postfix a spam

Jan Novacek konference na cimboraservis.cz
Sobota Květen 30 15:51:50 CEST 2015 

Dobrý den,
28. května 2015, 14:42:00, napsal jste:

tak to resime temer identicky se stejnymi dusledky :-)
Jen 4)´nedelam protože se SA obcas splete

Tenhle stav se mi ale nechce stále dokola resit.
Uz jsem z toho unavený, hledam způsob jak to více eliminovat.

Ma zde nekdo dalsi doporuceni?

Honza


> Dobry den,
> ja to resim podobne:
> 1) monitoruji velikost mailove fronty postfixu/sendmailu a pri vyraznem
> zvyseni jdu resit
> 2) limituji pocet zprav z jedne IP (podobne jako Vy)
> 3) v php.ini jde nastavit log pro funkci phpmail. Diky tomu mate 
> prehled, ktery web a konkretni skript je prostreleny a spamuje
> 4) antispam kontrolou prochazi i vsechny maily od mych uzivatelu/serveru
> a nemam ve spamassassinu nastavene zadne IP, kterym verim. Takze pak muj
> antispam je schopen chytat i spamy generovane na me strane (neni to ale
> na 100%). I tohle pomaha, protoze kazdy mail je kontrolovat, coz zabere
> nejaky cas. Protoze stihne takto odbavit jen x mailu za minutu, tak 
> nesirite spamy tak rychle

> No a kdyz uz se tohle stane a koncim na blacklistu (i to se bohuzel 
> stane, ukradeni smtp udaju s klienta se stava nekolikrat tydne), tak mam
> v zaloze dalsi verejne IP adresy a prehodim odesilani na jinou IP, ktera
> neni na blacklistu (a ma samozrejme PTRko).

> Petr Macek

> Dne 28.5.2015 v 14:30 Jan Novacek napsal(a):
>> Dobrý den,
>> 28. května 2015, 13:41:13, napsal jste:
>>
>> fail2ban  znám,  ale  řeší  jen to, když se někdo pokouší o slovníkový
>> útok proti mému serveru.
>>
>> Pokud   heslo   někde  odposlechl  (pripadne  je primo zavirovane pc s
>> nastaveným MSA), nebo to jede pres zavirovaný web, potom
>> spam zastavit automaticky neumím.
>>
>> Tyto ostatni udalosti resite jak?
>>
>>
>> Děkuji
>> Honza
>>
>>> Dobrý den,
>>
>>> proti slovníkovým útokům - a to jak na SMTP, ssh, POP3 apod. -
>>> doporučuju fail2ban.
>>
>>> Funguje tak, že si ve specifikovaných log souborech vybírá vzory
>>> neúspěšného přihlášení a po nastaveném počtu neúspěšného
>>> přihlášení z nějaké adresy tuto adresu zabanuje na nastavenou
>>> dobu (třeba na 1 hodinu) pomocí iptables. Používám ještě tzv.
>>> recidive "jail" - ten funguje tak, že pokud danou adresu zabanuje
>>> daný den 3x (dá se nastavit), zabanuje ji např. na týden.
>>
>>> Je to v podstatě docela jednoduché řešení, dají se nadefinovat
>>> filtry i na další specifické útoky apod... Výhodou je, že
>>> pracujete s aplikační vrstvou a ne s počtem packetů...
>>
>>> Zdraví
>>> Jan Marek
>>
>>> On Thu, May 28, 2015 at 11:47:30AM +0200, Jan Novacek wrote:
>>>> Preji hezky den,
>>>> spravuji postovni server Postfix a trapi me spam.
>>>> Kazdou  chvili  pres  muj  server  nejaky  jde  a  musim to likvidovat
>>>> manualne. Kdyz to neudelam dostatecne rychle, koncim na blacklistu.
>>>>
>>>> Kratka verze dotazu - jak toto resite vy?
>>>>
>>>>
>>>> Delsi verze dotazu:
>>>> spamy   mi  chodi  pres  a) zavirovany web (musim zajistovat php mail,
>>>> weby nejsou moje), b) pres smtp po ukradenem nebo uhodnutem hesle
>>>>
>>>> Zatim  to  resim  tak, ze povoluji v Postfixu jednomu uzivateli poslat
>>>> napr. max. 10 mailu za minutu.
>>>> Jakmile  se zacne tvorit vetsi fronta zjistuji co se deje a podle toho
>>>> jednam (zmena hesla k uctu, zastavení webu, blokovani zlobive IP)
>>>>
>>>> Chtel jsem to resit jiz na urovni iptables.
>>>> Mam  ted  spusteny  skript,  ktery  mi  pocita  pakety na jednotlivych
>>>> portech. (zajimaji me porty pro pop3,imap,ftp, ssh)
>>>> Sliboval jsem si od toho, ze zjistim kolik paketu udela 1 IP adresa za
>>>> 5  minut  na  jednotlivých  portech. Potom tyto cisla pouziji a pomoci
>>>> recent  modulu  do  iptables  budu  umet  identifikovat  a  zastavovat
>>>> podezrele chovani, jednoduse a pro cely server najednou.
>>>>
>>>> Jenze to bud takto delat nelze nebo to delam spatne.
>>>> Mam  korektni  IP  adresu (tj. neutocici, běžný uživatel), který má za
>>>> těch  5 minut napocitano vice paketu nez IP adresa, ktera se pokousela
>>>> o slovnikovy utok.
>>>>
>>>> Zavirovany web posilajici pres php mail z localhostu je druhy problem.
>>>> Napadlo   me   reseni  nasadit  druhy  postfix  na  jinem  portu. Tomu
>>>> soucasnemu  na  25  zakazat  localhost.  Novy  postfix  na  portu 2525
>>>> limitovat  nejak jinak nez ten stavajici.
>>>>
>>>>
>>>> Díky za kazde nakopnuti,
>>>> Honza

Další informace o konferenci Linux