Spam Relay über SMTP AUTH geschütztes Sendmail

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
christian
Posts: 6
Joined: 2002-09-16 20:45
Location: Ludwigshafen

Spam Relay über SMTP AUTH geschütztes Sendmail

Post by christian » 2003-02-07 08:31

Hallo Zusammen,

ich bin mir nicht sicher, ob ich mein Anliegen bei Newbie oder hier posten soll. Ich hab's bei Newbie versucht siehe
http://www.rootforum.de/forum/viewtopic.php?t=7346
Mittlerweile habe nochmal meinen Server auf Open Relay getestet. Alle Tests ergeben dass kein Open Relay vorliegt. Dann kann ich ja eigentlich beruhigt sein. Was mir noch Sorge macht ist der Traffic, der bei dieser Flut von Mails anfällt und die Serverperformance.
Hat jemand von Euch Erfahrung mit solch einem Fall und ein paar Tipps für mich?

Vielen Dank und Grüsse,
Christian

PS edit: Der Verursacher der Mails scheint von den IPs 217.39.29.1 und 217.45.184.97 laut Mail Header zu senden --> host217-39-29-1.in-adr-btopenworld.com. Sind die evtl. bekannt?

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Spam Relay über SMTP AUTH geschütztes Sendmail

Post by floschi » 2003-02-07 16:41

Ich denke nicht, dass einige Tausend Emails viel Traffik verursachen ;)

christian
Posts: 6
Joined: 2002-09-16 20:45
Location: Ludwigshafen

Re: Spam Relay über SMTP AUTH geschütztes Sendmail

Post by christian » 2003-02-07 19:01

Mag sein, 1700 Mails in root in 1,5 Tagen wg. fehlerhaften Mails nerven aber schon und das mail-Logfile wird auch unnötig aufgebläht.
Ich habe heute vormittag mal iptables zurückgesetzt und seitdem 8 MB INPUT und 20 MB OUTPUT. Schaue ich mir die letzte viertel Stunde an und rechne das hoch komme ich auf 80 MB pro Tag, oder 2,4 GB im Monat. Nicht schlecht für einen Server der sonst nur 400-500 MB pro Monat Traffic hat...
Da frage ich mich, was ich mache, wenn der Spam zunimmt???
Ich habe jetzt einzelne IPs per iptables gesperrt und in der mail access die Domain (btopenworld.com, Provider in GB) auf rejected gesetzt, von der die meisten Mails kamen. Bleibt aber immer noch genug Schrott übrig. Ich nehme an, über Einwahlleitungen von Providern. Das Log gibt aktuell *.dsl.telesp.net.br und *the.forthnet.gr unter "relay=" aus.

Wie gehen diese Spamtypen eigentlich vor? Werden wahllos irgendwelche IPs ausprobiert? Warum versucht jemand (oder eine Software) permanent Mails über einen Server loszuwerden, der nur relaying denied zurückgibt? Weiß jemand eine Quelle, wo ich mich schlau machen kann:?:

Christian

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Spam Relay über SMTP AUTH geschütztes Sendmail

Post by flo » 2003-02-15 13:58

Hi,

Da kannst Du nichts gegen machen, außer eine Teergrube zu installieren, die aber auch nicht den Verbindungsaufbau an sich verhindert.

Maßnahmen wie die IP (iptables) zu sperren oder die access.db helfen, aber nciht lange und verschonen die Logfiles auch nciht unbedingt.

Meiner Meinung nach ist es das beste, den Werbescheiß anzunehmen, herauszufiltern und auf keinen Fall darauf zu antworten.

Daß Dein Server nicht relayed setze ich voraus, aber selbst der Traffic ist auszuhalten, einer unserer ehemaligen Server hat im Monat nie mehr als 20 GB an Mails rausgeschickt. ;-)

Grüße,

flo.

djznet
Posts: 6
Joined: 2003-08-26 19:08

Re: Spam Relay über SMTP AUTH geschütztes Sendmail

Post by djznet » 2003-08-26 19:10

hat jemand von euch schon eine teergrube installiert / bzw gibts irgendwo nen Howto? das FAQ da oben hilft ja nur zu verstehen wie das ding arbeitet...?

thnx kai

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Spam Relay über SMTP AUTH geschütztes Sendmail

Post by captaincrunch » 2003-08-26 20:30

DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc