[postfix-users] Schutz vor Mailflood

Uwe Driessen driessen at fblan.de
Fr Feb 19 11:41:17 CET 2010 

On Behalf Of Julian Krämer
> bis hierhin schon einmal besten Dank!
> Irgendwie hatte ich vermutet, dass man sich im Vorfeld gegen diese Art von
> Angriffen nur bedingt sinnvoll schützen kann.
> In der Manual bin ich auf den Parameter smtpd_client_connection_rate_limit
> gestoßen. In Verbindung mit Festlegung einer Zeitspanne (anvil_rate_time_unit)
> kann man damit vorgeben, wieviele Verbindungen innerhalb dieser Zeitspanne von
> einem Client aufgebaut werden dürfen. Das kommt doch meiner Absicht entgegen,
> denn wenn ich das Limit auf bspw. 2 Verbindungen pro Sekunde setze, ist eine
> Flood-Attacke in der Menge limitiert.
> Alternative könnte man die Nachrichten pro Zeiteinheit mit
> smtpd_client_message_rate_limit einstellen.
> Macht das Sinn? Gibt es Erfahrungswerte, die man dort einstellen kann?

Und bei 2 pro Sekunde verhinderst du doch nichts
Wer alle sec eine Mail schickt kann dich auch fluten.
Prüfe wie viele Einlieferungen pro Client du in der Minute bekommst.
Setze einen sinnvollen Wert mit ein bisschen Puffer nach oben und beobachte ob gewünschte
Mailserver an diese Grenzen kommen.  


> 
> Vielleicht noch ein paar Randnotizen: Es handelt sich um einen privaten
> Mailserver, der den Kopf für einige kleiner Projekte hinhalten muss. Mit den
> bereits erwähnten Script-Kiddie angriffen kann gerechnet werden, weshalb ich
> hier nach einer Lösung suche. Einen Schutz vor DoS- oder DDoS-Attacken ist
> erstmal nicht von Interesse, zumal es wohl keinen effektiven gibt.

Solltest du wirklich mal geflutet werden kannst du evtl. mit fail2ban noch etwas machen
indem du die Server die sich nicht an die Limits halten für einen Zeitraum X von der
Auslieferung ausschließt.

Das ist effektiv.


> 
> Ein weiterer Schutz würde smtpd_recipient_limit bieten, womit ich festlege,
> wieviele Empfänger für eine Nachricht erlaubt sind. Verstehe ich es richtig,
> dass damit die maximale Anzahl an CCs bzw. BCCs gemeint ist?
> 
> Angenommen ich hätte mich mit den Werten verspekuliert und es kämen erwünschte
> E-Mails nicht mehr durch. Bekommt der Versender ein Feedback, wenn einer der
> drei erwähnten Limits greift?
> 

Nö, richtige Mailserver versuchen es später noch mal. Alles andere würde ja keinen Sinn
machen da auch mal ein Mailserver unter last für bestimmte Zeit nichts annehmen kann.

Soviel kannst du dich auf einem privaten gar nicht verspekulieren 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste postfix-users