Mailflooding?

To: debian-user-german@lists.debian.org
Subject: Mailflooding?
From: Roger Rehnelt <rrehnelt@googlemail.com>
Date: Fri, 31 Jul 2009 09:01:04 +0200
Message-id: <bb8017210907310001y30223efavbfcfdd1471cfb0f4@mail.gmail.com>

Hallo!

Eventuell ist das hier etwas OT, deswegen entschuldige ich mich vorher
schon einmal.
Mir fehlt das Fachwissen, um nach den richtigen Begriffen zu suchen.
Ich weiß nicht weiter.

Seit einiger Zeit kommt ne Menge Rotz auf dem Mailserver an und wird
mittels DNSBL geblockt. So wie ich das erkennen kann, scheint das wohl
aus einem Botnetz zu kommen, den ich bekomme im ~5 Sekundentakt 10-20
Mailanfragen pro Sekunde. Heißt, mit einmal wird ein Block von E-Mail
Anfragen auf den Server geschoben, an x-beliebige Adressen (die nicht
existieren) einer Domain.

Das sieht dann ungefähr so aus:
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<a.e.carlile@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<a1265@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<a1273604@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<a1288s@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<a1269684@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<aa.diver@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<aadji@domain.de>: DNSBL listed at zen.spamhaus.org
2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101]
F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT
<a.c.sbmart@domain.de>: DNSBL listed at zen.spamhaus.org


Absender und IP Adressen ändern sich pro Abfrage.
Der Overhead ist enorm. Laut Munin war ich schon bei 43 Rejects pro
Sekunde. Des weiteren ist es sicherlich ärgerlich, dass ich
zen.spamhaus.org so sehr stressen muss.

Meine Idee war, mit fail2ban zumindest die Anfragen etwas zu
verkleinern, aber das brachte keinen Erfolg. Weil in dieser einen
Sekunde kommen eben 10 Anfragen gleichzeitig rein. Ehe die ins Logfile
geschrieben und von fail2ban analysiert werden, ist es schon vorbei
und die nächste Anfrage von einer anderen Adresse kommt rein. So lohnt
es sich nicht die IP zu sperren.

Wie kann man dagegen Schutzmaßnahmen einleiten? Ich habe Angst, dass
die Anfragen mehr werden und dann der Server in die Knie geht.

Reply to:

Follow-Ups:
- Re: Mailflooding?
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: Mailflooding?
  - From: Christian Schmidt <Christian.Schmidt@chemie.uni-hamburg.de>
- Re: Mailflooding?
  - From: Peter Velan <pv0001@dynapic.net>
- Re: Mailflooding?
  - From: Michelle Konzack <linux4michelle@tamay-dogan.net>
- Re: Mailflooding?
  - From: Martin Steigerwald <Martin@lichtvoll.de>

Prev by Date: initramfs-tools: Host erkennen
Next by Date: Re: Mailflooding?
Previous by thread: initramfs-tools: Host erkennen
Next by thread: Re: Mailflooding?
Index(es):
- Date
- Thread