[Postfixbuch-users] Spamer loswerden

Uwe Driessen driessen at fblan.de
Mo Jul 6 15:01:44 CEST 2009


On Behalf Of Uwe Driessen
> On Behalf Of Matthias Scholz
> 
> Wie Ralf schon geschrieben hat kannst du auch bei bestimmten Fehlverhalten eine Banntime
> per Fail2ban festlegen.
> 
> Beispiele:
> 
> [postfix]
> enabled  = true
> port     = smtp,ssmtp
> filter   = postfix
> logpath  = /var/log/mail.log
> maxretry = 1
> bantime  = 6400
> 
> postfix.conf
> 
> failregex = reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1 (.*?): Recipient address
> rejected:
> User unknown.
>             reject: RCPT from(.*)\[<HOST>\]: 504 5.5.2 (.*?): Recipient address
> rejected:
> need fully-qualified address
>             reject: RCPT from(.*)\[<HOST>\]: 550 5.7.1 (.*?): Client
> host(.*)(hostname|dynamic IP|dynip|dynIP|PTR\/rDNS|Spamer|Spammer|DNS MX settings)
>             reject: RCPT from(.*)\[<HOST>\]: 504 5.5.2 (.*?): Helo command rejected
>             reject: RCPT from(.*)\[<HOST>\]: 501 5.5.2 (.*?):
>             reject: RCPT from(.*)\[<HOST>\]: 553 5.7.1 (.*?):
>             reject: RCPT from(.*)\[<HOST>\]: 550 5.1.8 (.*?): Sender address rejected:
> Domain not found
>             warning: <HOST>: address not listed for hostname(.*)
>             Connection rate limit exceeded: .*\[<HOST>\] for service smtp
> 
> 
> oder auch
> 
> [ptr]
> enabled  = true
> port     = smtp,ssmtp
> filter   = ptr
> logpath  = /var/log/mail.log
> maxretry = 1
> bantime  = 86400
> 
> ptr.conf
> 
> failregex = reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
> User unknown; from=<>
>             reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
> User unknown; from=<postmaster at .*>
>             reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
> User unknown; from=<Postmaster at .*>
>             reject: RCPT from(.*)\[<HOST>\]: 550 5.1.1(.*): Recipient address rejected:
> User unknown; from=<admin at .*>
>             reject: RCPT from(.*)\[<HOST>\]:(.*)Relay access denied
>             reject: RCPT from(.*)\[<HOST>\]:(.*)reject dns parking Domains not welcome
>             RCPT from (.*)\[<HOST>\]: 550 5.7.1 (.*): Recipient address rejected:
> temporarily blocked because of previous errors - retrying too fast. penalty
>             reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1 (.*): Recipient address
> rejected:
> test du mal wo anders d del
>             warning: Illegal address syntax from (.*)\[<HOST>\] in MAIL command:
>             reject: RCPT from(.*)\[<HOST>\]: 550 5.7.1(.*): Sender address rejected:
> reject dns Spamer are welcome
> 
> 
> wie immer vor der Verwendung auf Verträglichkeit für das Setup prüfen und testen
> 
> 

Nachtrag:

Da es sehr viele einträge werden können die in diese Filter rein rennen lohnt es sich
fail2ban mit IPSET aufzubauen da dann nicht 1000de IPtables einträge angelegt und
verwaltet werden müssen. Mit IPSET können bis zu 65K IPadressen mit einer einzigen
Iptableszeile gesperrt werden. 



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397





Mehr Informationen über die Mailingliste Postfixbuch-users