Am Freitag 31 Juli 2009 schrieb Roger Rehnelt: > Hallo! Hi Roger! > Eventuell ist das hier etwas OT, deswegen entschuldige ich mich vorher > schon einmal. > Mir fehlt das Fachwissen, um nach den richtigen Begriffen zu suchen. > Ich weiß nicht weiter. > > Seit einiger Zeit kommt ne Menge Rotz auf dem Mailserver an und wird > mittels DNSBL geblockt. So wie ich das erkennen kann, scheint das wohl > aus einem Botnetz zu kommen, den ich bekomme im ~5 Sekundentakt 10-20 > Mailanfragen pro Sekunde. Heißt, mit einmal wird ein Block von E-Mail > Anfragen auf den Server geschoben, an x-beliebige Adressen (die nicht > existieren) einer Domain. Bezüglich nicht existierender Adressen habe ich irgendwann mal die Entscheidung getroffen, sowas gar nicht erst anzunehmen. Wer meine Mail- Adresse nicht richtig schreiben kann, hat halt Pech gehabt. > Das sieht dann ungefähr so aus: > 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] > F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT > <a.e.carlile@domain.de>: DNSBL listed at zen.spamhaus.org > 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] > F=<aforesaidjqnu@xn--9d0bw1ilonp0fcpu.com> rejected RCPT > <a1265@domain.de>: DNSBL listed at zen.spamhaus.org Hmmm, das ist alles von der selben IP-Adresse. Gibts da kein Tool für Exim, das bei einer bestimmten Anzahl von gleichartiger Anfragen erstmal für eine Weile komplett blockt? Ich nutze Postfix mit policyd-weight, das mehrere Blacklists einsetzt und gewichtet, und der macht das automatisch: Jul 31 21:04:17 mondschein postfix/smtpd[6428]: NOQUEUE: reject: RCPT from 132.Red-83-53-85.dynamicIP.rima-tde.net[83.53.85.132]: 550 5.7.1 <h[...]@l[..].de>: Recipient address rejected: temporarily blocked because of previous errors - retrying too fast. penalty: 30 seconds x 1 retries.; from=<alababanvard@l[..].de> to=<h[...]@l[...].de> proto=ESMTP helo=<hpsanmar> Jul 31 21:04:17 mondschein postfix/policyd-weight[13352]: decided action=550 temporarily blocked because of previous errors - retrying too fast. penalty: 30 seconds x 1 retries.; <client=83.53.85.132> <helo=hpsanmar> <from=alababanvard@l[...].de> <to=h[...]@l[...].de>; delay: 0s Allerdings deutet das "Recipient address rejected" für mich darauf hin, dass er das nach Empfänger-Adresse macht, was bei Dir ja nichts bringen würde. Ich bin da wahrlich kein Experte. Ich seh einfach policyd-weight auf dem Server und CRM114 auf der Client-Seite - könnte auch auf dem Server laufen, wenn ich endlich mal auf IMAP umstelle - regeln das Spamproblem für mich mit minimalen Aufwand und in absolut zufriedenstellender Weise ;-). CRM114 würds auch alleine regeln, mich hats aber irgendwann genervt, den kompletten Spam noch über die DSL-Leitung zu jagen. Vielleicht könnte policyd-weight auch mit Exim4 laufen? Die Konfiguration ist jedenfalls trivial. Ich hab nur an den Schwellwerten etwas gedreht. Die Geschichte scheint auf jeden Fall ziemlich effizient zu sein das: mondschein:~> head -1 /var/log/mail.log | cut -c1-15 ; tail -1 /var/log/mail.log | cut -c1-15 Jul 26 06:25:42 Jul 31 21:35:33 mondschein:~> grep "penalty" /var/log/mail.log | grep -c "policyd-weight" 6086 policyd-weight regelt auch ansonsten nicht schlecht: mondschein:~> grep -c "policyd-weight" /var/log/mail.log 34194 Heilige Sch... wenn ich das alles noch via POP abholen müsste. 34000 Mails in gut 5 Tagen. > Absender und IP Adressen ändern sich pro Abfrage. > Der Overhead ist enorm. Laut Munin war ich schon bei 43 Rejects pro > Sekunde. Des weiteren ist es sicherlich ärgerlich, dass ich > zen.spamhaus.org so sehr stressen muss. Naive Frage: Sollte er das nicht cachen und bei der gleichen IP-Adresse / Domain nicht gleich wieder nachfragen? Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.