|
|
Mailflooding?: msg#00870debian-user-german-debian
Hallo! Eventuell ist das hier etwas OT, deswegen entschuldige ich mich vorher schon einmal. Mir fehlt das Fachwissen, um nach den richtigen Begriffen zu suchen. Ich weiß nicht weiter. Seit einiger Zeit kommt ne Menge Rotz auf dem Mailserver an und wird mittels DNSBL geblockt. So wie ich das erkennen kann, scheint das wohl aus einem Botnetz zu kommen, den ich bekomme im ~5 Sekundentakt 10-20 Mailanfragen pro Sekunde. Heißt, mit einmal wird ein Block von E-Mail Anfragen auf den Server geschoben, an x-beliebige Adressen (die nicht existieren) einer Domain. Das sieht dann ungefähr so aus: 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <a.e.carlile@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <a1265@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <a1273604@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <a1288s@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <a1269684@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <aa.diver@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <aadji@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org 2009-07-31 08:51:31 H=(RLRWOZIMSZ) [123.18.243.101] F=<aforesaidjqnu@xxxxxxxxxxxxxxxxxxxxxxxx> rejected RCPT <a.c.sbmart@xxxxxxxxx>: DNSBL listed at zen.spamhaus.org Absender und IP Adressen ändern sich pro Abfrage. Der Overhead ist enorm. Laut Munin war ich schon bei 43 Rejects pro Sekunde. Des weiteren ist es sicherlich ärgerlich, dass ich zen.spamhaus.org so sehr stressen muss. Meine Idee war, mit fail2ban zumindest die Anfragen etwas zu verkleinern, aber das brachte keinen Erfolg. Weil in dieser einen Sekunde kommen eben 10 Anfragen gleichzeitig rein. Ehe die ins Logfile geschrieben und von fail2ban analysiert werden, ist es schon vorbei und die nächste Anfrage von einer anderen Adresse kommt rein. So lohnt es sich nicht die IP zu sperren. Wie kann man dagegen Schutzmaßnahmen einleiten? Ich habe Angst, dass die Anfragen mehr werden und dann der Server in die Knie geht. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@xxxxxxxxxxxxxxxx mit dem Subject "unsubscribe". Probleme? Mail an listmaster@xxxxxxxxxxxxxxxx (engl)
|
|
||||||||||||||||||||||||||
| News | Mail Home | sitemap | FAQ | advertise |