postfix a spam
pm-conf na kostax.cz
pm-conf na kostax.cz
Čtvrtek Květen 28 14:42:00 CEST 2015
Dobry den,
ja to resim podobne:
1) monitoruji velikost mailove fronty postfixu/sendmailu a pri vyraznem
zvyseni jdu resit
2) limituji pocet zprav z jedne IP (podobne jako Vy)
3) v php.ini jde nastavit log pro funkci phpmail. Diky tomu mate
prehled, ktery web a konkretni skript je prostreleny a spamuje
4) antispam kontrolou prochazi i vsechny maily od mych uzivatelu/serveru
a nemam ve spamassassinu nastavene zadne IP, kterym verim. Takze pak muj
antispam je schopen chytat i spamy generovane na me strane (neni to ale
na 100%). I tohle pomaha, protoze kazdy mail je kontrolovat, coz zabere
nejaky cas. Protoze stihne takto odbavit jen x mailu za minutu, tak
nesirite spamy tak rychle
No a kdyz uz se tohle stane a koncim na blacklistu (i to se bohuzel
stane, ukradeni smtp udaju s klienta se stava nekolikrat tydne), tak mam
v zaloze dalsi verejne IP adresy a prehodim odesilani na jinou IP, ktera
neni na blacklistu (a ma samozrejme PTRko).
Petr Macek
Dne 28.5.2015 v 14:30 Jan Novacek napsal(a):
> Dobrý den,
> 28. května 2015, 13:41:13, napsal jste:
>
> fail2ban znám, ale řeší jen to, když se někdo pokouší o slovníkový
> útok proti mému serveru.
>
> Pokud heslo někde odposlechl (pripadne je primo zavirovane pc s
> nastaveným MSA), nebo to jede pres zavirovaný web, potom
> spam zastavit automaticky neumím.
>
> Tyto ostatni udalosti resite jak?
>
>
> Děkuji
> Honza
>
>> Dobrý den,
>
>> proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
>> doporučuju fail2ban.
>
>> Funguje tak, že si ve specifikovaných log souborech vybírá vzory
>> neúspěšného přihlášení a po nastaveném počtu neúspěšného
>> přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
>> dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
>> recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
>> daný den 3x (dá se nastavit), zabanuje ji např. na týden.
>
>> Je to v podstatě docela jednoduché řešení, dají se nadefinovat
>> filtry i na další specifické útoky apod... Výhodou je, že
>> pracujete s aplikační vrstvou a ne s počtem packetů...
>
>> Zdraví
>> Jan Marek
>
>> On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
>>> Preji hezky den,
>>> spravuji postovni server Postfix a trapi me spam.
>>> Kazdou chvili pres muj server nejaky jde a musim to likvidovat
>>> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
>>>
>>> Kratka verze dotazu - jak toto resite vy?
>>>
>>>
>>> Delsi verze dotazu:
>>> spamy mi chodi pres a) zavirovany web (musim zajistovat php mail,
>>> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
>>>
>>> Zatim to resim tak, ze povoluji v Postfixu jednomu uzivateli poslat
>>> napr. max. 10 mailu za minutu.
>>> Jakmile se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
>>> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
>>>
>>> Chtel jsem to resit jiz na urovni iptables.
>>> Mam ted spusteny skript, ktery mi pocita pakety na jednotlivych
>>> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
>>> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
>>> 5 minut na jednotlivých portech. Potom tyto cisla pouziji a pomoci
>>> recent modulu do iptables budu umet identifikovat a zastavovat
>>> podezrele chovani, jednoduse a pro cely server najednou.
>>>
>>> Jenze to bud takto delat nelze nebo to delam spatne.
>>> Mam korektni IP adresu (tj. neutocici, běžný uživatel), který má za
>>> těch 5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
>>> o slovnikovy utok.
>>>
>>> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
>>> Napadlo me reseni nasadit druhy postfix na jinem portu. Tomu
>>> soucasnemu na 25 zakazat localhost. Novy postfix na portu 2525
>>> limitovat nejak jinak nez ten stavajici.
>>>
>>>
>>> Díky za kazde nakopnuti,
>>> Honza
>>>
>>> _______________________________________________
>>> Linux mailing list
>>> Linux na linux.cz
>>> http://www.linux.cz/mailman/listinfo/linux
>
>
>
>
Další informace o konferenci Linux