[Postfixbuch-users] Server wird mit ungültigen Adressen bombardiert - Verify-Cache läuft voll

Uwe Driessen driessen at fblan.de
So Sep 12 23:36:21 CEST 2010



On Behalf Of lars
> meinetwegen, aber die u.E. unrelevanten parameter haben wir einfach weggekürzt. aber
> gut, es sei:
> smtpd_delay_reject = no
> smtpd_recipient_restrictions =


> check_policy_service inet:127.0.0.1:12525
> check_policy_service inet:127.0.0.1:60000
Diese beiden nach "permit_sasl_authenticated," einsetzen 

Alles vor permit_sasl_authenticated gilt auch für die eigenen User und die willst du doch
eigentlich nicht Greylisten und oder gegen policyd-weight prüfen.


> reject_non_fqdn_sender,
> reject_non_fqdn_recipient,
> reject_unknown_sender_domain,
> warn_if_reject reject_unverified_sender
> reject_unknown_recipient_domain,


> reject_unverified_recipient,
dann raus damit


> reject_unauth_destination,
> permit_mynetworks,
> reject_unlisted_recipient 


> permit_sasl,
das ist übersetzt permit_sasl_authenticated also raus damit 


> permit_sasl_authenticated,
> reject_unauthenticated_sender_login_mismatch
> permit

Das letzte permit kannst du dir sparen wer die checks überstanden hat kann durch 

Schau dir die Vorschlage von Ralf und Sandy für die restriction an damit sollte dein
Server wieder luft bekommen.

> 
> 
> 
> danke für die tipps! aber das haben wir gerde ausprobiert, keine änderung ... das spam-
> bombardement werden wir so auch kaum abstellen können; unsgeht es im moment schlicht
> darum, den mailverkehr wieder zum funktionieren zu bekommen ...

Genau das ist ein bisschen abwägen zwischen dem was man machen kann, machen darf und
machen muß. 

Können tun wir einiges an quick and dirty 
Dürfen tun wir nur so viel das legitime Mail nicht geblockt wird 
Müssen tun wir genau soviel das alles läuft 

> 
> 
> 
> 
> 	Ansonsten bleibt noch die Menge der offenen Verbindungen pro einliefernden Host
> pro
> 	Zeiteinheit zu begrenzen
> 
> 	smtpd_client_connection_count_limit =
> 	smtpd_client_connection_rate_limit =
> 	smtpd_client_message_rate_limit =
> 	smtpd_client_recipient_rate_limit =
> 	anvil_rate_time_unit =
> 
> 
> 
> wenn ich es recht verstehe, dürfte das nichts bringen, da
> 
> 
> allesamt von unterschiedlichen Hosts kommen:

Und wie häufig kommen die innerhalb einer min?
Ein reject wegen nicht vorhandener Mailadresse kostet nix an last. Da macht es dann
einfach die Menge.

In den Prozessen siehst du nur wer gerade aber nicht wie oft und häufig der kommt.

Die Begrenzung pro Zeiteinheit verhindert das dich ein System immer wieder besucht.

Auskunft darüber gibt dir ein z.B.

grep "User unknown"  mail.log|cut -d "[" -f 3|cut -d "]" -f 1|cut -d "." -f1,2,3|sort -b
-t. -k1,1n -k2,2n -k3,3n -k4,4n|uniq -c|less 

es wäre hilfreich mal einen Blick ins logfile zu werfen und das logfile vorwärts und
rückwärts auszuwerten.
Pflogsum wäre da evtl. auch hilfreich um die Auffälligkeiten zu sehen 


Fail2ban mit ipset ist da ein probates mittel den Server vor unnötiger last und
bombardemonts zu bewahren.

Ipset empfiehlt sich wegen der Menge der einzelnen IP's die da ansonsten jede einzeln als
iptables regel die firewall dicht machen würde. Mit ipset kann in einer einzigen iptables
regel bis zu 64 tds ip's geprüft werden. 64 tsd iptables regeln dauern länger im durchlauf
der pakete.

Werden da immer wieder die IP's geblockt die nicht gewollt sind dann geben viele der
Botnetze dann auf.



Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397






Mehr Informationen über die Mailingliste Postfixbuch-users