Postfix: "connect from unknown" unterbinden?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
BlackEye
Posts: 81
Joined: 2003-09-04 11:02
Location: Eschwege

Postfix: "connect from unknown" unterbinden?

Post by BlackEye » 2004-09-20 23:52

Hallo!

Wäre es nicht sinnvoll, folgende connects beim Postfix generell zu unterbinden? Also nicht nur relaying sondern einfach schon allein ein Verbindungsaufbau ablehnen:
Sep 20 23:44:14 root2 postfix/smtpd[26741]: connect from unknown[218.48.16.84]
Solche connects sind doch schon eigentlich mehr als verdächtig, oder? Normal eingerichtete Mailsysteme sollten doch einen funktionierenden reverse-lookup besitzen.
Die Frage ist, ob es nicht zu restriktiv wäre, solche Connects einfach preventiv zu unterbinden?
Die nächste Frage wäre, wie man soetwas in der mein.cf einträgt? Irgendwas mit reject_unauth_destination?

Wenn ich das hier sehe, wird mir jedenfalls schlecht:
# cat mail.log | grep ' connect from unknown' | wc -l
3338
und das sind nicht mal 24h!
# l | grep mail.log
-rw------- 1 root root 5,9M 20. Sep 23:49 mail.log
ohne Worte... nach wenger als 24h, ist das mail-logfile bereits knappe 6MB gross. Und das nur wegen connects von Spamsendern und senden an random@domain.tld. Da könnte ich die Wand hoch gehen...

Was denkt ihr? Gefahrenlos ok, solche connects abzustellen?

BlackEye
Posts: 81
Joined: 2003-09-04 11:02
Location: Eschwege

Re: Postfix: "connect from unknown" unterbinden?

Post by BlackEye » 2004-09-21 00:00

gerade hab ich bei genauerem Hingucken gesehen, dass nur eine einzige Domain von uns so dermaßen unter 'Beschuss' steht. Es handelt sich dabei um eine .com Domain. Dabei ist das eine eher unbekannte Domain... Seltsam. Ob da mal einer Internic eine Liste aller registriereten Domains abluxen konnte?
Das nervt....

BlackEye
Posts: 81
Joined: 2003-09-04 11:02
Location: Eschwege

Re: Postfix: "connect from unknown" unterbinden?

Post by BlackEye » 2004-09-21 00:25

ok, die Frage des Wie hab ich mir schon selbst beantworten können

Code: Select all

smtpd_client_restrictions = permit_mynetworks, reject_unknown_client
wäre dann wohl einzutragen in die main.cf
aber steht noch die Frage offen, ob es Sinn macht, bzw. ob es 'sicher' ist?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix: "connect from unknown" unterbinden?

Post by dodolin » 2004-09-21 01:43

Ob es Sinn macht, kannst nur du entscheiden. "Es kommt drauf an".

Wenn man z.B. geschäftsmäßig Mails mit allen möglichen Partnern austauscht, kann man es sich sicher nicht erlauben, wenn man keine möglicherweise wichtige Mail verlieren möchte. Es gibt genügend legitime Systeme, die auch keinen funktionierenden RDNS haben. Ob man diese abzulehnen bereit ist, muss jeder selbst abwägen.

Wenn man den Server nur privat betreibt und weniger Spam bekommen möchte, kann man sich das eventuell schon erlauben.

"Sicher" im Sinne von mit 0 False Positives ist es jedenfalls definitiv nicht. Aber die Rate der FPs hängt zum großen Teil halt auch wieder von der Nutzung ab. Kommuniziert man - wie ich z.B. - zu > 80 % privat nur mit web.de, gmx, t-online, yahoo etc. Usern und zum Rest meist mit anderen "Geeks" und Cracks, die wissen, was sie tun, ist die FP-Rate vom rejecten von IPs ohne RDNS sicher gering. ;)

Ã?ber all dem sollte man aber auch nicht vergessen, dass es vorkommen könnte, dass man ein Problem mit dem DNS allgemein hat, sei es lokaler Natur oder auch nicht.

BlackEye
Posts: 81
Joined: 2003-09-04 11:02
Location: Eschwege

Re: Postfix: "connect from unknown" unterbinden?

Post by BlackEye » 2004-09-21 09:56

hm, okay. Klingt schon irgendwie einleuchtend. Im Prinzip ist es ja auch nur bei einer einzigen Domain so extrem schlimm. Innerhalb von 24 Stunden über 10.000 Versuche von Ã?bermittlung von Spam (das sind jetzt alle möglichen Mailsender, also auch diejenigen mit RDNS), da fing ich langsam an, einen echten Hass zu bekommen!
Mich würde echt brennend interessieren, warum unsere .com Domain so unter Beschuss steht. Wir erwarten von dieser Domain am Tag vielleicht 10 normale Mails. Vielleicht mal 20. Aber über 10k Versuche eine Mail an ramdom@xyz.com zu schicken, hat mich rasend gemacht. Irgendwie kam mir da so der Gedanke: "Jetzt reichts!" :-)
Gestern hab ich mich mal weiter in die main.cf eingearbeitet und probehalber ein paar Blacklisten eingebaut. Da wurden immerhin ca. 240 Sender geblockt (Innerhalb von 9 Stunden). Aber allein durch die Restriktion, dass keine nicht RDNS Clients connecten dürfen, wurde schon 1621 Leute 'gekillt'. Irgendwie nervt der Spam ganz schön... (Die meißten (oder sogar alle?) Connections mit nicht RDNS kommen übrigens aus Asien! Da haben wir definitiv niemanden, der Mails schickt *g*)

Ok, ich werde mir Deinen Beitrag dann mal durch den Kopf gehen lassen. Ich habe ja nun ein bisschen Anregung bekommen. Danke!

Gruß,
Martin