Re: Postfix - Umgang mit "Mail-Angriffen"

To: debian-user-german@lists.debian.org
Subject: Re: Postfix - Umgang mit "Mail-Angriffen"
From: Christoph Haas <haas@debian.org>
Date: Wed, 7 Sep 2005 14:19:29 +0200
Message-id: <[🔎] 20050907121929.GA24259@torf.workaround.org>
Mail-followup-to: Christoph Haas <haas@debian.org>, debian-user-german@lists.debian.org
In-reply-to: <[🔎] 20050906181804.GA18854@butterblume>
References: <[🔎] 20050906181804.GA18854@butterblume>

Hallo, Markus...

On Tue, Sep 06, 2005 at 08:18:04PM +0200, Markus Meyer wrote:
> Ich habe ab un zu mal auf meinem Mailserver eine plötzliche
> verhundertfachung der Rejects, weil irgendwelche Wahnsinnigen
> unbedingt E-Mails schicken, die zwar zur richtigenb Domäne gehören,
> aber keinen gültigen Empfänger auf dem Server besitzen.
> Statistik bisher:
> 822 rejected 
> 196 verschiedene Sender

Klingt von der Proportion her normal.

> OK, bei weitem kein High-Traffic. Trotz allem nervt das und so dachte
> ich mir etwas zu basteln, das automatisch einen Sender "bounct", oder 
> dessen IP via "iptables" sperrt, sobald mehrere Rejects von dort
> registriert wurden. Meine Fragen:
> 1. Da ich nicht das Rad neuerfinden will: Gibt es sowas schon?

Ich bastel seit einiger Zeit an sowas, was im Prinzip auch läuft. Ich
habe nur noch keinen Daemon draus gebaut mit init.d-Skript und Doku.
Wenn Interesse besteht: http://workaround.org/pacifier/pacify.pl
Das Skript kann man im oberen Teil mit bestimmten Suchausdrücken füttern
und Scores zuweisen. Dieses Skript schützt hier schon einen Test-Server.

Es gibt auch ein Debian-Paket "fail2ban", das ich noch nicht probiert
habe. Ist aber nicht in Sarge (nur testing und unstable).

> 2. Was davon macht am ehesten Sinn?

Ich ertrage das einfach und nutze nur gängige Blacklists. :)
Aber du hast schon Recht, bevor noch eine Mail durchkommt, sollte man
den Angreifer lieber loswerden.

> 3. Oder welche Möglichkeiten gibt es noch?

Schau mal nach "policy daemons". Da gibt es auch einige interessante
Ansätze, um solche Angriffe abzuwehren. Von Greylisting halte ich
dagegen gar nichts. Versuch mal: "apt-cache search postfix policy"

> Ich will keinen Policy-Daemon einsetzen, da die Mail dann schon durch
> die halben Postfix-Queues durch ist.

Sicher? Kann eigentlich nicht sein, denn beim Greylisting wird der
Angreifer ja auch draußen gehalten. Der Server antwortet direct mit
einer 4xx-Meldung. Also ist die Mail noch nicht in der Queue.

> Sprich, die Mail soll so früh wie möglich gestoppt werden mit so wenig
> Systemressourcen wie da geht.

Am schönsten ist das wohl eher ein Tool (s.o.), welches das mail.log
überwacht und dann den Absender in "client_access" einträgt, um ihn
direkt aufgrund der IP zu blocken. Du kannst diese Restriktion z.B. in
einer SQL-Datenbank pflegen. Dann hättest du die nette Variante per
SMTP.

Ich tendiere zu hartem Abweisen per iptables.

> Markus Meyer - encrypted email preferred -> GPG: B87120ED

Könnte für andere Listenteilnehmer unbequem sein. ;)

Gruß,
 Christoph
-- 
~
~
~
".signature" [Modified] 3 lines --100%--                3,41         All

Reply to:

Follow-Ups:
- Re: Postfix - Umgang mit "Mail-Angriffen"
  - From: Markus Meyer <mm@butterblume.org>

References:
- Postfix - Umgang mit "Mail-Angriffen"
  - From: Markus Meyer <mm@butterblume.org>

Prev by Date: Re: Alte initrd wieder herstellen?
Next by Date: Re: Alte initrd wieder herstellen?
Previous by thread: Postfix - Umgang mit "Mail-Angriffen"
Next by thread: Re: Postfix - Umgang mit "Mail-Angriffen"
Index(es):
- Date
- Thread