Hallo, Markus... On Tue, Sep 06, 2005 at 08:18:04PM +0200, Markus Meyer wrote: > Ich habe ab un zu mal auf meinem Mailserver eine plötzliche > verhundertfachung der Rejects, weil irgendwelche Wahnsinnigen > unbedingt E-Mails schicken, die zwar zur richtigenb Domäne gehören, > aber keinen gültigen Empfänger auf dem Server besitzen. > Statistik bisher: > 822 rejected > 196 verschiedene Sender
Klingt von der Proportion her normal. > OK, bei weitem kein High-Traffic. Trotz allem nervt das und so dachte > ich mir etwas zu basteln, das automatisch einen Sender "bounct", oder > dessen IP via "iptables" sperrt, sobald mehrere Rejects von dort > registriert wurden. Meine Fragen: > 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon? Ich bastel seit einiger Zeit an sowas, was im Prinzip auch läuft. Ich habe nur noch keinen Daemon draus gebaut mit init.d-Skript und Doku. Wenn Interesse besteht: http://workaround.org/pacifier/pacify.pl Das Skript kann man im oberen Teil mit bestimmten Suchausdrücken füttern und Scores zuweisen. Dieses Skript schützt hier schon einen Test-Server. Es gibt auch ein Debian-Paket "fail2ban", das ich noch nicht probiert habe. Ist aber nicht in Sarge (nur testing und unstable). > 2. Was davon macht am ehesten Sinn? Ich ertrage das einfach und nutze nur gängige Blacklists. :) Aber du hast schon Recht, bevor noch eine Mail durchkommt, sollte man den Angreifer lieber loswerden. > 3. Oder welche Möglichkeiten gibt es noch? Schau mal nach "policy daemons". Da gibt es auch einige interessante Ansätze, um solche Angriffe abzuwehren. Von Greylisting halte ich dagegen gar nichts. Versuch mal: "apt-cache search postfix policy" > Ich will keinen Policy-Daemon einsetzen, da die Mail dann schon durch > die halben Postfix-Queues durch ist. Sicher? Kann eigentlich nicht sein, denn beim Greylisting wird der Angreifer ja auch draußen gehalten. Der Server antwortet direct mit einer 4xx-Meldung. Also ist die Mail noch nicht in der Queue. > Sprich, die Mail soll so früh wie möglich gestoppt werden mit so wenig > Systemressourcen wie da geht. Am schönsten ist das wohl eher ein Tool (s.o.), welches das mail.log überwacht und dann den Absender in "client_access" einträgt, um ihn direkt aufgrund der IP zu blocken. Du kannst diese Restriktion z.B. in einer SQL-Datenbank pflegen. Dann hättest du die nette Variante per SMTP. Ich tendiere zu hartem Abweisen per iptables. > Markus Meyer - encrypted email preferred -> GPG: B87120ED Könnte für andere Listenteilnehmer unbequem sein. ;) Gruß, Christoph -- ~ ~ ~ ".signature" [Modified] 3 lines --100%-- 3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)