[Postfixbuch-users] Fragen zu laufender Spam-Attacke

[Stefan Förster]

Hallo Andreas,

* "Andreas v. Heydwolff" <listmail at sandpsych.at> wrote:
> Gegenwärtig habe ich meinen SMTP-Port zu und die Firewall lehnt pro
> Sekunde bis zu 4 connects ab, im Schnitt 2/sec. Mit vuurmuur kann ich
> die Blocklist ergänzen, aber wenn ein Server abgehängt wurde, baut der
> nächste schon 200 Verbindungen auf.

Firewall? Blocklist? Ich verstehe ehrlich gesagt nicht ganz.
Umfassendere und detailliertere Informationen über Dein Setup,
vielleicht sogar mal die Ausgabe von "postconf -n" wären hier evt.
hilfreich. Welche Postfix-Version ist bei Dir im Einsatz?

> [snip]
> 
> Muß ich mich nach einem anderen Domainnamen umsehen? Sind solche an
> DoS-Attacken erinnernde Spamorgien vorübergehende Einzelfälle?
> 
> Ist das die "ganz normale Härte" und mein SOHO war nur bisher verschont
> vor solchen Angriffen? Heißen die gleichmäßigen Reject-Zahlen in der
> per-hour-Tabelle, dass mein System am Limit war und brav abgearbeitet
> hat, was an der Türe angeklopft hat (pro versuchtem
> username at meinedomain.tld bis zu 102 Mal)?
> 
> Noch Schnipsel aus meiner master.cf:

Ich habe mir jetzt die Zahlen bei Dir angesehen, und 10k abgewiesene
Mails an einem Tag ist eigentlich nichts, worüber ich mir Sorgen
machen würde. Klar, die SNR drückt das, aber hast Du denn wirklich ein
technisches Problem?

> ------
> xxx.xxx.xxx.xxx:25 inet n     -       n       -       20 smtpd
>    -o smtpd_proxy_filter=127.0.0.1:10024
> 
> 127.0.0.1:25 inet n     -       n       -       11      smtpd
>    -o content_filter=amavis:[127.0.0.1]:10024
>    -o receive_override_options=no_address_mappings

Du verwendest das selbe Regelwer sowohl im pre- als auch im
post-queue-Modus? Das könnte interessant werden, vor allem, wenn Du
für Spam in amavisd-new ein "REJECT" hinterlegt hast.

> Sollte ich irgend etwas anpassen? Die Hardware habe ich erst
> aufgerüstet, ist das schwächtsmögliche AM2-CPU-System (zwecks niedrigem
> Stromverbraucht) mit 2Gb RAM, auf dem noch diverses anderes eher
> Unaufwendiges läuft, oder geht das bei solchen Attacken eh nicht schneller?
> 
> Kann bei solchen Attacken ein Script evtl. die IP in iptables sperren,
> von der der connect aus erfolgt, oder hilft hier eine Teergrube, zu der
> umgeleitet wird?
> 
> Wie kann ich erreichen, dass connects vom LAN aus prioritär angenommen
> werden? Diese Mail habe ich erst mit viel Mühe versenden können.

Da ich immer noch nicht so ganz verstehe, wo Dein Problem ist, werde
ich hier einfach mal auf gut Glück raten:

Dein System nimmt zuviele Mails an, die dann im Gegenzug die
amavisd-new-Prozesse verstopfen? Nimm weniger Mails an:

http://www.postfix.org/STRESS_README.html

Ich bin mir sicher, daß Uwe oder vielleicht auch Sandy hier noch was
zu Restriktionen und Policy-Services sagen wird.

Du benötigst einen smtpd, der aus dem LAN heraus funktioniert?
Definiere einen in der master.cf und setze dort ein niedriges
Prozesslimit, da man im Normalfall aus dem LAN heraus ja nicht soviele
Mails wie von außen schicken wird.

Dein System ist platt, weil Du dynamische Anpassungen an Filterlisten
oder Firewall-Regeln vornimmst? Stell das ab.

Wie gesagt, daß ist hier etwas schwer, wir wissen ja nicht genau, wo
es bei Dir klemmt...


Ciao
Stefan
-- 
Stefan Förster     http://www.incertum.net/     Public Key: 0xBBE2A9E9
"I suggest a new strategy, R2. Let the Wookiee win!" -- C3PO