[Postfixbuch-users] habe ich da was falsch gemacht ?

Uwe Driessen driessen at fblan.de
Sa Jan 20 16:02:18 CET 2007


Sandy schrieb :
> Ist eine Firewall vorgeschaltet, wenn ja, welche? Wie ist der Server ans
> Internet angeschlossen?
Es laufen Tiger, Snort und Fail2ban in Verbindung mit iptables letzteres
allerdings nur für SSH

Die IP Adressen derer die Verbindung nicht aufbauen habe ich nicht im
Snort.log  und auch nicht bei IP-Tables gefunden.


> 
> > Jan 20 02:58:02 fblan postfix/smtpd[22887]: connect from
> > host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
> > Jan 20 02:58:02 fblan postfix/smtpd[22887]: lost connection after
> CONNECT
> > from host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
> > Jan 20 02:58:02 fblan postfix/smtpd[22887]: disconnect from
> > host81-158-96-189.range81-158.btcentralplus.com[81.158.96.189]
> > Jan 20 02:58:37 fblan postfix/smtpd[22853]: disconnect from
> > mxpool02.ebay.com[66.135.197.8]
> 
> Wieviele smtpd sind in master.cf bei dir eingestellt?

Standart müssten also 100 sein 

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp    inet    n       -       -       0       -       smtpd

> Verwendest du amavis als pre-queue-filter?

Das hatte ich letzte Woche mal versuchsweise eingerichtet aber dann wieder
zum Standart geändert.

-------Master.cf

smtp-amavis unix -      -       n        -      3       smtp
        -o smtp_data_done_timeout=1200
        -o disable_dns_lookups=yes

localhost:10025 inet    n       -       n       -       -       smtpd
        -o mynetworks=127.0.0.0/8
        -o smtpd_recipient_restrictions=permit_mynetworks,reject
        -o content_filter=
        -o local_recipient_maps=
        -o relay_recipient_maps=
        -o smtpd_restriction_classes=
        -o smtpd_client_restrictions=
        -o smtpd_helo_restrictions=
        -o smtpd_sender_restrictions=
        -o strict_rfc821_envelopes=yes
        -o content_filter=
        -o smtpd_proxy_filter=

> 
> Teste auch alle Blacklists mal, ob diese wirklich noch leben. Bei mir
> hatte EINE tote RBL gereicht, dass ich ständig Timeouts hatte. Bei dir
> scheint jedoch kein Timeout zu sein.

Alle RBLs leben und sind lt. -vvv auch alle im verträglichen Rahmen
erreichbar. 
Der längste braucht in etwa 350ms der schnellste ist in 55ms abgefragt.

Und es sind nur noch 4 Übrig
   reject_rbl_client combined.njabl.org,
   reject_rbl_client zen.spamhaus.org,
   reject_rbl_client list.dsbl.org,
   reject_rhsbl_sender dsn.rfc-ignorant.org

> Postgrey ist ein Perlscript, du kannst dort direkt die Option ändern.
> Suche einfach mal nach "defer_if_permit" und ersetze es durch "defer".
> Dann testen, ob der defer sauber kommt. Bei mir mit Policyd musste ich
> statt "defer_if_permit" nur "450" setzen, um einen direkten Tempreject zu
> bekommen.

Suche läuft 
The only i found was in 

/usr/sbin/postgrey
Unter Debian ist scheinbar alles ein wenig anders 
und das habe ich dann mal geändert ich hoffe es war an der richtigen stelle

greylist_action  => $opt{'greylist-action'} || 'DEFER', #'DEFER_IF_PERMIT',
läuft nicht Fehler : warning: access table inet:127.0.0.1:60000 has entry
with lookup table:

greylist_action  => $opt{'greylist-action'} || '450'
scheint zu laufen 
gestartet hat postgrey zumindest mal und der erste grylist ist schon im
logfile 

ps aux |grep postgrey
postgrey 12996  0.4  1.7  12948  8824 ?        Ss   15:37   0:00
/usr/sbin/postgrey --pidfile=/var/run/postgrey.pid --daemonize
--inet=127.0.0.1:60000

und immer dann wenn man was guggen will schickt keiner ne E-mail zum
Mäusemelken


> Welche Wegwerf-Domains?
 
higherambitions.net
progressingforward.com
bluebonnetfields.com

das waren die von heute morgen über die Woche verteilt werden von der Sorte
so in etwa 500 abgelehnt.
Das sind alles Domainnamen welche über den gleichen DynDNS-Anbieter sogar
mit MX record kommen und immer mit anderer IP.(da hab ich dann einfach das
ganze Netz gesperrt ist evtl etwas brutal aber bis das ich eine bessere
Lösung finde muß es das tun.
Macht allerdings einen Haufen Arbeit die rauszufischen denn da greift bis
dato keine RBL und auch ansonsten kein Filter bei den Jungs.
Evtl. hat mal jemand einen Filter gebaut welcher auf den Auth DNS Server
zielt das alles was von dort kommt abgelehnt werden kann.
Und die Domainnamen wechseln ständig und nach einer Woche verschwinden die
Domains auch wieder. 
alle landen auf einer so oder so ähnlichen aussehenden HP mit dem Hinweis :

In the booming work from home trend, the use of independent telemarketers is
especially hot. Increasingly, companies and call centers are outsourcing
their sales and service responsibilities to individuals who want to work
from home as independent telemarkters. 

--würde ich mit "die Spamer arbeiten jetzt mit offizieller Unterstützung von
--zu hause aus" übersetzen.
--korrigiert mich wenn ich falsch liege 

This movement is being driven by the desire to work from home, avoid long
commutes, spend more time with family and loved ones, and to work more
flexible schedules that fit their lifestyles. These new work styles are
being made possible by advances in workplace technology. 

In setting up your independent telemarketing business, there are a few
simple steps you can take to improve your work environment. These easy steps
will improve your organization, comfort and productivity. 

Anne Smith contracts as an independent telemarketer for the
telecommunications industry from her own home office in Dayton, OH. She says
first you have to know what the companies expect from you.  


> Je nachdem, wieviel Mails ihr bekommt und wie leistungsfähig deine
> Hardware ist, kannst du auch spamd bzw. Amavisd-new als pre-queue-Filter
> laufen lassen, dann kannst du erkannten Spam direkt mit REJECT ablehnen.
> 
> Aus Robustheitsgründen habe ich das bisher nicht gemacht.

Deswegen hab ich das auch wieder rausgeworfen bzw. auf der eingesetzten
Hardware kam der Amavis auch ab und an nicht so ganz nach.
 
> Verlasse dich bitte nicht darauf, dass Mailserver anderer Leute korrekt
> und robust eingerichtet sind. Ich habe schon mehr als einen Server erlebt,
> der nicht zustellbare Mails direkt löschte und KEINE Nachricht an den
> Absender schickte.

Jap das da so einige der Server der ganz großen jeden sch..... annehmen und
auch noch weiterleiten kenne ich von dem rosa 99% spam 1% echte mails und
dann ca. 80 Mails am Tag und die Adresse war noch nicht mal irgendwo
publiziert*gg 

> 
> Ich habe etwa 1-3 Prozent Spam dabei auf unserem Firmenserver, aber die
> Optimierung ist auch eindeutig die Zustellung erwünschter Mails und nicht
> die Spambekämpfung (kein allgemeines, nur selektives Greylistung und
> konservative RBLs, keine Checks, die mehr als eine Handvoll
> Whitelist-Einträge erfordern).

Da versuche ich hinzukommen 

> 
> Sandy

Ich hoffe ich hab nichts wichtiges vergessen.
Und muß dich nicht noch mehr in Anspruch nehmen.
Die Verbindungsabbrüche kommen allerdings immer noch. 
Dafür bekommst immer nen Kaffee bei mir.

 -- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045
Fax: 06708 / 661397
 -- 





Mehr Informationen über die Mailingliste Postfixbuch-users