Problem mit Spammails

[nixdorf]

Hallo,

ich habe ein Problem mit meinem Root-server (Debian/etch). Seit ca. einem Monat bekomme ich dort bei vielen Domain, die eingerichtet sind unheimlich viel Trafic beim SMTP und POP3. Es handelt wohl um Spammails. Das führ dann dahin, das auch der Proftpd nur noch sehr langsam erreichbar ist. Was kann ich da machen?


Gruß Nixdorf

[aquajo]

2 Optionen:

mehr Hardware, oder in SMTP einarbeiten (oder halt extern einkaufen), und versuchen viel Müll vor dem DATA-Komando abzuweisen.

[nixdorf]

Hallo,

ich habe überlegt mal 1GB mehr ram reinzustecken, momentan sind nur 250MB drin. Dann läuft der Spamassissin drauf, aber dem darf ich ja aus rechtlichen Gründen meinen Kunden gegenüber auch nicht einfach sagen; lasse bestimmt Mails nicht mehr zu.


Gruß Nixdorf

[aquajo]

Sobald Kunden ins spiel kommen wird es meistens eh komplizierter.
Falls du die bayes-Datenbank oder Die Filter nutzt die auch auf den Body prüfen, müssen die Kunden dazu auch ihr Einverständnis geben (wenn ich das richtig im Kopf habe), das ablehnen während des SMTP-Dialogs ist rechtlich wohl relativ "sauber", nur falls man zuviel ablehnt bekommt man natürlich wieder ärger ... (Nicht rechtlich, aber unzufriedene Kunden).

Mehr RAM wäre vermutlich keine schlechte Idee, und sonst einfach das Gesamtsystem optimieren.

[nixdorf]

Wo kann man das denn noch mal sicher erfahren, was man genau blocken darf? Auch wenn man nur absulut sicheren Spam erst gar nicht auf den Server lässt, wird warscheinlich schon sehr viel erreicht.

Um das zu erreichen ist aber der Spamassissin schon der richtige weg? Oder lieber etwas anderes nutzen?


Gruß Nixdorf

[aquajo]

Was das rechtliche angeht: da kenne ich leider keine gute Quelle die das zusammenfasst.

Was die SPAM-Abwehr angeht: man kann Spamassassin auch recht gut zum abweisen von E-mails nutzen (z.B. sa-exim), benötigt aber sehr viele Ressourcen im Vergleich zu anderen Techniken ([selektives] greylisting, DNS-Blacklists, "Syntax-Überprüfungen" usw.), die natürlich auch wieder andere Vor- & Nachteile haben.

[aubergine]

Wo kann man das denn noch mal sicher erfahren, was man genau blocken darf? Auch wenn man nur absulut sicheren Spam erst gar nicht auf den Server lässt, wird warscheinlich schon sehr viel erreicht.

Um das zu erreichen ist aber der Spamassissin schon der richtige weg? Oder lieber etwas anderes nutzen?


Gruß Nixdorf

Entgegen dem was hier empfohlen wird ist der Einsatz von Blacklists um Kunden vor Spam zu bewahren, nur dann der richtige Weg wenn diese Blacklists 100% vertrauenswürdig sind.

Eskapaden wie diese hier: http://www.heise.de/netze/news/meldung/91606 sind bei Betreibern von Blacklists keine Seltenheit und dadurch ist es nicht der richtige Weg solchen Listen blind zu vertrauen. (Privat Ja, bei Kundenwebs nein)

[Joe User]

Ein gut konfigurierter Postfix weist schon viel ab und den Rest erschlägt man mit policyd-weight. Auf die letzte Handvoll Spam möchte man dann schon gar nicht mehr verzichten ;)

[aquajo]

Nur fürs Protokoll: Mit Exim kann man auch schon ein Großteil des SPAM aufgrund "formaler Mängel" abweisen.

[alarenal]

Nur fürs Protokoll: Mit Exim kann man auch schon ein Großteil des SPAM aufgrund "formaler Mängel" abweisen.

Mit Postfix auch. <- nur fürs Protokoll

--------------------

256 MB RAM sind natürlich ein wenig mager, abhängig davon mit welcher Frequenz die Mails reinkommen und was die Karre sonst noch so macht. Unseren Mailserver hatte ich recht zeitig von 1 GB auf 2 GB aufrüsten lassen. Ansonsten heißt es "lesen bildet", denn Tutorials/HowTos gibt es viele. Deren Infos muss man dann im Zweifel kritisch prüfen und deren Eignung abklopfen.

Ich bin lange gut mit Postfix + SpamAssassin gefahren, wobei Postfix unter Zuhilfenahme von drei RBLs, die sich als vertrauenswürdig erweisen haben, 89-92% Mails rejectet hat (je nach Tagesform). Was dann noch über war ging dann eben durch den SA.

Vor einer Woche habe ich dann die meisten meiner SMTP-Optionen und alle RBLs rausgeworfen und durch policyd-weight in Standard-Konfig ersetzt und habe nochmals eine spürbare Verbesserung (rein quotenmäßig) gehabt, mit der ich so eigentlich nicht gerechnet hatte.

Daneben spendiere ich SA täglich mehrmals Standard-Updates zzgl. Updates vom RulesEmporium (via Rules-du-Jour).

Einziger Haken derzeit bei mir ist, dass ich aus Gründen der Last keinen Virenscan machen kann, weil die Mails schneller reinkommen, als sie dann zugestellt werden können. Es dauert nur wenige Minuten, dann fängt die Karre an zu swappen und schwupps geht gar nüscht mehr. Unsere Kunden sind eben sehr mail-lastig....

[sledge0303]

Ein gut konfigurierter Postfix weist schon viel ab und den Rest erschlägt man mit policyd-weight. Auf die letzte Handvoll Spam möchte man dann schon gar nicht mehr verzichten ;)

Full Ack. Mit der Methode fahre ich ebenfalls seit langem erfolgreich!

[nixdorf]

Hallo,

danke für die Zahlreichen Antworten.

ich würde gerne mit Postfix, dem Spamassissin und evtl. amavisd versuchen den root-server vor dem spam zu schützen. Leider habe ich noch keine gute Doku zu dem Thema gefunden. Hat da noch wer einen Tipp? Das kann auch ein Buch sein, wenn es das gibt.

1GB RAM werde ich auch noch in den Server stecken.


Gruß Nixdorf

[alarenal]

http://www.howtoforge.com

[nixdorf]

Hallo,

ich habe dem Rechner mal 1GB mehr RAM gegeben und gleich darauf waren die Probleme behoben. (Nicht das Spam - Problem, die treten immer noch auf, aber er kann sie jetzt wohl bewältigen.)

Aber momentan sehe ich das wieder unter Top ein Perl - Prozeß gelistet wird:

32191 www-data 25 0 6028 4596 2780 R 99.0 0.5 38:50.51 perl


Der das System wieder verlangsamt. Das merke ich sofort wenn ich versuche mit einem FTP-Programm an Seiten auf dem Server zu arbeiten.

Wie kann ich herrausfinden von welcher Webseite dieser Perl-Proßez gestartet wird, bzw wodurch?

Die Gruppe www-data ist für die Nutzer von Webspace reserviert. Nur weiß ich jetzt nicht welcher Benutzer das ist.


Gruß Nixdorf

[Joe User]

Nur weiß ich jetzt nicht welcher Benutzer das ist.

www-data

Code: Select all

ps auxf
cat /proc/<PID>/cmdline

[nixdorf]

Hallo,

wenn ich mir mit:

cat /proc/32191/cmdline

den Prozeß anzeigen lasse lande ich in einem htdocs-Verzeichnis von einer Domain. Da ist ein CMS-System drauf. in dem Verzeichnis finde ich auch die folgenden Dateien:

bootscan.txt:

http://paste.debian.net/33536

und

scan.txt:

http://paste.debian.net/33535


beides Perl-scripte. die habe ich jetzt entfernt. Ich bekomme aber den Perl-Prozeß 32191 nicht mit kill 32191 gelöscht. Was kann ich da noch machen?

Gruß Nixdorf

[Roger Wilco]

beides Perl-scripte. die habe ich jetzt entfernt. Ich bekomme aber den Perl-Prozeß 32191 nicht mit kill 32191 gelöscht. Was kann ich da noch machen?

Als root `kill -9 <pid>`.

[Joe User]

Nimm das CMS vom Netz bis es gefixt ist, andernfalls hast Du in kürzester Zeit weitere (gefährlicherere) Schadsoftware auf dem Server.