[Postfixbuch-users] Trotz SMTP-Auth extreme Spamwellen - Die Lage in den Griff kriegen

Dennis Guhl lists at dguhl.org
Do Okt 25 18:06:53 CEST 2012


On Thu, Oct 25, 2012 at 04:29:34PM +0200, Timo Heinrichs wrote:
> Hallo zusammen, 
> 
> ist mein erstes Mail in einer Mailingliste, ich hoffe ich mache das

Herzlich willkommen!

[..]

> Zu kompliziert? Hier ein Beispiel:

Nö, das hört sich ganz gut an.

[..]

> Wenn der selbe Kunde eine Mail verschicken will geht er mit seiner
> Mail ebenfalls an diesen Server, der Authentifizierungsprozess
> findet genau wie beim Abrufen statt, der Mailproxy verschickt die
> Mail allerdings selbst!

Hier könnte man nun einwerfen, dass es günstiger ist den gesamten
Ablauf der ein- und ausgehenden E-Mails zu trennen -- insbesondere bei
der schon vorhandenen Anzahl Server.

> Jetzt haben wir das Problem, dass sehr viel Spam von Usern rein
> kommt. Man kann anhand der Logfiles erkennen, dass es sich um
> Botnetze handeln muss (oft wechselne IP-Adressen, viele Versuche).

Die kann man sich mit fail2ban schon auf Vebindungsebene vom Hals
halten, wenn die wegen falscher Passworte abgelehnt werden. Ansonsten
sollte man ein Ratelimit mit postfwd o.ä. einrichten, mit dem die
maximale Anzahl an E-Mails limitiert wird, die ein User pro
Zeiteinheit versenden darf.

> Das heißt also, dass irgendwelche Spam-Botnetze die Passwörter der
> User bekommen haben müssen. Daraufhin hab ich den auth_debug im
> Dovecot angeschaltet, was im Logfile erschien hat mich überrascht!
> Viele Loginversuche mit immer dem gleichen (FALSCHEN!) Passwort.
> Trotzdem kommt Spam rein wie verrückt.

Dazu zeige bitte mal Deine Logdaten. Es muss natürlich sichergestellt
werden, dass jeder, der mit einem falschen Passwort kommt, abgelehnt
wird -- sonst kann man sich die Aktion mit dem Auth eh schenken.

[..]

> Ich würde ebenfalls gerne Greylisting mit Postgrey einsetzen, habe

Greylisting ist für Inbound, nicht für Outbound (und kann durch
postscreen (wenn man Postfix >=2.8 betreibt;
http://www.postfix.org/POSTSCREEN_README.html) oft ersetzt werden).

[..]

> damit wir im Notfall auf einen Ersatzserver einsetzen können, möchte
> ich gerne auf dem Mailproxy als relayhost einen anderen Mailer

Das kann aber immer nur eine kurzfristige Notlösung sein. Wenn weiter
Spam von Euch kommt ist der zweite Server schneller auf Blacklists als
Ihr gucken könnt.

> eintragen. Ist ja auch kein Problem, ich tue mich noch etwas schwer
> mit der Konfig auf dem relayenden Server. Der MUSS die Mails vom
> anderen Server annehmen und verarbeiten, komm ich da irgendwie drum
> rum, dass ich mir relay reciepient maps aufbaue wo alle Relay-User
> drin stehen? Schließlich hab ich schon auf dem anderen Server

Dafür gibt es mynetworks
(http://www.postfix.org/postconf.5.html#mynetworks).

[..]

> Hier noch meine Postconf:

Anstelle der gesamten Ausgabe von postconf beschränke Dich bitte auf
die Ausgabe von postconf -n!

Weiterhin zeige bitte Deine Konfiguration vom Dovecot dove(cot|conf)
-n und die master.cf ohne Kommentare (bei Postfix 2.9 mittels postconf
-Mf, sonst grep -v '^#' master.cf).

Zuguter letzt wären noch ein paar Logdaten ganz hilfreich, die einige
typische Varianten von Spam zeigen der von Euch weiterverteilt wird.

Das ganze packe bitte in eine reine Text-E-Mail. HTML in E-Mails
braucht niemand, insbesondere nicht auf Mailinglisten.

Dennis



Mehr Informationen über die Mailingliste Postfixbuch-users