[postfix-es] Miles de rechazos diarios

Hernán Agretti hagretti en yahoo.com.ar
Jue Mayo 20 15:27:26 CEST 2010 

Hola lista, primera vez que escribo. Configuré hace unos años el servidor de correo (postfix) de la facultad, durante todo este tiempo funcionó bien hasta que decidí permitir relay a usuarios autenticados por sasl. Uno de los usuarios se infectó con un virus y a partir de ahi comenzaron a haber miles de conexiones autenticadas correctamente por sasl provenientes de distintos lugares (supongo que el virus envio los datos de autenticación a alguna base de datos y luego hacía conexiones desde otro lado). Eso duró un día, cuando me di cuenta cancelé sasl y permití solo a mynetworks como antes. Todo bien, ahora el servidor rechaza todos esos intentos, pero desde ese momento hasta hoy el 99,9% de las conexiones siguen intentando ingresar autenticandose por sasl (la ip habrá quedado en alguna base de datos de virus para hacer relay).Para mostrarlo en numeros:Postfix log summaries for May 19

Grand Totals
------------
messages

    101   received
    122   delivered
      0   forwarded
      1   deferred  (1  deferrals)
      2   bounced
  74721   rejected (99%)
      0   reject warnings
     97   held
      0   discarded (0%)

      0   bytes received
   8460k  bytes delivered
      0   senders
      0   sending hosts/domains
     52   recipients
     13   recipient hosts/domains

A veces superan las 100000 conexiones rechazadas en un día, y el tráfico legítimo no supera los 500 correos diarios. La pregunta es: ¿hay alguna forma de disminuir esa cantidad de intentos? por ejemplo alguna forma de bloquear las conexiones por un periodo largo (un día) cuando se producen X intentos fallidos de conexión desde una misma ip. Y si no hay ninguna forma, otra pregunta: ¿consume una cantidad de recursos necesaria como para que me preocupe por eso? (teniendo en cuenta que el ancho de banda que tenemos es bastante pequeño, 256k de subida)Los controles que agregué ultimamente son: postgrey, helo_required, validar dominio origen y destino, listas negras y spf.Paso una parte de main.cf:
smtpd_delay_reject = nosmtpd_error_sleep_time = 5ssmtpd_soft_error_limit = 5smtpd_hard_error_limit = 10anvil_status_update_time = 600ssmtpd_helo_required = yessmtpd_helo_restrictions =        permit_mynetworks,        reject_non_fqdn_hostname,        reject_invalid_hostnamedisable_vrfy_command = yesstrict_rfc821_envelopes = yessmtpd_sender_restrictions =        reject_non_fqdn_sender,        reject_unknown_sender_domainsmtpd_recipient_restrictions =        reject_unauth_pipelining,        reject_non_fqdn_recipient,        reject_unknown_recipient_domain,        permit_mynetworks,        reject_rbl_client bl.spamcop.net,        reject_rbl_client zen.spamhaus.org,        reject_rbl_client sbl-xbl.spamhaus.org,        reject_rbl_client safe.dnsbl.sorbs.net,        reject_rbl_client cbl.abuseat.org,        reject_unauth_destination        check_policy_service inet:127.0.0.1:60000
          check_policy_service unix:private/policyd-spfpolicyd-spf_time_limit = 3600smtpd_client_connection_rate_limit = 30 (esta ultima la puse ayer para probar solamente)
Y el log, esto pasa una vez por segundo, la mayoria se rechaza por esto, aunque hay algunos miles de blocked using bl.spamcop.net (y otras), o relay_access_denied:
May 20 10:13:07 surubi postfix/smtpd[19187]: NOQUEUE: reject: EHLO from 201-13-36-35.dsl.telesp.net.br[201.13.36.35]: 504 5.5.2 <SERVIDORII>: Helo command rejected: need fully-qualified hostname; proto=SMTP helo=<SERVIDORII>



      
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://lists.wl0.org/pipermail/postfix-es/attachments/20100520/6c2e8aba/attachment-0001.html>

More information about the postfix-es mailing list