Re: Mailflooding?
Hi!
> Etwas Abhilfe schafft, wenn Du die Anzahl der Verbindungen je Sender-IP
> einschränkst: smtp_accept_max_per_host = 2, weiterhin könntest Du die im
> Exim die Rate-Limit-Dinge ansehen.
Ich bin schrittweise durchgegangen und habe zunächst mit
smtp_accept_max_per_host = 2 getestet. Die Einstellung scheint aber
nichts zu bewirken. Die Anfragen werden nach wie vor reingeblasen.
Hilfreich scheint mir "ratelimit" zu sein:
http://www.exim.org/exim-html-current/doc/html/spec_html/ch40.html#useratlim
Allerdings check ich noch nicht so ganz, wie ich das Ding
konfiguriere. Schließlich muss ich echte Anfragen ja noch durchlassen.
Abgesehen davon bekomme ich den letzten Absatz nicht zu laufen
("Restrict incoming rate from each host..." ff.), weil er mit der ACL
irgendwie nicht klar kommt...
> Falls Du MX für „domain.de” bist, könntest Du natürlich vor der
> DNSBL-Abfrage prüfen, ob der Empfänger existiert und auch schon
> rejecten. (Ist aber vielleicht nicht schön, weil man dann ja
> „durchklingeln” könnte, welche Adressen existieren.)
Das würde die DNSBL entlasten. Aber dem Spammer genau das geben, was
er möchte: valide Empfänger finden.
> Du könntest - auch über die ACL - direkt über ${run{}...} einen
> Eintrag in den IP-Tables erzeugen, der die Verbindungen sperrt.
Dürfte wie mein Versuch mit Fail2ban, ein Tropfen auf den heißen Stein sein.
> Das Ablehnen sollte so schnell wie möglich passieren, weil Du sonst sehr
> schnell sehr viele Prozesse hast, die zwar kein Brot fressen, aber
> rumliegen und Speicher festhalten und TCP-Verbindungen.
Ja, die letzten 2 Nächte passiert. Da ist die MySQL-DB für ein paar
Minuten weggeflogen...
Gruß
Roger.
Reply to: