[Postfixbuch-users] Fragen zu laufender Spam-Attacke

Steffen Mutter steffen at gnuher.de
So Mai 31 21:23:57 CEST 2009 

Uwe Driessen schrieb:
> On Behalf Of Andreas v. Heydwolff
>> Uwe Driessen wrote:
> 
> Hallo Andreas
> 
>>> Spiel ein bischen mit den nachfolgenden Werten
>>>
>>> smtpd_delay_reject = no
>>> smtpd_client_connection_rate_limit =
> 
> Wie viele connection macht den ein "normaler" Client bei dir zu eine bestimmten Zeitpunkt
> 
> Setz doch einfach mal 
> 
> smtpd_client_connection_rate_limit = 5
> bei
> anvil_rate_time_unit = 5s
> 
> ein Client kann somit innerhalb von 5 sec nur 5 Verbindungen gleichzeitig machen 
> 
>  
> 
>>> smtpd_client_message_rate_limit =
>>> smtpd_client_recipient_rate_limit =
>>> anvil_rate_time_unit =
>> Danke, Uwe - das Ergebnis habe ich unter
>> http://andreas.heydwolff.de/public_html/postfix raufgeladen,
> 
>> xxx.xxx.xxx.xxx:25 inet n     -       n       -       20 smtpd
>>   -o smtpd_proxy_filter=127.0.0.1:10024
> 
> Nur 20 smtp Prozesse wie viele kommen denn nach den restriktionen überhaupt noch durch ?
> 
> 100 smtp bei 5 Amavischilds kann durchaus funktionieren (du hast 11 also setz ruhig mal
> die 100 wieder ein und dein System fängt wieder an zu arbeiten) 
> 
> smtpd_error_sleep_time = 100  ist nicht gut du sperrst dir damit deine eigenen Prozesse

Nicht gut ist kein Ausdruck. Das ist SENF!


> smtpd_error_sleep_time = 0  wen ich nicht will den haue ich das sofort um die Ohren erst
> recht wenn die Maschine stress hat 

Oder einfach ganz weglassen, ich komme mit dem Postfix Defaulthandling
sehr gut zurecht. Bei DialUp IPs finde ich es auch nett, die Wartezeiten
an die Lieferanten zu überreichen, Greylisting ist Dein Freund. Meistens
kommen sie nicht wieder :-P

> deine restrictionen 
> 
> smtpd_recipient_restrictions = 
> 	reject_non_fqdn_sender,	
> 	reject_non_fqdn_recipient,	
> 	reject_unknown_sender_domain, 	
> 	reject_unknown_recipient_domain,	
> 	permit_mynetworks,        
> 	permit_sasl_authenticated,	
> 	reject_unauth_destination,
> 	reject_unlisted_recipient,        
> 	reject_rbl_client zen.spamhaus.org=127.0.0.10        
> 	reject_rbl_client zen.spamhaus.org=127.0.0.11        
> 	reject_rbl_client zen.spamhaus.org=	rbl_reply_maps
> =hash:/etc/postfix/rbl_reply_maps	reject_rbl_client dnsbl.njabl.org,        
> 	reject_invalid_hostname 
> 
> 
> mein Vorschlag 
> 
> smtpd_recipient_restrictions = 
> 	reject_non_fqdn_sender,	
> 	reject_non_fqdn_recipient,	
> 	reject_unknown_sender_domain, 	
> 	reject_unknown_recipient_domain,	
> 	reject_unlisted_recipient,        
> 	permit_mynetworks,        
> 	permit_sasl_authenticated,	
> 	reject_invalid_hostname
> 	reject_unauth_destination,
>       reject_invalid_helo_hostname,
>       reject_non_fqdn_helo_hostname,
>       reject_unknown_reverse_client_hostname, (da hab ich jetzt nicht nachgeschaut müsste 
> 								aber die entschärfte
> variante sein )
> 	reject_rbl_client zen.spamhaus.org
> 	reject_rbl_client dnsbl.njabl.org,        
> 
> 
> smtpd_delay_reject = no (NO,NO,NO wen ich nicht will dem schlag ich die Tür zu FERTIG!!)
> 
> 
>> smtpd_delay_reject = no werd' ich jetzt noch einstellen, da es munter
>> weiter geht und selbst das Mailen an diese Liste kaum geht.
>>
>>>
>>> und was wird da versucht zu senden?
>> weiß ich nicht, da ich das pre-queue-Filtering mache und nichts geshen
>> habe von dem gesendeten Müll.
> 
> Schau in dein mail.log rein da steht immer wer woher an wen mehr will ich nicht keine
> Inhalte oder sonstiges.

Die sieht man ja auch nicht einmal, wenn man das smtp mit -v in
master.conf auf Verbose flagged.

>> Und woher?
>>
>> Muss ein bot-Angriff sein, mein iptables-Skript hat bis zum Reload heute
>> früh über 1300 verschiedene Hosts geblockt, die in der letzten Minute
>>> 5x einen connect versucht haben. Die whois-Abfragen zeigen in alle Welt.

Das lag eher an Deiner config. Das /var/log/mail.err bei Dir muss
überquellen und Du hast da ja Pausen reinkonfiguriert, die Deinen MX
immer schlafen schicken, anstatt aufzuräumen.

> Nach Wien wollte ich schon immer mal.

Hm, da hat es einen Postfix zum konfigurieren :-)

> P.S. Konfigs immer mit posten das mag ich gar nicht wenn ich da noch mal 10 andere Fenster
> aufmachen soll. Sorry das das heute etwas länger mit den Antworten dauert aber manches
> andere geht auch mal vor *gg

Die Liste ist super. Ich persönlich würde auch die ganzen
rbl-blocklisten eher zu einem erhöhten Spamassassin-Score führen lassen
- meine Kunden wollen _alle_ Mails haben, RBL-Blocklisten sind auf dem
MX verboten.
http://styx.domainion.com/cgi-bin/mailgraph.cgi
Aber mit herausgenommenen RBLs gibt es noch mehr als genug rejects,
siehe oben.

Ich denke, wenn Du die Schlafphase herausnimmst, wird sich das Problem
schon fast von allein erledigen.

Grüße,
SMut

Mehr Informationen über die Mailingliste Postfixbuch-users