[postfix-users] postfix spambot abwehr mit rsyslog iptables recent blog

Florian Schaal mailinglist at schaal-24.de
Mo Feb 4 08:38:18 CET 2013 

Hallo Robert,

Am 03.02.2013 17:14, schrieb Robert Schetterer:

>> Gefällt mir gut und passt auch ziemlich genau zu meiner Lösung mit
>> syslog-ng. Auch wenn ich dabei keine Pipe brauche, sondern die IP direkt
>> die Firewall eintragen kann. K.A. ob rsyslog das auch kann.
> 
> Hi Florian, direkt ist natuerlich der Koenigsweg
> wir haben das damals aus Zeitmangel nicht getestet
> wobei ein script das eine pipe liest evtl auch noch die Moeglichkeit gibt
> zusaetzlich etwas einzubinden ,wenn gewuenscht

Ich verwende Scripts nur für andere Bans, um dadurch eine Whitelist
realisieren zu können. Das läuft dann aber nicht über eine Pipe, sondern
ein Script wird dazu von syslog-ng aufgerufen. Einen Grund gibts dafür
allerdings nicht, das ist historisch so gewachsen. ;)

Der Vorteil an der Lösung syslogd/recent ist m.E. dass sich darüber
schneller als über fail2ban blocken lässt. Zumal f2b doch arg Last
produziert, wenn zu viele Logeinträge auflaufen. Ich verwende fast nur
noch recent.

>> Mal schauen, wenn ich es zeitlich schaffe, publiziere ich meinen Ansatz
>> am Montag.
> wuerde mich sehr freuen, mir ist voellig klar das mein Ansatz
> bei weitem nicht perfekt war , aber er ist fuer diesen Einzelfall gut
> genug gewesen

Unsere Ansätze unterscheiden sich m.E. nicht wesentlich.

Ich hab das mal hier gepostet: http://blog.schaal-24.de/?p=1626

>> Ich blocke solche IP aber für max. 6 Stunden über die Firewall. Das
>> reicht hier in den meisten Fällen.
> ist bei mir nicht der Fall, ich hatte das schon vorher getestet, nicht
> mal 24 h waren genug, im Einzelfall, wobei bei mir die pure Masse das
> Hauptproblem darstellt, ich konnte eigentlich nur eine Besonderheit
> feststellen, die Bots werden regelmaessig noch massiver am Freitag
> relativ punktlich zum Ende der europaeischen Buerozeit, warum auch immer

Ich hab das noch in zeitliche Relationen gesetzt. Das wäre wohl auch
eher ein nice-to-know. Ich kann ja schlecht die Firewall o.ä. in
Abhängigkeit irgendwelcher Bots gestalten - das wäre ja ein Fass ohne Boden.

Gruß
Florian

Mehr Informationen über die Mailingliste postfix-users