[postfix-users] [OT] Re: Postfix lasst mail ohne From zu.

Robert Schetterer robert at schetterer.org
Mi Apr 29 15:37:09 CEST 2009


Uwe Driessen schrieb:
> On Behalf Of Robert Schetterer
>> Uwe Driessen schrieb:
>>> On Behalf Of Robert Schetterer
>> also grundsaetzlich hat jeder seinen eigenen spam, bots etc
>> vergleiche sind also kaum moeglich, ich hab hier eine 3 Buchstaben
>> domain, die wird pro Stunde mit bis zu 500000 bot conects zugeballert
>> ich hab da jedes bekannte verfahren schon ausprobiert ( seit Jahren )
>> ich versichere dir, es gibt massenhaft bots die greylisting ueberwinden
>> es ist reine glueckssache dass die deine domain nicht zubomben
>> alles andere ist reine spekulation
> 
> Das ist richtig deswegen muß jeder seinen eigenen Weg finden.
> Ich würde mir ne andere Domain zulegen *gg

bloede Sache wenn die domain wie die Firma heisst
Aenderungen von Adressen mail aber auch physikalisch
kosten immer Geld und Zeit , zb im dns , auf Briefkoepfen etc
aber wie gesagt ich erwaege das schon

> 
> Davon abgesehen warum haben die dich denn so auf dem Kicker warst du böse? 
> Wer versucht denn einzuliefern in der Hauptsache DIALIN? 

tja spekuliere ich auch mal, erstens sind 3 Buchstaben als domain
leicht zu tippen, 2. es gibt darueber hinaus Namensaehnlichkeiten zu
Firmen und Organisationen, die international sehr gross sind gute
Reputation haben
oder sich selbst mit Antispam software beschaeftigen, drittens die
Domain ist fast so alt wie das Internet, 4 frueher gab es, weil spam
noch kein Problem war, open relays auf dieser Domain
such dir was aus, ich hab die Situation so schon vorgefunden

klar dialins aber halt leider weltweit verteilt
und um das klarzustellen die chinesen sind bei weitem nicht die
schlimmsten, das groh kommt aus den usa und suedamerika polen russland
switched aber auch manchmal, alternativ wars auch schon mal so
das nicht die bots das Problem waren sondern die backscatter
darauf , intersant war dass wohl das halb russland
( und hier etliche niederlassungen von deutschen Firmen )
ihre mailserver falsch konfiguert hatten also erst annehmen
und dann bouncen , verify etc,
ich hab dann in den reject eine Zeilenweise Anleitung reingemacht wie es
eigentlich richtig zu machen waere
das hat erstaunlicherweise dann sogar etwas geholfen *g

> 
>>> Aber das wichtigste was Graylisting macht ist verhindern das sich selbst versendende
>> Viren
>>> sich verbreiten da diese zu 99% keine richtige enginge mit error Behandlung haben.
>> kann ich nicht bestaetigen
>> moderne viren haben sehr wohl vollstaendige mail engines und wenn dich
>> so ein Teil auf dem kicker hat, haste eben geloosed, schliesslich reicht
>> ein relativ kleines verseuchtes botnet mit solchen viren um einem das
>> Leben richtig schwer zu machen
> 
> Die habe ich noch nicht gesehen *gg grundsätzlich bis auf ganz wenige ausnahmen keine
> Annahme von Mails aus DIALIN bzw. von generischen Hostnamen mit bestimmten Merkmalen im
> PTR und keine unknown und keine die nicht vorwärts wie rückwärts auflösen (so restriktiv
> kann leider nicht jeder sein)

ich mach das kommerziell fuer ca 20000 mailadressen, ohne reverse geht
nix , gmx macht das auch , da gibts vieleicht einmal im Monat was
whitezulisten also kein Problem geht durchaus und wird auch akzeptiert
es ist ja nicht so dass eine reject mit cannot find your reverse hostname
keine vernuenftige Antwort waere, aus der man nicht auf sein Problem
schliesen kann, der Rest der rejects muss halt intelligent kaskadiert
werden, dann gibts so gut wie keine Probleme

und mal ganz klar , wer was anderes will , dem verkaufe ich gerne
einen root server auf dem er selbst das erledigen kann

> 
>>> Das viele Spamversender auch immer noch nur ein fire and forget machen ist ein nettes
>>> schmakerl das man die auch damit los wird.
>> was immer noch keinen Grund gibt planlos einfach alles greyzulisten
> 
> Hehe ich sprach nicht von allem und planlos zu greylisten! Auch das wird hier nur selektiv
> eingesetzt.

gut!!!

> Und nach vorheriger Trainingszeit mit warn_if_reject kommen die dauersender immer durch
> und wenn dann einer alle Schaltjahre nur eine Mail sendet dauerts halt mal 5 - 10 min bis
> das er ankommt ich sehe da kein Problem bei. 

richtig kein Problem

> 
> 
>> das kostet nur performance und verzoegert legitime mails
>> es reicht voellig ip addressen die nach dyn aussehen oder unknown sind
>> ins greylisting laufen zu lassen, bzw sie gleich vorher mit anderen
>> Verfahren mit 550 abzuweisen ( rbls reject_unknown_reverse_hostname,
>> unknown domain usw usw ),
> 
> bei mir lokale Filter wer das überlebt muß durchs Greylisting sofern er in der Liste der
> toplevel steht dann durch Policyd Weight und danach erst durch 2 RBL's denen ich wirklich
> vertraue das ich sage wenn die gelistet haben dann ist der junge wirklich faul oder
> Beratungsresistent.

klingt nach intelligenter kaskade

> 
>> wenn man richtig zugeballert wird, will man so schnell wie moeglich den
>> client abweisen selbst ein 2 connect ist dann zuviel, ich konnte das
> 
> Evtl. mal einen Fake MX 900 aufsetzen der nur 450er schmeist *gg
> Da finden sich in der Regel nur die Bots drauf ein die immer den letzten Backup nehmen
> weil sie denken das der am wenigsten gut geschützt ist.  

*rofl, alles schon implementiert
hilft alles ein wenig, aber nicht wirklich

> 
>> letztendlich nur noch mit firewalling regeln  fuer mich sieht das so aus
>> als waeren diese bots  voellstaendige mailserver die halt ihre
>> warteschleifen abarbeiten, denn selbst nach 6 Stunden firewalling kommen
>> die wieder, wie auch immer in meinem Fall, wird es wohl damit enden dass
>> ich nur fuer einen domain einen eigenen mailserver brauche und dann
>> massenhaft ganze netze per firewalling ausschliessen muss oder wir
>> letzendlich die domain aufgeben muessen da der kosten nutzen dann
>> einfach nicht mehr gegeben ist.
> 
> Für die Jungs habe ich hier fail2ban mit IPset im Einsatz das macht die IPtables sehr
> übersichtlich dazu noch eine regex mit den gernerischen filtern. 
> Von der Webseite her ist ebenfalls fail2ban und Adressvergifter ins PHP eingebunden.
> Wer von der Startseite runtergrep hat schon mal 50 Adressen (nicht existente), wer zudem
> mit bestimmten dingen im apachelog auffällt dem wird ebenfalls sofort gesperrt. Seitdem
> haben die Versuche drastisch abgenommen. 

alles schon implementiert
hilft alles ein wenig, aber nicht wirklich

die Anzahl der Bots und connects ist einfach zu gross
da kommt man selbst mit fail2ban nicht mehr wirklich weiter
anfaenglich hatte es sich selbst sogar abgefackelt
weil es schlichtweg mit dem parsen des logs nicht hinterher kam

ich hab auch andere mailserver , domains,
bei denen die gaengigen Verfahren gut anschlagen
und der Spam in letzter Zeit sogar erheblich zurueckgegangen ist

aber wie geschildert kann man daraus eben keinen Trend
ableiten, tatsache ist dass es eben durchaus botnetze gibt
die intelligent und gross genug sind um erheblichen Aerger
zu verbreiten und die saemtliche STandart Abwehrverfahren entweder durch
technische Raffinaesse oder schlichtweg durch Masse kontern koennen

> 
> 
> 
> 
> Mit freundlichen Grüßen
> 
> Drießen
> 


-- 
Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria


More information about the postfix-users mailing list