[postfix-users] postfix spambot abwehr mit rsyslog iptables recent blog

Robert Schetterer rs at sys4.de
Sa Feb 2 15:21:39 CET 2013


Am 02.02.2013 14:14, schrieb Stefan Förster:
> Hallo Robert,
> 
> * Robert Schetterer <rs at sys4.de>:
>> ich habe einen kleinen Blog geschrieben ueber
>> eine Moeglichkeit zur Spambot Abwehr mit iptables recent und rsyslog
> 
> gab es denn außer dem Wunsch, die Logs kleiner zu halten, noch einen
> anderen Grund für diese Lösung? So wie ich den Blog-Beitrag verstehe,
> lief da ja sowieso schon postscreen, was ja für die Bot-Abwehr recht
> gut funktioniert. Hattet ihr da z.B. Last- oder Latenzprobleme?
> 
> 
> Ciao
> Stefan
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> 
Hallo Stefan, es ging dabei tatsaechlich nicht darum
Spam besser zu filtern, aber man muss sich vorstellen
das wir hier von einer domain mit ca 15 mailadressen sprechen deren
Verbindungslogs taeglich manchmal in die Gb gingen.

Im Grunde war der Server ( der sicher nicht "zu klein" ist fuer seine
Aufgabe ) nicht mehr zb fuer eine schnelle log Analyse zu gebrauchen ,
und legitimer Mailverkehr wurde behindert, da die Anzahl der freien smtp
slots naturgemaess nicht beliebig steigerbar ist.
( auch eine smtp Ablehnung , warum auch immer, muss immer erstmal
generiert werden )

Man koennte es einen ddos Angriff auf smtp nennen.

Die Situation dazu hat sich bis heute dazu auch nicht veraendert, das
wird sofort deutlich wenn man das script deaktiviert.

Wie im Blog beschrieben ist das sicher ein aussergewoehnlicher Fall
an dem sich aber sehr gut die Loesung mit adaptiver Firewall ueber
rsyslog demonstrieren laesst.

Letzendlich kann man so , oder so aehnlich auch andere Applikationen
mit aehnlichen Problemen schuetzen, fuer weniger harte Faelle
reicht zb fail2ban auch aus.

Im konkreten Fall habe ich sogar nachtraeglich noch fail2ban fuer andere
Fehler wieder integriert, jetzt wo die logs wieder in einem
vernuenftigen Zeitfenster  parsbar sind, funktioniert fail2ban wieder
sehr gut.

An diesem Haertefall lassen sich aber sehr deutlich durch Analyse der
logs ablesen, dass zb die Spambots ( dieser Domain ) in aufstrebende
Laender wie Indien, Brasilien abgewandert sind ( vorher Usa, Italien,
Frankreich)
dass es wohl hauptsaechlich gehackte Windows Rechner sind ( eher keine
Ueberraschung ) , und dass man im Zweifelsfall die Bots mit keiner
Massnahme ueberzeugen kann von einer Domain abzulassen.


Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich


Mehr Informationen über die Mailingliste postfix-users