Spamattacken Postfix optimieren

  • gestern hatte ich auf 2 verschiedenen Rechnern massive Spam / Malware Attacken
    das ganze wurde über mehrere hundert verschiedene IPs umgesetzt, ich nehme an das zuvor ein User Mail Passwort geknackt oder irgendwo abgefischt wurde.
    Ich habe zwar schon eine Limitierung in der main.cf aber in diesem Fall nützte es nichts ...
    Kann man den Transport so einstellen das eine Domain in einem bestimmten Zeitraum nicht mehr als X mails versenden kann bzw. hat jemand dazu noch eine bessere Idee?


    Code
    1. smtpd_recipient_limit = 50
    2. smtpd_recipient_overshoot_limit = 51
    3. smtpd_hard_error_limit = 20
    4. smtpd_client_recipient_rate_limit = 50
    5. smtpd_client_connection_rate_limit = 10
    6. smtpd_client_message_rate_limit = 25
    7. default_extra_recipient_limit = 50
    8. duplicate_filter_limit = 50
    9. default_destination_recipient_limit = 50
    10. smtp_destination_recipient_limit = $default_destination_recipient_limit
  • Hallo,


    also die Limitierung ist dann nur für Postfix gültig. Die meisten Spammails werden aber über das /sendmail/ verschickt was keine Optionen in dem Sinne bietet. Eine Möglichkeit wäre ein Wrapperscript statt Sendmail zu Postionieren und dieses dann so zu konfigurieren das nur eine bestimmte Menge an Mails verschickt werden kann. Ist jedoch eine "dirty" Lösung die ich so nicht mag.


    Die beste Methode wäre die Installation eines Mailcluster-Systems mit 2-3 Mailgateways die alle ausgehenden Mails bestimmter Kundenserver annehmen, durchchecken (virus-spam), sortieren und dann gewhitelisted zustellen. Der Proxmox Mailgateway bietet genau das was ich mir dafür vorstelle. Derzeit teste ich so einen und anderen Mailgateway in meiner Umgebung. Etwas vergleichbares und kostenloses wäre natürlich noch besser.


    Grüße
    MENKI

  • es läuft doch alles über mail queue, ist das nicht auch bei PHP mail so wenn eine Versandlimitierung besteht?
    Hier müsste man irgendwie ansetzen wenn von einer Domain z.b. mehr als 100 Mails innerhalb 10 minuten gezählt wurden
    diese dann droppen oder in das Postfach des Users schicken ...
    bei Overquota > alle weiteren Mails löschen

  • Ich würde einfach bei der entsprechenden Domain in der php.ini unter disabled_functions "mail" mit aufnehmen. Dann funktioniert der Versand per PHP nicht mehr. Muss man eben mit SMTP Auth arbeiten.

  • na ja, wenn jetzt ein CMS gehackt wurde hat der Angreifer wahrscheinlich auch die SMPT Auth gelesen ...
    aber vieleicht ein guter Ansatz ... momentan ist es so schlimm wie lange nicht mehr
    die meisten Angriffe kommen mit IPs aus RU und Ukraine, pausenlos ...
    verwende momentan realtime blocklisten über iptables ca. 35000 entrys

  • Naja, wenn es gehackt wurde würde ich die Seite vom Netz nehmen und die Ursache suchen. Ich hatte neulich auch mit ner Joomla 1.5 solch ein Problem. Kann vorkommen, wenn man "alte" Versionen verwendet und dann hab ich auch auf die 2.5 aktualisiert. Manchmal sind es irgendwelche Erweiterungen.
    Du kannst ja per iptables auch die komplette Ukraine und Russland blocken, wenn du dort keine Zugriffe erwartest.
    Dieses Script hab ich am Laufen:
    http://blog-speedy.de/iptables…blocken-china-aussperren/


    Für die Ukraine müsstest du ua und für Russland ru als Kürzel eintragen.

  • Welches cms ist auf der seite am start? Dann können auch andere diesem problem begegnen und sind gewappnet. Joomla ist ja bekannt für dieses verhalten (zumal es auf sehr vielen seiten im einsatz ist und von privaten sehr nachlässig upgedated wird - und das ist für scriptkiddies ein gefundenes fressen)


    Lg

  • Hallo,


    irgendwie habe ich den Eindruck das dieses Problem (Spammproblem auf versch. UNIX Betriebssystemen) eigentlich keiner so richtig lösen will. Eine Limitierung aller ausgehenden Mails würden die Debian Entwickler (beispielsweise) in wenigen Tagen umsetzen können. Die Nutzung von PHPMail ist nun mal praktisch und sicherlich kann es über die php.ini abgeschaltet werden aber das führt definitiv nicht zum Ziel. Das Spammen ist mittlerweile auch schon ein millionen schweres Business und viele und viele verdienen da mit.
    Einer unserer Rechenzentren limitiert das Ganze nun auf Netzwerkebene mit Filter die das Spammer völlig eindämmen. Sobald festgestellt wird das von einer Server IP vermehrt Mails rausgehen wird das Versenden dieser Mails durch Blockierung der SMTP Ports völlig blockiert. Die Spammails gehen also so nicht raus und der Spammer meidet die Nutzung solcher infizierter Systeme da die Spammails nicht rausgeschickt werden können.


    Mal schauen wie sich das Ganze nun in der Zukunft entwickelt. Tatsache ist das dieses Spamming immer schlimmer wird.


    Freundliche Grüße
    MENKI

    menkiSys Networks e.U.

  • Aber wenn ich ich nun einige Kunden auf dem Server habe die regelmäßig Newsletter versenden wird es mit einer Queue oder sonstiger Limitierung schwierig. Und die Wahrscheinlichkeit, dass jemand an die Mail-Auth-Daten kommt ist sicherlich geringer als eine Lücke in einem CMS zu finden.