aus
unterschiedlichsten Netzen. Selbst wenn ich die IP-Adressen in /24-Netze
zusammefasse sieht man kaum Auffälligkeiten.

Die "Auffälligen" IPs haben natürlich schon längst einen eigenen Eintrag in
der entsprechenden ACL der Firewall.

Gruß Sven

Mehr Informationen über die Mailingliste Postfixbuch-users