comcast.net & rr.net mail-attacke / prozessorlast minimi

[tobias111]

hallo kollegen,

aus mir unerklärlichen gründen hat es ein kunde geschafft, dass an seine mailbox täglich 260.000 !!! mails von obigen domains geschickt zu bekommen. die systemload ist kontinuierlich bei 5-8, natürlich zig postfix-prozesse offen. jetzt hab ich die domains in /etc/postfix/access mit

comcast.net REJECT

eingetragen und nur mehr 2 aliase offen (der rest wirft "user unknown")frage mich, wieso die prozessorlast bzw die postfix-prozesse nicht weniger werden. gibt es eine bessere möglichkeit, dem treiben ein ende zu setzen? meinetwegen grundsätzlich dem ip-bereich von comcast.net u rr.net zu "verbieten", die maschine zu kontaktieren? (unabhängig von smtp).. falls das geht, bitte um kurzen tipp, was ich mir anschauen sollte..

danke
in verzweiflung
tobi

[tobias111]

p.s. wenn möglich ohne "firewall" oä, ein derartiger eingriff ins system ist mir zu heikel ;-)

[Joe User]

"postmap /etc/postfix/access" und/oder "postfix reload" vergessen? Was spuckt "postconf -n" aus?

[tobias111]

hallo joe user,

nein, da hab ich mich wahrscheinlich undeutlich ausgedrückt: das "REJECT" funktioniert schon, ich hatte mich nur gefragt, ob es nicht eine "elegantere" möglichkeit gibt, mails von den domains, oder noch besser: kontaktversuche an den server von diesen domains/ip-bereichen zu unterbinden, denn postfix muss ja jetzt auch prüfen, wo die mail herkommt, bevor er sie ablehnt (was bei der zahl an mails immer noch eine load von 3-4 ist)...

grüße und danke
tobi

[alexander newald]

Ich denke, ohne die IP per IPTables zu sperren, gibt es keine Möglichkeit. Denn es muss sich ja jeder ankommenden Mail ein Mailserver Prozess annehmen, auch wenn die Verbindung dann abgelehnt wird.

[kawfy]

A. (veraltet?) Es gibt den TCP-Wrapper (tcpd), der vom inetd aufgerufen wird, bevor ein Daemon wie der Mailer-Daemon o. a. aufgerufen wird. In der /etc/hosts.allow bzwl /etc/hosts.deny kannst du dann IP-Adressen oder ganze Netze blocken. Aber s. u.
:arrow: man tcpd, man 5 hosts_access

:!: Der inetd wird aber immer öfter durch den xinetd ersetzt, daher der zweite Vorschlag:

B. (aktuell?) Beim xinetd gibt es schon eingebaute Kontrolloptionen.
:arrow: man 5 xinetd.conf, bei "only_from" bzw. "no_access".

:!: Der Apache wird aber nicht über (x)inetd aufgerufen und würde weiterhin Zugriffe von den gesperrten IPs "erlauben".[/b]

[alexander newald]

postfix kann man über inetd oder xinet aufrufen/ausführen lassen?

[Joe User]

postfix kann man über inetd oder xinet aufrufen/ausführen lassen?

Nein, aber Exim...

[tobias111]

hallo alexander, kawfy, joe user

vielen dank für eure postings, das hilft mir schonmal sehr weiter! werd mir die tcpd/inetd/xinetd-geschichten mal näher anschauen..

grüße
tobi

[ffl]

Ich würde Iptables nehmen. Ist auch gar nicht schwer:

Sperren:
iptables -I INPUT -s $ip -p tcp --dport 25 -j DROP

Freigeben:
iptables -D INPUT -s $ip -p tcp --dport 25 -j DROP

Das sperrt dir dann für IP/Netzmaske den Zugriff auf Port 25 (SMTP) und dann sollte Ruhe sein.
Postfix über (x)inetd geht IMHO nicht.

[dodolin]

inetd oder xinetd halte ich fuer eine ganz schlechte Idee, vor allem bei einem MTA, der unter Last steht. Dadurch wird die Last und der Overhead doch nur noch um ein Vielfaches groesser.

Also bei Exim wuerde man in einem solchen Fall einfach einen entsprechenden Eintrag in der connect_acl machen, sodass schon der TCP Connect von diesen IP-Bereichen abgelehnt wird. Gerne kann man das dann auch mit den DNSBL von http://blackholes.us benutzen - comcast und rr.net sind da auf jeden Fall drin. :)

Ich weiss aber nicht, ob Postfix auch eine solche Funktion hat, da muessten die Postfix Spezialisten mal was zu sagen...

[Joe User]

Ich weiss aber nicht, ob Postfix auch eine solche Funktion hat, da muessten die Postfix Spezialisten mal was zu sagen...

Jupp, Postfix bietet unter Anderem folgende Möglichkeiten:

Code: Select all

/etc/postfix/access
domain.tld REJECT

/etc/postfix/main.cf
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks,
  reject_non_fqdn_hostname,
  reject_invalid_hostname,
  permit
smtpd_recipient_restrictions =
  reject_unauth_pipelining,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination,
  reject_rbl_client <rbl_to_use>
  ...
  permit
smtpd_sender_restrictions =
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit

[dodolin]

helo, sender und recipient restrictions kommen aber relativ spaet zum tragen. Hat Postfix auch was, was direkt den TCP-Verbindungsversuch ablehnt? Das waere dann das Aequivalent zur connect_acl von Exim. :)

[Joe User]

Hierfür bietet Postfix "nur" die /etc/postfix/access :roll:

[dodolin]

Hierfür bietet Postfix "nur" die /etc/postfix/access

Na, wenn das das gewuenschte erreicht, reicht das ja. ;)

[Joe User]

Ich habe nochmal etwas bei Google gestöbert und dabei Folgendes gefunden: http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt :roll: