[Postfixbuch-users] Fail2ban als Spoiler für Postfix

Matthias Haegele mhaegele at linuxrocks.dyndns.org
Do Mai 24 14:12:18 CEST 2007


Uwe Driessen schrieb:
> Peer Heinlein schrieb: 
>> Am Donnerstag, 24. Mai 2007 02:22 schrieb Uwe Driessen:
>>
>>> bei meinem Server sind das also innerhalb von 21 sec vom gleichen
>>> einliefernden Server max 2 Verbindungen. Bei 2 Fehlermeldungen in der
>>> Art von
>> 2 Verbindungen hintereinander sind nun alles andere als unüblich.
>> Weniger geht ja kaum.
>>
>> Ich halte das für halsbrecherisch.
> 
> Also Peer selbst die Postfixliste hatte bis dato noch keine Überschreitung oder mehr wie 2
> Verbindungsversuche pro 21 sec (und das ist der Server der hier am Tag die meisten Mails
> und am schnellsten Mails einliefert)
> Bevor ich mir so was ausdenke analysiere meine Logfiles Wer Woher und Wann Wie OFT da was
> versucht. Dann schaue ich was da an Mailverkehr der "echten" Mailserver gelaufen ist gebe
> eine gewissen Toleranz dazu und beobachte das weitere Verhalten. 
> 
>> Insb. weil nach der Sperre von 20 Minuten ERST RECHT wieder zwei
>> Verbindungen kommen, weil sich Mails stauen. Hilfe.
> 
> Nö war noch nicht aber ich suche immer noch ein Opfer das sich in der Richtung mal an
> meinem Server versucht. 
> 
>>> Bekommt der einliefernde eine Iptables sperre von 20 min (bin sogar
>>> versucht eine Woche einzutragen aber wenn dann erst nach nem Testlauf
>>> von 4 Wochen).
>>
>> Eine Sperre von einer Woche führt zwangsläufig zum Bounce. Das ist
>> absoluter Harakiri.
> 
> Wie ich ebenfalls angeführt habe kann man das auch auf Server beschränken welche eine
> gewisse Anzahl von ungültigen Mailadressen versucht haben. Da die Verbindungsversuche von
> Fail2ban immer im Zusammenhang gesehen werden kommt keiner auf die Liste der da mal oder
> auch mal 5 falsche Mailadressen in 24 Stunden versucht hat sondern immer nur der der
> innerhalb einer gewissen Zeit nacheinander das versucht. 
> 
>> Bitte nicht nachmachen.
>>
> 
> Dazu habe ich nicht aufgefordert ich möchte das nur als eine von vielen Möglichkeiten
> gesehen wissen um hartnäckige Spamer davon abzuhalten den Server mit einer Attacke
> lahmzulegen. Richtig auf die jeweiligen Bedürfnisse des Servers abgestimmt ist das
> sicherlich eine Möglichkeit. 

Indirekt imho hast du das schon (aufgefordert).
Das ist eine ML da könnte sich leicht jemand inspiriert sehen ... ;-).
Deswegen ist die Warnung angebracht.
Postfix bietet auch selbst schon genügend Möglichkeiten um amoklaufende 
Clients in die Schranken zu verweisen,
dazu bedarf es keiner "gefährlichen Methoden, die nur in ganz bestimmten 
Konstellationen auch zuverlässig funktionieren" ...

> Mit freundlichen Grüßen
> 
> Drießen


-- 
Grüsse/Greetings
MH


Dont send mail to: ubecatcher at linuxrocks.dyndns.org
--




Mehr Informationen über die Mailingliste Postfixbuch-users