[postfix-users] Teergruben für Spammer

Robert Schetterer via postfix-users postfix-users at de.postfix.org
Sa Mär 22 19:49:33 CET 2014 

Am 22.03.2014 18:57, schrieb JF via postfix-users:
> Hallo,
> 
> seit meinem Serverumzug vor ein paar Tagen schau ich nun wieder öfter
> mein Logfile an.... und bin entsetzt!
> 
> Innerhalb von 2 Tagen finde ich 87 Mails von einem Botnetz welches nach
> offenen Relays sucht. Absender ist jedesmal test at live.com, Empfänger ist
> meist therichsheickc at yahoo.com.

sei mir nicht boese, aber das ist Kinderkram
87 botmails hatte ich schon per sekunde ( mit einer mini domain auf
dedizierten Server ), solange du die mails abweist ist es nur ein
kosmetisches Problem


> 
> Yahoo darüber zu informieren dürfte wenig nützen, diese Adresse ist
> schon seit mehreren Jahren Empfänger für die Botnetz-Messages.
> Interessiert Yahoo offensichtlich nicht die Bohne.

was soll denn yahoo da konkret tun, sender und empfaenger sind doch
beliebig einricht bzw faelschbar

> 
> Irgendwie nervt es mich aber auch, dass die meine Resourcen verschwenden
> und meine Logs zumüllen. Irgendwie muss man sich doch dagegen wehren.

das kann allerdings zum Problem werden, bei einem kleinen server wuerde
ich fail2ban empfehlen

ansonsten lies dir das hier mal durch

https://sys4.de/de/blog/2012/12/28/botnets-mit-rsyslog-und-iptables-recent-modul-abwehren/

> 
> Mein erster Gedanke war eine Teergrube einzurichten, um das Botnetz
> wenigstens etwas auszubremsen. Würden das alle machen, wäre der Spuk
> schnell vorbei, weil ineffektiv.

also sehr gut ist postscreen zur botabwehr

> 
> Gibt es eine Möglichkeit, alle abgewiesenen SMTP-Clients zu verzögern
> bis dieser freiwilig aufgibt? Das soll natürlich nur für die passieren,
> die nicht durch die access restrictions gekommen sind. Alle legitimen
> Mailserver sollen nicht behindert werden.
> 

du willst keinen Muell verzoegern, auch verzoegern bindet resourcen, du
willst ihn loswerden, zu deiner Frage, ich hatte solche Teergruben im
Einsatz ,hilft nix

Allerdings muss man bei der Spamabwehr immer dazusagen jeder hat seinen
eigenen Spam, deshalb sind Empfehlungen dazu nicht per se in jedes Setup
uebertragbar, du machst das also schon richtig log ansehen, und sich
dann ueberlegen welche Massnahme die Richtige ist.
Voellig loswerden wirst du diesen Botmuell nie ganz.

> 
> 
> 
> 
> _______________________________________________
> postfix-users mailing list
> postfix-users at de.postfix.org
> http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
> 



Best Regards
MfG Robert Schetterer

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein

Mehr Informationen über die Mailingliste postfix-users