On Behalf Of Julian Krämer > bis hierhin schon einmal besten Dank! > Irgendwie hatte ich vermutet, dass man sich im Vorfeld gegen diese Art von > Angriffen nur bedingt sinnvoll schützen kann. > In der Manual bin ich auf den Parameter smtpd_client_connection_rate_limit > gestoßen. In Verbindung mit Festlegung einer Zeitspanne (anvil_rate_time_unit) > kann man damit vorgeben, wieviele Verbindungen innerhalb dieser Zeitspanne von > einem Client aufgebaut werden dürfen. Das kommt doch meiner Absicht entgegen, > denn wenn ich das Limit auf bspw. 2 Verbindungen pro Sekunde setze, ist eine > Flood-Attacke in der Menge limitiert. > Alternative könnte man die Nachrichten pro Zeiteinheit mit > smtpd_client_message_rate_limit einstellen. > Macht das Sinn? Gibt es Erfahrungswerte, die man dort einstellen kann?
Und bei 2 pro Sekunde verhinderst du doch nichts Wer alle sec eine Mail schickt kann dich auch fluten. Prüfe wie viele Einlieferungen pro Client du in der Minute bekommst. Setze einen sinnvollen Wert mit ein bisschen Puffer nach oben und beobachte ob gewünschte Mailserver an diese Grenzen kommen. > > Vielleicht noch ein paar Randnotizen: Es handelt sich um einen privaten > Mailserver, der den Kopf für einige kleiner Projekte hinhalten muss. Mit den > bereits erwähnten Script-Kiddie angriffen kann gerechnet werden, weshalb ich > hier nach einer Lösung suche. Einen Schutz vor DoS- oder DDoS-Attacken ist > erstmal nicht von Interesse, zumal es wohl keinen effektiven gibt. Solltest du wirklich mal geflutet werden kannst du evtl. mit fail2ban noch etwas machen indem du die Server die sich nicht an die Limits halten für einen Zeitraum X von der Auslieferung ausschließt. Das ist effektiv. > > Ein weiterer Schutz würde smtpd_recipient_limit bieten, womit ich festlege, > wieviele Empfänger für eine Nachricht erlaubt sind. Verstehe ich es richtig, > dass damit die maximale Anzahl an CCs bzw. BCCs gemeint ist? > > Angenommen ich hätte mich mit den Werten verspekuliert und es kämen erwünschte > E-Mails nicht mehr durch. Bekommt der Versender ein Feedback, wenn einer der > drei erwähnten Limits greift? > Nö, richtige Mailserver versuchen es später noch mal. Alles andere würde ja keinen Sinn machen da auch mal ein Mailserver unter last für bestimmte Zeit nichts annehmen kann. Soviel kannst du dich auf einem privaten gar nicht verspekulieren Mit freundlichen Grüßen Drießen -- Software & Computer Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397 _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users