[Postfixbuch-users] Spamer loswerden

Uwe Driessen driessen at fblan.de
Mo Jul 6 14:56:39 CEST 2009


On Behalf Of Matthias Scholz
> Hallo,
> 
> ich hatte wieder mal den Fall, dass jemand seinen Exchange recht
> ungeschützt ins Internet als MX stellte. Neben einigem Ungeziefer kamen
> auch ein paar mehr Spammails(die natürlich alle angenommen wurden) bis
> zum Zusammenbruch.
> Ich habe dann einen Postfix mit den "üblichen Verdächtigen" davorgesetzt
> und reiche nur die erwünschten Mails weiter an den Exchange. In Zahlen
> sind das um die 600.000 Rejects und ca. 300 echte Mails pro Tag! Das
> macht natürlich auch ne Menge Traffic.

Mit Postfix eigenen Mittel 

smtpd_delay_reject = no
smtpd_client_connection_count_limit = 
smtpd_client_connection_rate_limit = 
smtpd_client_message_rate_limit = 
smtpd_client_recipient_rate_limit = 
anvil_rate_time_unit = 


schau mal wie oft es vorkommt das die Spambots mehr wie eine Verbindung gleichzeitig
aufbauen.

Mit den obigen Parametern kann man die schon ein bisschen ausbremsen. Bei 300 echten Mails
am Tag nehme ich mal an das ein echter fremder Mailserver in der Regel nur eine connection
gleichzeitig aufbaut und auch fast immer nur eine Mail schicken wird.

Wie Ralf schon geschrieben hat kannst du auch bei bestimmten Fehlverhalten eine Banntime
per Fail2ban festlegen.

Beispiele:

[postfix]
enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
maxretry = 1
bantime  = 6400

postfix.conf

failregex = reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1 (.*?): Recipient address rejected:
User unknown.
            reject: RCPT from(.*)\[<HOST>\]: 504 5.5.2 (.*?): Recipient address rejected:
need fully-qualified address
            reject: RCPT from(.*)\[<HOST>\]: 550 5.7.1 (.*?): Client
host(.*)(hostname|dynamic IP|dynip|dynIP|PTR\/rDNS|Spamer|Spammer|DNS MX settings)
            reject: RCPT from(.*)\[<HOST>\]: 504 5.5.2 (.*?): Helo command rejected
            reject: RCPT from(.*)\[<HOST>\]: 501 5.5.2 (.*?):
            reject: RCPT from(.*)\[<HOST>\]: 553 5.7.1 (.*?):
            reject: RCPT from(.*)\[<HOST>\]: 550 5.1.8 (.*?): Sender address rejected:
Domain not found
            warning: <HOST>: address not listed for hostname(.*)
            Connection rate limit exceeded: .*\[<HOST>\] for service smtp


oder auch 

[ptr]
enabled  = true
port     = smtp,ssmtp
filter   = ptr
logpath  = /var/log/mail.log
maxretry = 1
bantime  = 86400

ptr.conf

failregex = reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
User unknown; from=<>
            reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
User unknown; from=<postmaster at .*>
            reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
User unknown; from=<Postmaster at .*>
            reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
User unknown; from=<admin at .*>
            reject: RCPT from(.*)\[<HOST>\]:(.*)Relay access denied
            reject: RCPT from(.*)\[<HOST>\]:(.*)reject dns parking Domains not welcome
            RCPT from (.*)\[<HOST>\]: 550 5.7.1 (.*): Recipient address rejected:
temporarily blocked because of previous errors - retrying too fast. penalty
            reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1 (.*): Recipient address rejected:
test du mal wo anders d del
            warning: Illegal address syntax from (.*)\[<HOST>\] in MAIL command:
            reject: RCPT from(.*)\[<HOST>\]: 550 5.7.1(.*): Sender address rejected:
reject dns Spamer are welcome


wie immer vor der Verwendung auf Verträglichkeit für das Setup prüfen und testen 


> Nun dachte ich, wenn die Spambots irgendwann genug Rejects bekommen,
> also ihren Müll nicht mehr loswerden, dass sich das dann erledigt, da es
> ja aus Sicht der Spamer Resourceverschwendung ist wenn sie sich mit
> Zielen befassen bei denen sie nix mehr loswerden. Dem ist aber nicht so.
> Seit ca. 14 Tagen läuft der Postfix nun vor dem Exchange aber es wird
> nicht weniger.

Das dauert so in etwa 1-2 Jahre bis das sich das wirklich rumgesprochen hat und macht dann
evtl. 10-20% weniger Einlieferungsversuche aus. 


> 
> Habt ihr irgendwelche Erfahrungen, Tipps wie man die Spamer wieder
> loswird? Ich meine damit irgendwelche Einstellungen am Postfix etc. was
> problemlos möglich wäre, da es ein separater Host nur für diesen Zweck
> bzw. die betroffenen Domains ist.

Du kannst auch dem Apachen der für die Webseiten zuständig ist ein paar Kniffe beibringen
um die Spider vom sammeln der Mailadressen abhalten oder mit falschen Mailadressen füttern
(aber bitte nur mit Domains die nicht existieren @fb³-lan.de usw. *gg)  


> 
> Grüße
> 
> Matthias
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




Mehr Informationen über die Mailingliste Postfixbuch-users