[Postfixbuch-users] Spamwelle die dreihunderzweiundvierzigste?!

crandler crandler at crandland.de
Do Aug 30 14:33:49 CEST 2007 

> Seit Montag habe ich dasselbe Problem. Gestern Vormittag und vor allem
> auch habe ich sehr viele Mailzustellungsversuche
> von Clients, viele ohne PTR, viele aus Dial-In-Netzen.

In de.admin.net-abuse.mail wird von mindestens einem neuen Bot(net)
berichtet. Ich zitiere Bernd Hohmann:
   "Der eine macht eine EHLO-Session auf und schliesst den Socket sobald das

   "mail from" akzeptiert wurde. 
   Der andere macht auch auf EHLO und nach dem ACK zum "mail from" gar 
   nichts mehr und hält die Verbindung bis zum Timeout auf - was unschön 
   ist, wenn 1 Bot parallel viele und viele Bots noch mehr Verbindungen 
   aufhalten."

Genau das ist das Problem, was wir auch hier feststellen können - die
Clients belagern das System ohne sich zu schämen.


> Ich habe nun heute den Standartwert von smtdp von 100 anfangs auf 200,
> dann 300 und nun schlussendlich auf 850 gesetzt, wobei nun
> glücklicherweise der Wert von 600 nur selten überschritten wird. Mit RAM-
> Speicherplatz und CPU habe ich keinerlei Probleme.
> Jetzt läuft der SMTP Connect relativ ohne Probleme. Vorher war dieser
> extrem lansam und zwischen Telnet und Helo dauerte es oft bis zu einer
> Minute oder mehr. So wurden auch einige Mails verzögert zugestellt und
> unser Monitoringsystem hat immer wieder Alarm geschlagen, dass der
> Mailservice (Port 25) nicht aktiv sei.

Alles schön und gut, wenn die Clients nur "idlen", nur was, wenn jetzt ein
neuer Bot kommt, der hier massiv Schrottdaten einliefern will. Damit schießt
er dir die Kiste ab. Irgendwie ist das alles nicht so das gelbe vom Ei.
 


> Denke das Hauptproblem ist, dass sehr viele Clients (unknown, aus
> DIAL-IN-Netzen) eine Verbindung aufbauen und somit Ressourcen besetzen.

ACK


> Einige diese Verbindungen werden bis zum Timeout von 300s aufrecht
> gehalten, obwohl diese mittels RBL (554) sofort abgewiesen wurden. Somit
> besetzen diese Clients für 300s (Standarteinstellung) den smtpd.

Ja, das ist bitter. Mich wundert, dass hier auf der Liste bis jetzt gerade
mal 3-4 Leute betroffen sind. 
Ich tippe auf einen baldigen Bericht bei heise mit der ungefähren
Überschrift "Böser Bot soll aufzeigen, dass das SMTP-Protokoll sehr in die
Jahre gekommen ist..." oder so in der Art. :)
 

> Wie ist es möglich, dass die Clients die Verbindung nicht abbauen bwz.
> muss Postfix warten bis der Client die Meldung 554 erhalten hat,
> damit die Verbindung abgebaut wird?

Die Bots sprechen bewusst kein korrektes SMTP. Sie wurden dafür konzipiert,
genau das zu bewirken.

> Wie kann man dem Problem am besten entegenwirken?

Vorausgesetzt du meinst damit am effektivsten:
RFC vor dem geistigen Auge ausblenden, smtpd_timeout runterschrauben auf
wenige Sekunden, smtpd_client_connection_count_limit runterschrauben auf
wenige Verbindungen und hoffen, dass du auch nur die "Bösen" damit
rauswirfst. <<< Das soll keine Empfehlung sein.

Gruß Sven

Mehr Informationen über die Mailingliste Postfixbuch-users