POSTFIX: Kann er in bestimmten Fällen zum Schweigen gebracht werden?

[lesswire]

Hallo zusammen,

auf meinem Server laufen mittlerweile täglich hunderte Spammails mit rein numerischer EHLO ein. Die werden natürlich als "invalid" zurückgewiesen.
Eleganter fände ich es, auf solche Requests gar nicht zu antworten. Also so, als gäbe es meinen Mailserver gar nicht.

Ist das möglich?

Danke im Voraus,
L.W.

[duergner]

Hmm und wie willst du das machen? Um die rein numerische EHLO zu sehn muss das Gegenüber sich ja mal verbinden dürfen. Und dann kannst du auch gleich mit nem sinnvollen Error-Code antworten.

[[gca].dfritz]

Hi,

Eine Möglichkeit wäre es sich ein Script zu basteln, das die IPs in eine IPTable Firewall hinzufügt.

Dann kriegste nicht mal mehr einen connect. Allerdings auch keine Mails mehr, die vielleicht nicht Spam sind.

Z.B. fail2ban wäre eine Tool dafür, damit könnte man evtl. sowas anstellen.

Gruß Daniel

[rootsvr]

Ist IMHO ne mäßige Idee.. Du gewinnst eigentlich nihcts (außer einer Zeile Weniger in den logfiles) und ballerst Dir deine iptables mit einzelnen Dialuphosts DROP Regeln zu..

Ich mein die Performance sollte doch nicht das Problem sein, Postfix verkraftet normalerweise auch viele tausend Mails in der Stunde.

Don't fix what is not broken..

Ein 554 mit sinnvoller Fehlermeldung halte ich für bedeutend besser, vor allem vielleicht hast Du mal nen 'Kunden' der seine Kiste falsch konfiguriert hat und danach (wenn er es dann richtig gemacht hat) wird er einfach geblockt.. IMHO nicht die beste Methode.

[lesswire]

Hallo zusammen und danke für die Anregungen.

Ich will da auch keine grosse Prozedur draus machen, dachte nur, dass vielleicht ein entsprechender "regexp"-Eintrag für Postfix genügt (Serverconnect -> invalid EHLO erkannt -> kein error-reply und internal disconnect).

Finde es halt schade, dass man auf den Spammüll noch höflich und protokollgemäss eine Antwort geben muss.

Danke!
L.W.

[duergner]

Ein ungültiger EHLO muss nicht zwingend gleich Spam sein wie rootsvr auch schon angemerkt hat. In dem Zeitalter in dem Server immer billiger werden sind das auch einfach nur schlecht konfigurierte Kisten bei denen der Admin einfach nicht so den Peil hat. Und denen hilft man mit einer sinnvollen Antwort.

Und des weiteren gibt es einfach RFCs die regeln, wie solche Art der Kommunikation abzulaufen hat. Wenn sich da niemand mehr dran hält dann kann man das gleich alles vergessen.

[lesswire]

In meinem Fall sind es massig EHLO's wie z.B.: 1742946354 ohne TLD und mit ständig wechselnder Zahlenfolge. Connected wird teilweise stundenlang im 20sek.-Rhythmus.
Das geht nun seit ein paar Monaten so, mit ein paar Tagen Pause zwischendurch.

Es handelt sich eindeutig um gewolltes Massen-Spamming, daß sich quantitätsmässig deutlich vom "Üblichen" abhebt und eine eindeutige Handschrift trägt.

Ausschliesslich für diesen Fall hätte ich das "Schweigen" meines Servers doch für sinnvoll gehalten (wie einleitend schon verdeutlicht).

Natürlich sehe ich auch, daß Postfix sich an die Regeln des Protokolls hält und nicht ein eigenes Süppchen kocht. Ist so ja alles völlig richtig.

Ein schönes Wochenende und danke für Eure Beiträge,
L.W.

[lord_pinhead]

Ist es rein zufällig immer die gleiche IP? Wenn ja, vielleicht einfach sperren und ein Abuse absetzen. Wenn nein, schlecht, aber vielleicht immer der selbe Provider -> Abuse@provider und man hat seine Ruhe. Wenn es massenhaft verschieden Provider sind, naja, es ist Wochenende, viel Spaß

[lesswire]

@Lord_Pinhead:
Das sind russische Quellen. Immer wechselnde IPs und Provider, aber alles die gleiche Handschrift und EHLO immer rein numerisch.
Beinhaltet hauptsächlich den Banken-, Porn-, Pharmamüll. Ca. 10% der Zieladressen wären gültig, nach meinem Spamfilter käme vielleicht noch 1% an. Naja, man muss damit leben - schade für den Traffic.