[postfix-users] postfix spambot abwehr mit rsyslog iptables recent blog

Robert Schetterer rs at sys4.de
Mo Feb 4 09:48:09 CET 2013 

Am 04.02.2013 08:38, schrieb Florian Schaal:
> Unsere Ansätze unterscheiden sich m.E. nicht wesentlich.
> 
> Ich hab das mal hier gepostet: http://blog.schaal-24.de/?p=1626

ah schoen, ich werde das evtl mal querverweisen

> 
>>> >> Ich blocke solche IP aber für max. 6 Stunden über die Firewall. Das
>>> >> reicht hier in den meisten Fällen.
>> > ist bei mir nicht der Fall, ich hatte das schon vorher getestet, nicht
>> > mal 24 h waren genug, im Einzelfall, wobei bei mir die pure Masse das
>> > Hauptproblem darstellt, ich konnte eigentlich nur eine Besonderheit
>> > feststellen, die Bots werden regelmaessig noch massiver am Freitag
>> > relativ punktlich zum Ende der europaeischen Buerozeit, warum auch immer

> Ich hab das noch in zeitliche Relationen gesetzt. Das wäre wohl auch
> eher ein nice-to-know. Ich kann ja schlecht die Firewall o.ä. in
> Abhängigkeit irgendwelcher Bots gestalten - das wäre ja ein Fass ohne Boden.

nun zunaechst war ich froh , erstmal wieder logs zu haben bei der
Analyse in einer vernuenftigen Zeitspanne ueberhaupt wieder moeglich ist.

Ausserdem interesiert mich es natuerlich schon, mal dahinter zukommen
warum ausgerechnet diese Domain so beschossen wird, aber ganz ehrlich
ausser die zeitlichen Abhaengigkeiten und die Standortverteilung konnte
ich nichts konkretes belegen, dazu muesste man wohl den raw traffic
ueber laengere Zeit mitschneiden um diesen dann nach bot signaturen
zu scannen, das lohnt dann wiederum auch nur wenn man daraus weitere
adaptive Firewall regeln ableiten kann, das geht aber mehr in Richtung
intruder detection usw.

Was zeitabhaengige Firewall drops angeht wuerde ich sowas nicht
grundsaetzlich ablehnen zb ( dyn Indien Netze Freitag 15-19 Uhr immer
smtp droppen etc ), gerade bei mail waere das evtl verkraftbar
dazu muesste sich eine eindeutige periode belegen lassen und diese
muesste wiederum auch immer neu verfiziert werden.
Sicher hoher Aufwand der wie immer im Verhaeltnis stehen muss.

Das eigentlich Anwendungs Problem der iptables recent syslog Methode
ist meiner Meinung nach die Komplexitaet der syslog templates ,filter usw
hier waere ein framework zum editieren  ( evtl fuer alle gaengigen
syslog varianten ) sicher hilfreich, damit die Methode breiter
angewendet werden wuerde


> 
> Gruß
> Florian



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich

Mehr Informationen über die Mailingliste postfix-users