[postfix-users] [OT] Re: Postfix lasst mail ohne From zu.

Uwe Driessen driessen at fblan.de
Mi Apr 29 14:11:20 CEST 2009


On Behalf Of Robert Schetterer
> Uwe Driessen schrieb:
> > On Behalf Of Robert Schetterer
> 
> also grundsaetzlich hat jeder seinen eigenen spam, bots etc
> vergleiche sind also kaum moeglich, ich hab hier eine 3 Buchstaben
> domain, die wird pro Stunde mit bis zu 500000 bot conects zugeballert
> ich hab da jedes bekannte verfahren schon ausprobiert ( seit Jahren )
> ich versichere dir, es gibt massenhaft bots die greylisting ueberwinden
> es ist reine glueckssache dass die deine domain nicht zubomben
> alles andere ist reine spekulation

Das ist richtig deswegen muß jeder seinen eigenen Weg finden.
Ich würde mir ne andere Domain zulegen *gg

Davon abgesehen warum haben die dich denn so auf dem Kicker warst du böse? 
Wer versucht denn einzuliefern in der Hauptsache DIALIN? 

> > Aber das wichtigste was Graylisting macht ist verhindern das sich selbst versendende
> Viren
> > sich verbreiten da diese zu 99% keine richtige enginge mit error Behandlung haben.
> 
> kann ich nicht bestaetigen
> moderne viren haben sehr wohl vollstaendige mail engines und wenn dich
> so ein Teil auf dem kicker hat, haste eben geloosed, schliesslich reicht
> ein relativ kleines verseuchtes botnet mit solchen viren um einem das
> Leben richtig schwer zu machen

Die habe ich noch nicht gesehen *gg grundsätzlich bis auf ganz wenige ausnahmen keine
Annahme von Mails aus DIALIN bzw. von generischen Hostnamen mit bestimmten Merkmalen im
PTR und keine unknown und keine die nicht vorwärts wie rückwärts auflösen (so restriktiv
kann leider nicht jeder sein)

> 
> > Das viele Spamversender auch immer noch nur ein fire and forget machen ist ein nettes
> > schmakerl das man die auch damit los wird.
> 
> was immer noch keinen Grund gibt planlos einfach alles greyzulisten

Hehe ich sprach nicht von allem und planlos zu greylisten! Auch das wird hier nur selektiv
eingesetzt.
Und nach vorheriger Trainingszeit mit warn_if_reject kommen die dauersender immer durch
und wenn dann einer alle Schaltjahre nur eine Mail sendet dauerts halt mal 5 - 10 min bis
das er ankommt ich sehe da kein Problem bei. 


> das kostet nur performance und verzoegert legitime mails
> es reicht voellig ip addressen die nach dyn aussehen oder unknown sind
> ins greylisting laufen zu lassen, bzw sie gleich vorher mit anderen
> Verfahren mit 550 abzuweisen ( rbls reject_unknown_reverse_hostname,
> unknown domain usw usw ),

bei mir lokale Filter wer das überlebt muß durchs Greylisting sofern er in der Liste der
toplevel steht dann durch Policyd Weight und danach erst durch 2 RBL's denen ich wirklich
vertraue das ich sage wenn die gelistet haben dann ist der junge wirklich faul oder
Beratungsresistent.

> 
> wenn man richtig zugeballert wird, will man so schnell wie moeglich den
> client abweisen selbst ein 2 connect ist dann zuviel, ich konnte das

Evtl. mal einen Fake MX 900 aufsetzen der nur 450er schmeist *gg
Da finden sich in der Regel nur die Bots drauf ein die immer den letzten Backup nehmen
weil sie denken das der am wenigsten gut geschützt ist.  

> letztendlich nur noch mit firewalling regeln  fuer mich sieht das so aus
> als waeren diese bots  voellstaendige mailserver die halt ihre
> warteschleifen abarbeiten, denn selbst nach 6 Stunden firewalling kommen
> die wieder, wie auch immer in meinem Fall, wird es wohl damit enden dass
> ich nur fuer einen domain einen eigenen mailserver brauche und dann
> massenhaft ganze netze per firewalling ausschliessen muss oder wir
> letzendlich die domain aufgeben muessen da der kosten nutzen dann
> einfach nicht mehr gegeben ist.

Für die Jungs habe ich hier fail2ban mit IPset im Einsatz das macht die IPtables sehr
übersichtlich dazu noch eine regex mit den gernerischen filtern. 
Von der Webseite her ist ebenfalls fail2ban und Adressvergifter ins PHP eingebunden.
Wer von der Startseite runtergrep hat schon mal 50 Adressen (nicht existente), wer zudem
mit bestimmten dingen im apachelog auffällt dem wird ebenfalls sofort gesperrt. Seitdem
haben die Versuche drastisch abgenommen. 


> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397




More information about the postfix-users mailing list