[postfix-users] massiver spam Anstieg

Robert Schetterer robert at schetterer.org
Di Mai 19 18:56:01 CEST 2009 

Uwe Driessen schrieb:
> On Behalf Of Robert Schetterer
>> Heiko Wundram schrieb:
>>> On Tuesday 19 May 2009 15:38:39 Robert Schetterer wrote:
>>>> hi @ll, mal kleine Umfrage
>>>> ich sehe derzeit ( seit heut morgen ) auf allen von mir betreuten
>>>> Mailservern einen massiven
>>>> Anstieg des spam aufkommens bzw Anstieg der rejects deswegen
>>>> ich spekuliere auf ein Amok laufendes Bot Netz
>>>> wie siehts bei euch aus ?
>>> Ich habs zeitlich noch nicht näher eingegrenzt (sprich: wann's angefangen
>>> hat), aber, ja, ich sehe das selbe, auf allen von mir/uns betreuten
>>> Mailservern.
>>>
>>> Lustigerweise bauen die Bots anscheinend immer so vier bis acht gleichzeitige
>>> Verbindungen zu einem Mailserver auf, und stellen über jede der parallel
>>> offenen Verbindungen immer nur an eine Zieladdresse zu (aber mit
>>> unterschiedlichen Absendeaddressen).
>> jo so siehts bei mir auch aus
> 
> Ca. 10% mehr aber nichts außergewöhnliches, liegt noch in den normalen Schwankungen 
> Allerdings auch auf mehrfach Einlieferungsversuche bzw. gleichzeitige Verbindungen
> zurückzuführen in der Hauptsache von unknown und Dialin  
> 
>>> Ich denk eher nicht, dass es was mit Amok zu tun hat, sondern dass da jemand
>>> probiert, Mailserver zu "überlasten" (dadurch, dass z.B. amavis/welcher Filter
>>> auch immer nur eine bestimmte Menge an Mails gleichzeitig behandelt), und sich
>>> damit Chancen erhofft, Mails durchzukriegen, wenn der Filter so konfiguriert
>>> ist, dass Mails "über dem Limit" ohne Test zugestellt und nicht mit einem 400-
>>> er Fehler quittiert werden (was man durchaus findet).
>>>
>>> Aber: Keine Ahnung, was unsere lieben Spammer zur Zeit wieder probieren...
>>>
>> tja keine Ahnung, man koennte zu Verschwoerungstherorie
>> noch die Spekulation auf die kuerzlich gefundene cyrus sasl Luecke
>> hinzufuegen *g
>>
> 
> Welche sasl Lücke denn (habs ja nicht mehr im Einsatz gezwungener maßen umgestellt)
> 

guggst du
http://www.heise.de/newsticker/Sicherheits-Update-fuer-Authentifizierungsframework-Cyrus-SASL--/meldung/138021

> 
> Mit freundlichen Grüßen
> 
> Drießen
> 


-- 
Best Regards

MfG Robert Schetterer

Germany/Munich/Bavaria

Mehr Informationen über die Mailingliste postfix-users