Discard statt reject

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
slackware
Posts: 8
Joined: 2004-12-28 23:32
Location: Wien

Discard statt reject

Post by slackware » 2005-07-11 21:28

Emails die an Empfänger die nicht existieren geschickt werden sollen einfach kommentarlos gelöscht werden.

Wie setzte ich bitte Discard statt Reject ein?

Danke im voraus

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Discard statt reject

Post by Joe User » 2005-07-12 10:21

Alternative: Du könntest die Mails an /dev/null weiterleiten...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Discard statt reject

Post by dodolin » 2005-07-12 15:22

Weitere Alternative: Er koennte seinen MTA auch einfach ausschalten.

slackware
Posts: 8
Joined: 2004-12-28 23:32
Location: Wien

Re: Discard statt reject

Post by slackware » 2005-07-13 08:04

Joe Danke für die Antwort, auch Danke Dodolin für die ( Antwort ), aber MTA wird nicht ausgeschaltet! Stattdessen stelle ich sogar noch eine Frage bitte:

Ich habe bis jetzt dafür gesorgt dass mein MTA gut funktioniert, aber die Sicherheit wird erst jetzt mit einem Angriff (der vor einem Monat angefangen hat) getestet! Ich habe vieles ausprobiert aber leider ohne erfolg

Ziel des Angreifers viel Traffic zu verursachen

Es werden täglich tausende E-Mails an falschen Benutzer geschickt, Postfix schickt Antworte zurück u.s.w.

Deswegen war meine Frage mit Discard statt Reject weil es hier um die Traffic geht.

Für eure Hilfe bin ich dankbar

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: Discard statt reject

Post by squize » 2005-07-13 13:36

Wenn es dein Ziel ist, den Traffic zu minimieren, musst du die Mails vor der Auslieferung, d.h. vorm "Data"-Command bereits ablehnen. Hierzu dienen bei Postfix die restrictions, z.B. smtpd_recipient_restrictions.

Recipient Restrictions

Je nachdem wie dein System aufgebaut ist musst du also eine Liste mit allen gültigen Adressen vorhalten (hash Table, mysql ....), gegen die Postfix prüfen kann.
Dann werden alle anderen einfach abgelehnt.

Somit hast du nur noch den Traffic, der bei der anmeldung entsteht.

Wenn deine Kiste für alle nicht existierenden Addressen einen Bounce erzeugt kann man deine Kiste für DOS-Angriffe auf fremde Rechner benutzen. Es reicht eine Mail mit z.B. 100 ungültiger CC's an deine Kiste zu schicken, den Absender auf die Domain legen, den du angreifen willst und schon bekommt er 100 Bounces.


Gruss

Marc

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Discard statt reject

Post by dodolin » 2005-07-13 15:36

Es werden täglich tausende E-Mails an falschen Benutzer geschickt, Postfix schickt Antworte zurück u.s.w.
Dann hast du schonmal einen grundsaetzlichen Fehler in deinem Design bzw. deinem Setup, den du ASAP abstellen solltest.
Deswegen war meine Frage mit Discard statt Reject weil es hier um die Traffic geht.
Das ist der falsche Weg, wie ich ja in meinem ersten Post schon angedeutet hatte und wie auch squize das bereits erlaeutert hat. Wenn du Traffic minimieren moechtest (und auch sonst, eigentlich immer!!) sollte man ungueltige lokale Empfaengeradressen bereits nach dem RCPT TO ablehnen. Es gibt wirklich nur wenige spezielle Faelle, wo man andere Wege gehen muss. Ich bin mir aber ziemlich sicher, dass es solche Faelle auf einem Rootserver-Setup nicht gibt.

slackware
Posts: 8
Joined: 2004-12-28 23:32
Location: Wien

Re: Discard statt reject

Post by slackware » 2005-07-14 10:14

squize wrote: Wenn deine Kiste für alle nicht existierenden Addressen einen Bounce erzeugt kann man deine Kiste für DOS-Angriffe auf fremde Rechner benutzen. Es reicht eine Mail mit z.B. 100 ungültiger CC's an deine Kiste zu schicken, den Absender auf die Domain legen, den du angreifen willst und schon bekommt er 100 Bounces.
Danke squize für deine Antwort,

dieser Fall den du angesprochen hast ist leider eingetreten

es sind ca. 100 CC´s AOL email adressen

und es schaut so aus:

host mailin-01.mx.aol.com[205.188.155.89] said: 421-: (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT AVAILABLE (in reply to end of DATA command)

********

also die Emails an nicht existierenden Addressen abzulehnen ist auch keine Lösung!

:?:

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Discard statt reject

Post by Roger Wilco » 2005-07-14 10:19

slackware wrote:also die Emails an nicht existierenden Addressen abzulehnen ist auch keine Lösung!
Doch, sofern du die Verbindung schon im SMTP-Dialog nach dem RCPT TO mit einer 55x Meldung beendest und keinen kompletten Bounce generierst. :roll:

slackware
Posts: 8
Joined: 2004-12-28 23:32
Location: Wien

Re: Discard statt reject

Post by slackware » 2005-07-14 11:05

Roger Wilco wrote: Doch, sofern du die Verbindung schon im SMTP-Dialog nach dem RCPT TO mit einer 55x Meldung beendest und keinen kompletten Bounce generierst. :roll:
Danke Roger

du meinst:

unknown_local_recipient_reject_code = 550

statt

unknown_local_recipient_reject_code = 450

?

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Discard statt reject

Post by Roger Wilco » 2005-07-14 11:19

Ja, zum Beispiel.
Lies auch mal RFC 2821, vor allem Abschnitt 4.2.2.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Discard statt reject

Post by dodolin » 2005-07-14 16:30

unknown_local_recipient_reject_code = 450
Halleluja!

http://www.postfix.org/postconf.5.html# ... eject_code

450 ist lediglich zum testen und debuggen, um sicherzustellen, dass die local recipient maps alle korrekt funktionieren. Der Default ist 550, warum man den dauerhaft aendert, ist mir schleierhaft.

slackware
Posts: 8
Joined: 2004-12-28 23:32
Location: Wien

Re: Discard statt reject

Post by slackware » 2005-07-17 13:10

Obwohl ich der Meinung bin dass mein MTA nur teilweise den Angriff abgewehrt hat aber es schaut jetzt viel besser aus und es herrscht seit 2 Tagen Ruhe!
( hoffentlich nicht diese Ruhe vor dem Storm)
ich möchte euch für eure Hilfe und Tipps herzlich danken