RootForum Community

Hallo,

seid vorgestern wird mein Postfix Server zugebombt mit Anfragen bzw. Mails so das normale email stunden brauchen da die von meinem
Server Connection Time Outs bekommen. Habe schon diverse Einstellungen vorgenommen z.b mit anvil...aber wie kann ich nun gegenwirken?

Dann habe ich eine recipients_list damit schon nur das angenommen wird wo es auch einen Empfänger gibt..dann habe ich noch drin:


check_helo_access hash:/etc/postfix/helo_check,
permit_mynetworks,
reject_unauth_destination,
reject_unknown_hostname,
reject_unknown_sender_domain,
reject_unknown_client,
reject_non_fqdn_sender,
reject_unverified_sender,
rejecjt_rbl_client (hab mehrere listen drin)

Was kann man noch machen?


Also es sind immer attacken solche hier :

Aug 28 13:19:25 ogw postfix/smtpd[17283]: lost connection after DATA from unknown[193.212.3.9]
Aug 28 13:19:25 ogw postfix/smtpd[17283]: disconnect from unknown[193.212.3.9]
Aug 28 13:19:45 ogw postfix/smtpd[17283]: connect from unknown[213.147.66.248]
Aug 28 13:19:48 ogw postfix/smtpd[17283]: NOQUEUE: reject: RCPT from unknown[213.147.66.248]: 450 4.7.1 Client host rejected: cannot find your hostname, [213.147.66.248]; from=<> to=<emailadressemalweggemacht> proto=SMTP helo=<mail.myjobseye.com>
Aug 28 13:19:48 ogw postfix/smtpd[17283]: disconnect from unknown[213.147.66.248]
Aug 28 13:19:48 ogw postfix/smtpd[17283]: connect from mail.gyso.ch[194.209.99.43]
Aug 28 13:19:51 ogw postfix/smtpd[17331]: disconnect from unknown[219.166.149.188]
Aug 28 13:19:51 ogw postfix/smtpd[17331]: connect from unknown[193.2.36.70],


solche sachen oder mit falschen email empfänger und so...es kommt ja nichts durch aber es kommen keine "echten" emails mehr durch
weil die von uns einen connection time out bekommen...also was tun? :-)

Das ganze geht jetzt schon fast 48 Stunden

Rühren die Timeouts tatsächlich von besagten "Angriffen" her? Wenn Du einen Content Filter hättest, könnte ich verstehen, wenn die Queue zuläuft - die Verarbeitungszeiten sind da relativ hoch, und mir ist das auch schon mal passiert - da hat der smtpd allerdings weiterhin Mails angenommen, kam nur mit dem Zustellen nicht mehr hinterher. Aber nur durch den SMTP-Annahmedialog ist es schon schwer, einen SMTP-Server in die Knie zu bekommen. Wie viele Anfragen pro Sekunde hast Du denn zu verdauen?

Ggf. hilft es, wenn Du Deine restrictions etwas umsortierst bzw. bestimmte Prüfungen aus smtpd_recipient_restrictions in smtpd_client_restrictions etc. vorzuverlagern, so dass der SMTP-Dialog mit Bogey Hosts früher abgebrochen wird. Schau Dir mal die Beispiel-Konfiguration im Wiki an, da sind mehrere gestaffelte restrictions drin.

Ich hab noch den MailScanner laufen...was mich wunder ist ich habe aber auch sowas drin:


ug 28 16:14:23 ogw postfix/smtpd[26581]: connect from localhost[127.0.0.1]
Aug 28 16:14:23 ogw postfix/smtpd[26581]: lost connection after CONNECT from localhost[127.0.0.1]
Aug 28 16:14:23 ogw postfix/smtpd[26581]: disconnect from localhost[127.0.0.1]
Aug 28 16:14:23 ogw postfix/smtpd[26581]: connect from localhost[127.0.0.1]
Aug 28 16:14:23 ogw postfix/smtpd[26581]: lost connection after CONNECT from localhost[127.0.0.1]
Aug 28 16:14:23 ogw postfix/smtpd[26581]: disconnect from localhost[127.0.0.1]

Verwendest Du amavisd-new o. ä.? Dann sind die Log-Einträge normal, da amavis & Co die Mail ja wieder an Postfix übergeben, wenn die Scans durch sind (i. d. R. per TCP auf einem anderen Port). Ansonsten würde ich mal nach einer Web-Applikation fahnden, die Mails per SMTP einliefert (Roundcube und Plone tun das, aber möglicherweise auch selbstgeschriebene Skripte).

DNS-Problem bereits ausgeschlossen?