DDoS via Postfix

[Vitezslav Samel]

On Fri, Aug 04, 2017 at 01:56:57PM +0200, Jan Marek wrote:
> Dd,
> On Fri, Aug 04, 2017 at 10:54:33AM +0200, Tomas Macek wrote:
> > On Mon, 31 Jul 2017, Vitezslav Samel wrote:
> > > On Mon, Jul 31, 2017 at 07:19:13AM +0200, Jan Marek wrote:
> > > > Dobrý den,
> > > > 
> > > > na několika mnou spravovaných serverech jsem zaznamenal DDoS vůči
> > > > adrese 185.140.110.3. Zřejmě na ní někdo udělal spoustu A záznamů
> > > > s různými doménami, viz část fronty mého postfixu:
> > > > 
> > > > E836740067     2564 Fri Jul 28 02:24:32  MAILER-DAEMON
> > > >               (connect to dcmclaims.com[185.140.110.3]:25: Connection refused)
> > > >                                          natalie25r0wec na dcmclaims.com
> > > 
> > > [...]
> > > 
> > > > Mechanismus byl takový, že přišel mail na neexistujícího
> > > > uživatele a toto všechno byla oznámení o tom, že uživatel
> > > > neexistuje. Maily ale přicházely z jiných adres, než
> > > > z 185.140.110.3.
> > > > 
> > > > Měl by někdo nápad, jak se proti tomu bránit?
> > > 
> > > postfix 3.0+
> > > 
> > > v main.cf:
> > > smtpd_sender_restrictions =
> > > 	...
> > > 	check_sender_a_access cidr:$config_directory/blacklist_sender_cidr,
> > > 	...
> > > 
> > > v blacklist_sender_cidr:
> > > 185.140.110.3           REJECT Known spammy sender
> > > 
> > > 
> > 
> > Já mám takový dojem, že 185.140.110.3 za to nemůže, že ty maily chodí z
> > jiných IP a obsahujou návratovou mailovou adresu s doménou těch uměle
> > zřízených A záznamů. Na tom stroji pak nic neběží, takže to odmítá spojení.

  Ano samozrejme.

> přesně tak.
> 
> Napadlo mě, že by bylo šikovný tyhle maily poslat do /dev/null,
> zatím ale nevím, jak by se to dalo zařídit...

  Bud moje reseni viz vyse (je to jen docasne reseni: proste se takove maily
vubec neprijmou a chudak na te adrese bude mit o neco min pokusu o
zahajeni SMTP relace) nebo ty vadne domeny dat do transport(5):

transport:
[...]
dcmclaims.com	error:mail for dcmclaims.com is not deliverable
[...]

a pak je vsechny zkusit dorucit znovu. Toto reseni ma ale jednu
nevyhodu: kazdy takovy mail skonci u postmastera jako nedorucitelny ;-((
A jeste dalsi nevyhodu: kazdou takovou novou domenu tam je nutno dopsat.

  Dalsim spolecnym znakem tech spamu (krome domeny odesilatele,
ktera se resolvuje na adresu 185.140.110.3) je i (relativne) podobny obsah
mailu, ktery lze vhodnym regexpem odmitnout pomoci body_checks.

	Vita

> 
> > 
> > Takových mailů jsem tu měl tuny taky.
> 
> ano, tu a tam jsem promazával frontu a v jedné chvíli se mi jich
> naštosovalo skoro 200 za cca 10 min... :-(
> 
> > 
> > Tomáš
> 
> 
> Zdraví
> Honza Marek
> -- 
> Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls 
> University of South Bohemia  | nebo .ppt, prectete si, prosim,
> Academic Computer Centre     | WWW stranku uvedenou na poslednim
> Phone: +420-38-9032080       | radku signatury...
> http://www.gnu.org/philosophy/no-word-attachments.cs.html