[postfix-es] Miles de rechazos diarios

Federico Alberto Sayd fsayd en uncu.edu.ar
Vie Mayo 21 14:56:00 CEST 2010 

Hernán Agretti escribió:
> Buenísimo, es justo lo que necesito!!!
> Muchas gracias.
>
>
>
>     Fail2ban es tu amigo. Prueba a ver que tal.
>
>     Un saludo, Sergio.
>
>     ----- Reply message -----
>     De: "Hernán Agretti" 
>     Fecha: Jue, may 20, 2010 15:27
>     Asunto: [postfix-es] Miles de rechazos diarios
>     Para: <postfix-es en lists.wl0.org>
>
>     Hola lista, primera vez que escribo. Configuré hace unos años el
>     servidor de correo (postfix) de la facultad, durante todo este
>     tiempo funcionó bien hasta que decidí permitir relay a usuarios
>     autenticados por sasl. Uno de los usuarios se infectó con un virus
>     y a partir de ahi comenzaron a haber miles de conexiones
>     autenticadas correctamente por sasl provenientes de distintos
>     lugares (supongo que el virus envio los datos de autenticación a
>     alguna base de datos y luego hacía conexiones desde otro lado).
>     Eso duró un día, cuando me di cuenta cancelé sasl y permití solo a
>     mynetworks como antes. Todo bien, ahora el servidor rechaza todos
>     esos intentos, pero desde ese momento hasta hoy el 99,9% de las
>     conexiones siguen intentando ingresar autenticandose por sasl (la
>     ip habrá quedado en alguna base de datos de virus para hacer relay).
>     Para mostrarlo en numeros:
>
>     Postfix log summaries for May 19
>
>     Grand Totals
>     ------------
>     messages
>
>         101   received
>         122   delivered
>           0   forwarded
>           1   deferred  (1  deferrals)
>           2   bounced
>       74721   rejected (99%)
>           0   reject warnings
>          97   held
>           0   discarded (0%)
>
>           0   bytes received
>        8460k  bytes delivered
>           0   senders
>           0   sending hosts/domains
>          52   recipients
>          13   recipient hosts/domains
>
>                     
>
>     A veces superan las 100000 conexiones rechazadas en un día, y el
>     tráfico legítimo no supera los 500 correos diarios. 
>     La pregunta es: ¿hay alguna forma de disminuir esa cantidad de
>     intentos? por ejemplo alguna forma de bloquear las conexiones por
>     un periodo largo (un día) cuando se producen X intentos fallidos
>     de conexión desde una misma ip. Y si no hay ninguna forma, otra
>     pregunta: ¿consume una cantidad de recursos necesaria como para
>     que me preocupe por eso? (teniendo en cuenta que el ancho de banda
>     que tenemos es bastante pequeño, 256k de subida)
>     Los controles que agregué ultimamente son: postgrey,
>     helo_required, validar dominio origen y destino, listas negras y spf.
>     Paso una parte de main.cf:
>
>     smtpd_delay_reject = no
>     smtpd_error_sleep_time = 5s
>     smtpd_soft_error_limit = 5
>     smtpd_hard_error_limit = 10
>     anvil_status_update_time = 600s
>     smtpd_helo_required = yes
>     smtpd_helo_restrictions =
>             permit_mynetworks,
>             reject_non_fqdn_hostname,
>             reject_invalid_hostname
>     disable_vrfy_command = yes
>     strict_rfc821_envelopes = yes
>     smtpd_sender_restrictions =
>             reject_non_fqdn_sender,
>             reject_unknown_sender_domain
>     smtpd_recipient_restrictions =
>             reject_unauth_pipelining,
>             reject_non_fqdn_recipient,
>             reject_unknown_recipient_domain,
>             permit_mynetworks,
>             reject_rbl_client bl.spamcop.net,
>             reject_rbl_client zen.spamhaus.org,
>             reject_rbl_client sbl-xbl.spamhaus.org,
>             reject_rbl_client safe.dnsbl.sorbs.net,
>             reject_rbl_client cbl.abuseat.org,
>             reject_unauth_destination
>             check_policy_service inet:127.0.0.1:60000  
>             check_policy_service unix:private/policyd-spf
>     policyd-spf_time_limit = 3600
>     smtpd_client_connection_rate_limit = 30 (esta ultima la puse ayer
>     para probar solamente)
>
>     Y el log, esto pasa una vez por segundo, la mayoria se rechaza por
>     esto, aunque hay algunos miles de blocked using bl.spamcop.net (y
>     otras), o
>     relay_access_denied:
>
>     May 20 10:13:07 surubi postfix/smtpd[19187]: NOQUEUE: reject: EHLO
>     from 201-13-36-35.dsl.telesp.net.br[201.13.36.35]: 504 5.5.2
>     <SERVIDORII>: Helo command rejected: need fully-qualified
>     hostname; proto=SMTP helo=<SERVIDORII>
>
>
>      
>
>
>  
> ------------------------------------------------------------------------
>
> _______________________________________________
> List de correo postfix-es para tratar temas del MTA postfix en español
> postfix-es en lists.wl0.org
> http://lists.wl0.org/mailman/listinfo/postfix-es
Yo configuré el fail2ban en conjunto con el squirrel para los envíos 
masivos de cuentas comprometidas. Tienes que entender un poco de 
expresiones regulares pero es muy configurable.

Saludos

More information about the postfix-es mailing list