[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Uwe Driessen driessen at fblan.de
Do Mai 24 14:03:38 CEST 2007


Peer Heinlein schrieb: 
> Am Donnerstag, 24. Mai 2007 02:22 schrieb Uwe Driessen:
> 
> > bei meinem Server sind das also innerhalb von 21 sec vom gleichen
> > einliefernden Server max 2 Verbindungen. Bei 2 Fehlermeldungen in der
> > Art von
> 
> 2 Verbindungen hintereinander sind nun alles andere als unüblich.
> Weniger geht ja kaum.
> 
> Ich halte das für halsbrecherisch.

Also Peer selbst die Postfixliste hatte bis dato noch keine Überschreitung oder mehr wie 2
Verbindungsversuche pro 21 sec (und das ist der Server der hier am Tag die meisten Mails
und am schnellsten Mails einliefert)
Bevor ich mir so was ausdenke analysiere meine Logfiles Wer Woher und Wann Wie OFT da was
versucht. Dann schaue ich was da an Mailverkehr der "echten" Mailserver gelaufen ist gebe
eine gewissen Toleranz dazu und beobachte das weitere Verhalten. 

> 
> Insb. weil nach der Sperre von 20 Minuten ERST RECHT wieder zwei
> Verbindungen kommen, weil sich Mails stauen. Hilfe.

Nö war noch nicht aber ich suche immer noch ein Opfer das sich in der Richtung mal an
meinem Server versucht. 

> 
> > Bekommt der einliefernde eine Iptables sperre von 20 min (bin sogar
> > versucht eine Woche einzutragen aber wenn dann erst nach nem Testlauf
> > von 4 Wochen).
> 
> 
> Eine Sperre von einer Woche führt zwangsläufig zum Bounce. Das ist
> absoluter Harakiri.

Wie ich ebenfalls angeführt habe kann man das auch auf Server beschränken welche eine
gewisse Anzahl von ungültigen Mailadressen versucht haben. Da die Verbindungsversuche von
Fail2ban immer im Zusammenhang gesehen werden kommt keiner auf die Liste der da mal oder
auch mal 5 falsche Mailadressen in 24 Stunden versucht hat sondern immer nur der der
innerhalb einer gewissen Zeit nacheinander das versucht. 

> 
> Bitte nicht nachmachen.
> 

Dazu habe ich nicht aufgefordert ich möchte das nur als eine von vielen Möglichkeiten
gesehen wissen um hartnäckige Spamer davon abzuhalten den Server mit einer Attacke
lahmzulegen. Richtig auf die jeweiligen Bedürfnisse des Servers abgestimmt ist das
sicherlich eine Möglichkeit. 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users