[postfix-users] Schutz vor Mailflood

lst_hoe02 at kwsoft.de lst_hoe02 at kwsoft.de
Mi Feb 17 23:15:33 CET 2010 

Zitat von Julian Krämer <email at juliankraemer.de>:

> Hallo,
>
> seit einiger Zeit lese ich hier nun mit und habe einige interessante Tipps
> umsetzen können.
> Mein Mailserver (postfix, amavis, dovecot) funktioniert soweit  
> einwandfrei und
> ist gegen Spam und OpenRelay-Angriffe gewappnet.
> Eine Frage stellt sich mir als unerfahrener Postmaster:
> Wie kann ich meinen Server effektiv gegen Mailflood schützen? Im  
> konkreten geht
> es hierbei um reguläre E-Mails, die durch die Filter hindurch kommen.
> Ich habe mir ein kleines böses PHP-Script gebaut, womit ich eine vorgebbare
> Anzahl an E-Mails mit festlegbaren Delay an eine Adresse senden kann.
> Jetzt könnte man doch sicherlich die eintreffenden E-Mails hashen  
> und den Hash
> temporär abspeichern (Datenbank). Treffen dann neue E-Mails ein werden die
> Hashes verglichen und die überflüssigen Mails gelöscht. Soweit die Idee dazu.
> Ändert sich der Betreff oder die Nachricht (wenn auch nur  
> geringfügig) wäre die
> Idee wieder hinfällig.
> Eine Alternative wäre doch ein Limit von bspw. 5 Mails pro 2 Sekunden pro
> E-Mailadresse zu setzen. Dann besteht aber die Gefahr, dass man erwünschte
> E-Mails ignoriert, wenn von anderer Stelle gerade eine Mailflut eintrifft.
>
> Mal ganz davon abgesehen, ob oder wie die Ideen realisierbar wären:
> Gibt es einen sinnvollen Schutzmechanismus? Ist dies überhaupt üblich?
> Ziel ist es, sich vor aberwitzigen Scriptkiddies zu schützen, die  
> eben besagte
> PHP-Scripte bauen, verwenden. Ich möchte nicht eines Tages aufwachen  
> und 10000
> Mails in meiner Inbox finden.

Das einzige was üblicherweise angewendet wird sind Quotas pro Mailbox.  
Alles andere ist sowieso nur begrenzt sinnvoll, da es genügend Mittel  
und Wege gibt die Mailbox zu füllen sei es mit verteilten  
Absende-Systemen oder Rate-Limited um Abwehrlimits zu umgehen. Lange  
Rede kurzer Sinn : Üblicherweise ist davon auszugehen das der  
"Angriff" zuviele Resourcen bindet und zuwenig Schaden anrichten kann.  
Es gibt deutlich effizientere DoS Attacken, da braucht man sich um  
eine gefüllte Mailbox keine allzu großen Sorgen machen.

Gruß

Andreas

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 6397 bytes
Beschreibung: S/MIME Signatur
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20100217/b475cf38/attachment.bin>

Mehr Informationen über die Mailingliste postfix-users