Re: Mailflooding?

To: debian-user-german@lists.debian.org
Subject: Re: Mailflooding?
From: Heiko Schlittermann <hs@schlittermann.de>
Date: Fri, 31 Jul 2009 09:11:29 +0200
Message-id: <20090731071129.GO6099@jumper.schlittermann.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <bb8017210907310001y30223efavbfcfdd1471cfb0f4@mail.gmail.com>
References: <bb8017210907310001y30223efavbfcfdd1471cfb0f4@mail.gmail.com>

Roger Rehnelt <rrehnelt@googlemail.com> (Fr 31 Jul 2009 09:01:04 CEST):
> Hallo!
> 
> Seit einiger Zeit kommt ne Menge Rotz auf dem Mailserver an und wird
> mittels DNSBL geblockt. So wie ich das erkennen kann, scheint das wohl
> aus einem Botnetz zu kommen, den ich bekomme im ~5 Sekundentakt 10-20
> Mailanfragen pro Sekunde. Heißt, mit einmal wird ein Block von E-Mail
> Anfragen auf den Server geschoben, an x-beliebige Adressen (die nicht
> existieren) einer Domain.

Etwas Abhilfe schafft, wenn Du die Anzahl der Verbindungen je Sender-IP
einschränkst: smtp_accept_max_per_host = 2, weiterhin könntest Du die im
Exim die Rate-Limit-Dinge ansehen.

> Absender und IP Adressen ändern sich pro Abfrage.
> Der Overhead ist enorm. Laut Munin war ich schon bei 43 Rejects pro
> Sekunde. Des weiteren ist es sicherlich ärgerlich, dass ich
> zen.spamhaus.org so sehr stressen muss.

Solltest Du für „domain.de” nicht ein MX sein, kannst Du Dir die
DNSBL-Abfrage verkneifen und sofort rejecten.

Falls Du MX für „domain.de” bist, könntest Du natürlich vor der
DNSBL-Abfrage prüfen, ob der Empfänger existiert und auch schon
rejecten. (Ist aber vielleicht nicht schön, weil man dann ja
„durchklingeln” könnte, welche Adressen existieren.)

Du könntest - auch über die ACL - direkt über ${run{}...} einen
Eintrag in den IP-Tables erzeugen, der die Verbindungen sperrt.

Ich denke aber, daß smtp_accept_max_per_host und Rate-Limit das
einfachste sein werden.

> Wie kann man dagegen Schutzmaßnahmen einleiten? Ich habe Angst, dass
> die Anfragen mehr werden und dann der Server in die Knie geht.

Das Ablehnen sollte so schnell wie möglich passieren, weil Du sonst sehr
schnell sehr viele Prozesse hast, die zwar kein Brot fressen, aber
rumliegen und Speicher festhalten und TCP-Verbindungen.

    Best regards from Dresden/Germany
    Viele Grüße aus Dresden
    Heiko Schlittermann
-- 
 SCHLITTERMANN.de ---------------------------- internet & unix support -
 Heiko Schlittermann HS12-RIPE -----------------------------------------
 gnupg encrypted messages are welcome - key ID: 48D0359B ---------------
 gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2  7E92 EE4E AC98 48D0 359B -

Attachment: signature.asc
Description: Digital signature

Reply to:

Follow-Ups:
- Re: Mailflooding?
  - From: Roger Rehnelt <rrehnelt@googlemail.com>
- Re: Mailflooding?
  - From: Heiko Schlittermann <hs@schlittermann.de>

References:
- Mailflooding?
  - From: Roger Rehnelt <rrehnelt@googlemail.com>

Prev by Date: Mailflooding?
Next by Date: Re: Mailflooding?
Previous by thread: Mailflooding?
Next by thread: Re: Mailflooding?
Index(es):
- Date
- Thread