/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
postfix - hvordan stoppes spambølge mod re~
Fra : T


Dato : 09-11-06 15:27

Jeg har en postfix -server stående bag en firewall (FW = 1.1).

I de seneste to dage har den været under beskydning fra noget der
(måske) er fra Taiwan ?

F.eks. følgende loglinier, som kommer ca 1-5 gange i sekundet.

Nov 9 15:16:03 mail postfix/smtpd[13625]: NOQUEUE: reject: RCPT from
unknown[192.168.1.1]: 554 <cola000tw@yahoo.com.tw>: Relay access denied;
from=<82625@msa.hinet.net> to=<cola000tw@yahoo.com.tw> proto=SMTP helo=
<vores ip>

Nov 9 15:16:03 mail postfix/smtpd[12535]: NOQUEUE: reject: RCPT from
unknown[192.168.1.1]: 554 <coffee2531@yahoo.com.tw>: Relay access denied;
from=<82759@msa.hinet.net> to=<coffee2531@yahoo.com.tw> proto=SMTP helo=
<vores ip>

Nov 9 15:16:04 mail postfix/smtpd[12527]: NOQUEUE: reject: RCPT from
unknown[192.168.1.1]: 554 <ahoo_ha@yahoo.com.tw>: Relay access denied;
from=<82548@msa.hinet.net> to=<ahoo_ha@yahoo.com.tw> proto=SMTP helo=<vores
ip>



Hvordan kan jeg stoppe den trafik ? Jeg kan ikke rigtigt lure hvor den er
fra, og hvordan det skal stoppes ?

Helo command er vores externe IP nummer,


Der er jo ikke åbent relay, det er fint nok, men mailserveren bliver
langsom at arbejde med.

What to do ?


 
 
Mogens Kjaer (09-11-2006)
Kommentar
Fra : Mogens Kjaer


Dato : 09-11-06 15:37

T wrote:
> Jeg har en postfix -server stående bag en firewall (FW = 1.1).
>
....
> Nov 9 15:16:03 mail postfix/smtpd[13625]: NOQUEUE: reject: RCPT from
> unknown[192.168.1.1]: 554 <cola000tw@yahoo.com.tw>: Relay access denied;
> from=<82625@msa.hinet.net> to=<cola000tw@yahoo.com.tw> proto=SMTP helo=
> <vores ip>

Kan du på firewall'en se fra hvilken IP adresse mailen kommer fra?

Så kan du måske blokere trafik fra denne adresse?

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

T (09-11-2006)
Kommentar
Fra : T


Dato : 09-11-06 15:56

Mogens Kjaer <mk@crc.dk> wrote in news:45533D02.3000404@crc.dk:

> Kan du på firewall'en se fra hvilken IP adresse mailen kommer fra?
>
> Så kan du måske blokere trafik fra denne adresse?

Desværre, det kan vi ikke lige få succes med. Men det er måske den eneste
løsning. Ellers holder det vel op efter et stykke tid ?




Kent Friis (09-11-2006)
Kommentar
Fra : Kent Friis


Dato : 09-11-06 17:22

Den 09 Nov 2006 14:56:01 GMT skrev T:
> Mogens Kjaer <mk@crc.dk> wrote in news:45533D02.3000404@crc.dk:
>
>> Kan du på firewall'en se fra hvilken IP adresse mailen kommer fra?
>>
>> Så kan du måske blokere trafik fra denne adresse?
>
> Desværre, det kan vi ikke lige få succes med. Men det er måske den eneste
> løsning. Ellers holder det vel op efter et stykke tid ?

hosts.deny, firewall, upstream router... Hvis ingen af dem løser
problemet: Baseball-bat + flybillet.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

peter volsted peders~ (09-11-2006)
Kommentar
Fra : peter volsted peders~


Dato : 09-11-06 17:47

hi

> Kent Friis wrote:
----- snip

> hosts.deny, firewall, upstream router... Hvis ingen af dem løser
> problemet: Baseball-bat + flybillet.
>

I Fedoras extras-repository findes denyhosts - et smart, konfigurabelt
pythonscript, der hos mig efter godt et års brug genkender og blokerer
for godt 280 hosts, hovedsagelig asiatiske.


--
good luck

peter

Klaus Ellegaard (09-11-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 09-11-06 17:53

T <myicqKATTE@bakkegmx.net> writes:

>Desværre, det kan vi ikke lige få succes med. Men det er måske den eneste
>løsning. Ellers holder det vel op efter et stykke tid ?

Det holder nok op en dag. Som udgangspunkt er det jo også ligemeget.

Mvh.
   Klaus.

Michael Rasmussen (10-11-2006)
Kommentar
Fra : Michael Rasmussen


Dato : 10-11-06 00:07

T skrev:

> Helo command er vores externe IP nummer,

Så kan du med fordel blokere via HELO-filtrering så tidligt i forløbet
som muligt, og derved sparer serveren fra at bruge alt for meget energi
på den slags e-mails.

Det kræver lidt dybere viden om opsætningen, og til det kan jeg anbefale
et kig på følgende vejledning: <URL:
http://www.freesoftwaremagazine.com/articles/focus_spam_postfix/ >

Men kort fortalt kan du lave noget ala dette i din main.cf:

smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_helo_restrictions =
   permit_mynetworks,
   check_helo_access hash:/usr/local/etc/postfix/helo_access,
   reject_non_fqdn_hostname,
   reject_invalid_hostname,
   permit

Som sagt bør du læse førnævnte vejledning grundigt, før du tager dette i
brug, så du forstår hvad hver enkelt linje gør. I vejledningen fremgår
der også andre gode råd til spam håndtering.

Det som ovenstående konfiguration gør, er, at filtrere de klienter fra,
som ikke angiver en korrekt HELO. Samtidig peger check_helo_access på en
ekstern opslagstabel, hvor du manuelt kan afvise det du ved er direkte
forkert, eksempelvis din egen ip-adresse.

Eksempel på indhold i helo_access filen (Husk, at filen skal "compiles"
med postmap):

# Nogen HELO'er med vores IP-adresse?
<din_eksterne_ip>   REJECT You are not <din_eksterne_ip>

# Nogen HELO'er med "localhost"? Umuligt, dette er "localhost"
localhost      REJECT You are not me

# Hvis du kun har én server der sender e-mails for dit domæne
mitdomain.dk      REJECT You are not in mitdomain.dk

Det er simpelt, men alligevel rimelig effektivt i bekæmpelsen af spam.
Jeg har fanget mange SPAM-mails allerede på HELO-niveau, og jeg har ikke
oplevet reelle e-mails blive stoppet af dette, men man kan selvfølgelig
aldrig sige aldrig. Jeg vil dog kalde det en dårligt opsat mailserver,
hvis den ikke kan sige "pænt goddag".

--
Michael Rasmussen » Mød Mac-brugere på IRC: http://macintosh.irczone.dk/
------------------------------------------------------------------------
»If you understand what you're doing, you're not learning anything.«
-- A. L.

T (10-11-2006)
Kommentar
Fra : T


Dato : 10-11-06 11:03

Michael Rasmussen <news@irczone.invalid> wrote in news:4553b498$0$2098
$edfadb0f@dtext02.news.tele.dk:

> http://www.freesoftwaremagazine.com/articles/focus_spam_postfix/

1000 tak for det meget nyttige link og excellente forklaring !

Er der nogen fordel ved at lave en slags "tar-pit", så spammerens software
holdes hen i mange minutter ? Eller er det nærmest lige meget, eller
skadeligt ?


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste