postfix a spam

pm-conf na kostax.cz pm-conf na kostax.cz
Čtvrtek Květen 28 14:42:00 CEST 2015


Dobry den,
ja to resim podobne:
1) monitoruji velikost mailove fronty postfixu/sendmailu a pri vyraznem 
zvyseni jdu resit
2) limituji pocet zprav z jedne IP (podobne jako Vy)
3) v php.ini jde nastavit log pro funkci phpmail. Diky tomu mate 
prehled, ktery web a konkretni skript je prostreleny a spamuje
4) antispam kontrolou prochazi i vsechny maily od mych uzivatelu/serveru 
a nemam ve spamassassinu nastavene zadne IP, kterym verim. Takze pak muj 
antispam je schopen chytat i spamy generovane na me strane (neni to ale 
na 100%). I tohle pomaha, protoze kazdy mail je kontrolovat, coz zabere 
nejaky cas. Protoze stihne takto odbavit jen x mailu za minutu, tak 
nesirite spamy tak rychle

No a kdyz uz se tohle stane a koncim na blacklistu (i to se bohuzel 
stane, ukradeni smtp udaju s klienta se stava nekolikrat tydne), tak mam 
v zaloze dalsi verejne IP adresy a prehodim odesilani na jinou IP, ktera 
neni na blacklistu (a ma samozrejme PTRko).

Petr Macek

Dne 28.5.2015 v 14:30 Jan Novacek napsal(a):
> Dobrý den,
> 28. května 2015, 13:41:13, napsal jste:
>
> fail2ban  znám,  ale  řeší  jen to, když se někdo pokouší o slovníkový
> útok proti mému serveru.
>
> Pokud   heslo   někde  odposlechl  (pripadne  je primo zavirovane pc s
> nastaveným MSA), nebo to jede pres zavirovaný web, potom
> spam zastavit automaticky neumím.
>
> Tyto ostatni udalosti resite jak?
>
>
> Děkuji
> Honza
>
>> Dobrý den,
>
>> proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
>> doporučuju fail2ban.
>
>> Funguje tak, že si ve specifikovaných log souborech vybírá vzory
>> neúspěšného přihlášení a po nastaveném počtu neúspěšného
>> přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
>> dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
>> recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
>> daný den 3x (dá se nastavit), zabanuje ji např. na týden.
>
>> Je to v podstatě docela jednoduché řešení, dají se nadefinovat
>> filtry i na další specifické útoky apod... Výhodou je, že
>> pracujete s aplikační vrstvou a ne s počtem packetů...
>
>> Zdraví
>> Jan Marek
>
>> On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
>>> Preji hezky den,
>>> spravuji postovni server Postfix a trapi me spam.
>>> Kazdou  chvili  pres  muj  server  nejaky  jde  a  musim to likvidovat
>>> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
>>>
>>> Kratka verze dotazu - jak toto resite vy?
>>>
>>>
>>> Delsi verze dotazu:
>>> spamy   mi  chodi  pres  a) zavirovany web (musim zajistovat php mail,
>>> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
>>>
>>> Zatim  to  resim  tak, ze povoluji v Postfixu jednomu uzivateli poslat
>>> napr. max. 10 mailu za minutu.
>>> Jakmile  se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
>>> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
>>>
>>> Chtel jsem to resit jiz na urovni iptables.
>>> Mam  ted  spusteny  skript,  ktery  mi  pocita  pakety na jednotlivych
>>> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
>>> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
>>> 5  minut  na  jednotlivých  portech. Potom tyto cisla pouziji a pomoci
>>> recent  modulu  do  iptables  budu  umet  identifikovat  a  zastavovat
>>> podezrele chovani, jednoduse a pro cely server najednou.
>>>
>>> Jenze to bud takto delat nelze nebo to delam spatne.
>>> Mam  korektni  IP  adresu (tj. neutocici, běžný uživatel), který má za
>>> těch  5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
>>> o slovnikovy utok.
>>>
>>> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
>>> Napadlo   me   reseni  nasadit  druhy  postfix  na  jinem  portu. Tomu
>>> soucasnemu  na  25  zakazat  localhost.  Novy  postfix  na  portu 2525
>>> limitovat  nejak jinak nez ten stavajici.
>>>
>>>
>>> Díky za kazde nakopnuti,
>>> Honza
>>>
>>> _______________________________________________
>>> Linux mailing list
>>> Linux na linux.cz
>>> http://www.linux.cz/mailman/listinfo/linux
>
>
>
>


Další informace o konferenci Linux