comcast.net & rr.net mail-attacke / prozessorlast minimi

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
tobias111
Posts: 78
Joined: 2002-12-02 20:19

comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by tobias111 » 2005-05-14 12:39

hallo kollegen,

aus mir unerklärlichen gründen hat es ein kunde geschafft, dass an seine mailbox täglich 260.000 !!! mails von obigen domains geschickt zu bekommen. die systemload ist kontinuierlich bei 5-8, natürlich zig postfix-prozesse offen. jetzt hab ich die domains in /etc/postfix/access mit

comcast.net REJECT

eingetragen und nur mehr 2 aliase offen (der rest wirft "user unknown")frage mich, wieso die prozessorlast bzw die postfix-prozesse nicht weniger werden. gibt es eine bessere möglichkeit, dem treiben ein ende zu setzen? meinetwegen grundsätzlich dem ip-bereich von comcast.net u rr.net zu "verbieten", die maschine zu kontaktieren? (unabhängig von smtp).. falls das geht, bitte um kurzen tipp, was ich mir anschauen sollte..

danke
in verzweiflung
tobi

tobias111
Posts: 78
Joined: 2002-12-02 20:19

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by tobias111 » 2005-05-14 12:40

p.s. wenn möglich ohne "firewall" oä, ein derartiger eingriff ins system ist mir zu heikel ;-)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by Joe User » 2005-05-14 13:48

"postmap /etc/postfix/access" und/oder "postfix reload" vergessen? Was spuckt "postconf -n" aus?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tobias111
Posts: 78
Joined: 2002-12-02 20:19

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by tobias111 » 2005-05-14 13:51

hallo joe user,

nein, da hab ich mich wahrscheinlich undeutlich ausgedrückt: das "REJECT" funktioniert schon, ich hatte mich nur gefragt, ob es nicht eine "elegantere" möglichkeit gibt, mails von den domains, oder noch besser: kontaktversuche an den server von diesen domains/ip-bereichen zu unterbinden, denn postfix muss ja jetzt auch prüfen, wo die mail herkommt, bevor er sie ablehnt (was bei der zahl an mails immer noch eine load von 3-4 ist)...

grüße und danke
tobi

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by alexander newald » 2005-05-14 22:50

Ich denke, ohne die IP per IPTables zu sperren, gibt es keine Möglichkeit. Denn es muss sich ja jeder ankommenden Mail ein Mailserver Prozess annehmen, auch wenn die Verbindung dann abgelehnt wird.

kawfy
Posts: 307
Joined: 2002-08-08 23:45

inetd/tcpd oder xinetd

Post by kawfy » 2005-05-14 23:20

A. (veraltet?) Es gibt den TCP-Wrapper (tcpd), der vom inetd aufgerufen wird, bevor ein Daemon wie der Mailer-Daemon o. a. aufgerufen wird. In der /etc/hosts.allow bzwl /etc/hosts.deny kannst du dann IP-Adressen oder ganze Netze blocken. Aber s. u.
:arrow: man tcpd, man 5 hosts_access

:!: Der inetd wird aber immer öfter durch den xinetd ersetzt, daher der zweite Vorschlag:

B. (aktuell?) Beim xinetd gibt es schon eingebaute Kontrolloptionen.
:arrow: man 5 xinetd.conf, bei "only_from" bzw. "no_access".

:!: Der Apache wird aber nicht über (x)inetd aufgerufen und würde weiterhin Zugriffe von den gesperrten IPs "erlauben".[/b]

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by alexander newald » 2005-05-15 00:58

postfix kann man über inetd oder xinet aufrufen/ausführen lassen?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by Joe User » 2005-05-15 09:45

Alexander Newald wrote:postfix kann man über inetd oder xinet aufrufen/ausführen lassen?
Nein, aber Exim...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

tobias111
Posts: 78
Joined: 2002-12-02 20:19

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by tobias111 » 2005-05-15 12:06

hallo alexander, kawfy, joe user

vielen dank für eure postings, das hilft mir schonmal sehr weiter! werd mir die tcpd/inetd/xinetd-geschichten mal näher anschauen..

grüße
tobi

ffl
Userprojekt
Userprojekt
Posts: 269
Joined: 2002-10-23 08:28
Location: Karlsruhe

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by ffl » 2005-05-15 14:19

Ich würde Iptables nehmen. Ist auch gar nicht schwer:

Sperren:
iptables -I INPUT -s $ip -p tcp --dport 25 -j DROP

Freigeben:
iptables -D INPUT -s $ip -p tcp --dport 25 -j DROP

Das sperrt dir dann für IP/Netzmaske den Zugriff auf Port 25 (SMTP) und dann sollte Ruhe sein.
Postfix über (x)inetd geht IMHO nicht.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by dodolin » 2005-05-15 18:49

inetd oder xinetd halte ich fuer eine ganz schlechte Idee, vor allem bei einem MTA, der unter Last steht. Dadurch wird die Last und der Overhead doch nur noch um ein Vielfaches groesser.

Also bei Exim wuerde man in einem solchen Fall einfach einen entsprechenden Eintrag in der connect_acl machen, sodass schon der TCP Connect von diesen IP-Bereichen abgelehnt wird. Gerne kann man das dann auch mit den DNSBL von http://blackholes.us benutzen - comcast und rr.net sind da auf jeden Fall drin. :)

Ich weiss aber nicht, ob Postfix auch eine solche Funktion hat, da muessten die Postfix Spezialisten mal was zu sagen...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by Joe User » 2005-05-15 20:12

dodolin wrote:Ich weiss aber nicht, ob Postfix auch eine solche Funktion hat, da muessten die Postfix Spezialisten mal was zu sagen...
Jupp, Postfix bietet unter Anderem folgende Möglichkeiten:

Code: Select all

/etc/postfix/access
domain.tld REJECT

/etc/postfix/main.cf
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
  permit_mynetworks,
  reject_non_fqdn_hostname,
  reject_invalid_hostname,
  permit
smtpd_recipient_restrictions =
  reject_unauth_pipelining,
  reject_non_fqdn_recipient,
  reject_unknown_recipient_domain,
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unauth_destination,
  reject_rbl_client <rbl_to_use>
  ...
  permit
smtpd_sender_restrictions =
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain,
  permit
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by dodolin » 2005-05-16 05:38

helo, sender und recipient restrictions kommen aber relativ spaet zum tragen. Hat Postfix auch was, was direkt den TCP-Verbindungsversuch ablehnt? Das waere dann das Aequivalent zur connect_acl von Exim. :)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by Joe User » 2005-05-16 12:31

Hierfür bietet Postfix "nur" die /etc/postfix/access :roll:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by dodolin » 2005-05-17 02:24

Hierfür bietet Postfix "nur" die /etc/postfix/access
Na, wenn das das gewuenschte erreicht, reicht das ja. ;)

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: comcast.net & rr.net mail-attacke / prozessorlast minimi

Post by Joe User » 2005-05-17 09:31

Ich habe nochmal etwas bei Google gestöbert und dabei Folgendes gefunden: http://jimsun.linxnet.com/misc/postfix-anti-UCE.txt :roll:
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.