Extremne zatizeny postfix
David Olszyñski
hisaak na ysoft.cz
Pondělí Leden 14 12:54:07 CET 2002
On Mon, 14 Jan 2002, Pavol Luptak wrote:
> Pavel Kankovsky wrote:
>
> > On Sat, 12 Jan 2002, David Olszynski wrote:
> >
> >
> >>Mam velice neprijemny problem a nenasel jsem zatim zadne uspokojive
> >>reseni. Na jednom serveru mam velice zatizeny postfix. V narazech tam
> >>prijde i 30 spojeni za jednu vterinu. Normalne to pak pod 5 neklesa.
> >>Skoro vzdy jde o prichozi maily pro neexistujici uzivatele (casto
> >>kvuli errors-to z ruznych spamu pro jine servery). [...]
> >>
> >
> > Nejaci zk... spammeri se rozhodli, ze budou sve sr... rozesilat s cizimi
> > adresami. Nam to take chodi, nastesti jen dve nebo tri adresy, ktere jsem
> > snadno zablokoval, a v relativne snesitelnem mnozstvi. Bohuzel veskere me
> > pokusy smerujici k tomu, aby byl pachatel dopaden a po zasluze potrestan,
> > se setkaly na mistech, kde jsem si stezoval, s nulovou reakci. Jednou
> > z velkych chyb TCP/IP je absence mechanismu, ktery by umoznil automaticky
> > pacifikovat ty uzivatele, kteri delaji bordel.
>
> maps_rbl_reject_code = 554
> maps_rbl_domains = relays.ordb.org
> smtpd_client_restrictions = hash:/etc/postfix/rbl_except_sh, reject_maps_rbl
>
> kde v rbl_except_sh su vynimky (na ktore sa restrikcie RBL nevztahuju)
>
> www.ordb.org je openrelay databaza, kde pri kazdom prihlaseni klienta,
> postfix robi jednoduchy loookup s odpovedou, ci klient patri do tejto
> databazy, alebo nie. 90% spamov pochadza zo zle nakonfigurovanych
> openrelay hostov, takze uvedene RBL je vysoko uspesne.
> Keby som mal spamy blokovat manualne, tak by som sa z toho zcvokol
>
RBL samozrejme mam (i ordb, dokonce i ten hash na uzivatele), ovsem v tu
chvili uz je pozde. Pripoji se tricet klientu a samozrejme je to vsechny
zamitne. Dalsi vterinu se ale pripoji dalsich tricet atd. Normalni maily
se na server potom vubec nedostanou (nebo dojdou s hodinovym zpozdenim),
protoze dojde k timeoutu kvuli limitu na pocet procesu postfixu. Ten uz
zvysovat nemuzu, protoze uz tak je vysoko. RBL tedy v tomto pripade
neresi temer nic. Potrebuji se takovych klientu zbavit jeste pred tim,
nez se k postfixu dostanou. Az kdyz v logu vidim, ze byl odpojen kvuli
RBL, tak dam iptables neco.
Dnes do tech pravidel zkusim zanest tu strukturu. Vysledek oznamim.
Zatim dekuji vsem za napady a rady.
David Olszynski
Další informace o konferenci Linux