[postfix-users] postfix spambot abwehr mit rsyslog iptables recent blog

Robert Schetterer rs at sys4.de
Sa Feb 2 19:12:47 CET 2013


Am 02.02.2013 16:56, schrieb Florian Streibelt:
> Am Sa, 02.02.13 um 11:51:55 Uhr 
> schrieb Robert Schetterer <rs at sys4.de>:
> 
>> http://sys4.de/de/blog/tags/postfix/
> 
> irgendwie kann ich da leider mit chrome keinen Kommentar hinterlassen, der Klick führt immer nur wieder an den Start des Blogposts.

sorry werde ich weitergeben

> 
> Daher mal hier eine Idee/Frage...
> 
> Erstmal: Schick, die Lösung gefällt und man kann sie sicherlich gut auf weitere Dienste ausweiten, und man ist auch schön flexibel was die Behandlung angeht - nicht wie die unsäglichen hosts.allow und .deny Dateien.
> 
> 'Aber', was mich bei der Lösung 'stört' ist, dass ein einliefernder MTA der möglicherweise unbegründet auf der Liste landet, fortan in timeouts läuft und der admin dort auch nicht viel zum debuggen hat.

das ist hier tatsaechlich einkalkuliert, konkret kannst du aber in
postscreen auch whitelisten, dann schlaegt das script nicht zu

> 
> Vielleicht ist er ja Opfer eines Hacks geworden, der direkt SMTP nach draußen spricht, so dass sein maillog leer ist, etc.
> 
> Wurde mal ausprobiert statt eines DROP ein DNAT auf einen lokal laufenden Prozess zu machen, der einfach ein passendes SMTP-Banner ausliefert, also sowas wie 
> 550 - You have been blocked due to excessive SPAM from your side!
> direkt nach dem connect auf den port. 

durchaus auch eine idee, man koennte aus rsyslog heraus im Prinzip jede
Aktion ausloesen die man will, in meinem Fall will ich aber tatsaechlich
droppen ( "Opfer" nehme ich bewusst in Kauf ) , steht ja auch im blog,
es ist eine absolute Einzelfall loesung, nicht einfach nachmachen ohne
nachdenken ,defakto hatte ich aber noch keinen relevanten false postive,
man muss das aber auch in Relation setzen, die 15 Mailadressen erhalten
nicht wirklich viel legale mail von "aussen", und sein "Pappenheimer"
kennt man ueber die Jahre.

Der wirkliche Vorteil ist die Geschwindigkeit mit der man reagieren
kann, verglichen mit zb fail2ban etc, welche Faelle man filtert und ob
man whitelists etc zusaetzlich verwendet ist der Kreativitaet des Admins
ueberlassen

> 
> Ja, das belastet den IP-Stack und bindet wieder Ressourcen, aber nicht so viele wie der postfix der hier seine Regeln durchlaufen muss. Ein simples netcat oder so reicht hier ja vollkommen aus, dsa man auch per xinetd laufen lassen kann.

du kannst es ja mal so testen und feedback geben, wuerde mich freuen

ein Kollege hat mir uebrigens auch noch ein paar Verbesserungen
geschickt , die werde ich als Kommentar ungeprueft mal drunter posten
bei Gelegenheit

> 
> 
> Grüße,
>   Florian
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich


Mehr Informationen über die Mailingliste postfix-users