logo       
<prev    next>

Re: Mailflooding?: msg#00871

debian-user-german-debian

Subject: Re: Mailflooding?

Roger Rehnelt <rrehnelt@xxxxxxxxxxxxxx> (Fr 31 Jul 2009 09:01:04 CEST):
> Hallo!
>
> Seit einiger Zeit kommt ne Menge Rotz auf dem Mailserver an und wird
> mittels DNSBL geblockt. So wie ich das erkennen kann, scheint das wohl
> aus einem Botnetz zu kommen, den ich bekomme im ~5 Sekundentakt 10-20
> Mailanfragen pro Sekunde. HeiÃt, mit einmal wird ein Block von E-Mail
> Anfragen auf den Server geschoben, an x-beliebige Adressen (die nicht
> existieren) einer Domain.

Etwas Abhilfe schafft, wenn Du die Anzahl der Verbindungen je Sender-IP
einschrÃnkst: smtp_accept_max_per_host = 2, weiterhin kÃnntest Du die im
Exim die Rate-Limit-Dinge ansehen.

> Absender und IP Adressen Ãndern sich pro Abfrage.
> Der Overhead ist enorm. Laut Munin war ich schon bei 43 Rejects pro
> Sekunde. Des weiteren ist es sicherlich Ãrgerlich, dass ich
> zen.spamhaus.org so sehr stressen muss.

Solltest Du fÃr âdomain.deâ nicht ein MX sein, kannst Du Dir die
DNSBL-Abfrage verkneifen und sofort rejecten.

Falls Du MX fÃr âdomain.deâ bist, kÃnntest Du natÃrlich vor der
DNSBL-Abfrage prÃfen, ob der EmpfÃnger existiert und auch schon
rejecten. (Ist aber vielleicht nicht schÃn, weil man dann ja
âdurchklingelnâ kÃnnte, welche Adressen existieren.)

Du kÃnntest - auch Ãber die ACL - direkt Ãber ${run{}...} einen
Eintrag in den IP-Tables erzeugen, der die Verbindungen sperrt.

Ich denke aber, daà smtp_accept_max_per_host und Rate-Limit das
einfachste sein werden.

> Wie kann man dagegen SchutzmaÃnahmen einleiten? Ich habe Angst, dass
> die Anfragen mehr werden und dann der Server in die Knie geht.

Das Ablehnen sollte so schnell wie mÃglich passieren, weil Du sonst sehr
schnell sehr viele Prozesse hast, die zwar kein Brot fressen, aber
rumliegen und Speicher festhalten und TCP-Verbindungen.

Best regards from Dresden/Germany
Viele GrÃÃe aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann HS12-RIPE -----------------------------------------
gnupg encrypted messages are welcome - key ID: 48D0359B ---------------
gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B -

Attachment: signature.asc
Description: Digital signature

<Prev in Thread] Current Thread [Next in Thread>
Previous by Date:  Mailflooding?, Roger Rehnelt
Next by Date:  Re: Mailflooding?, Christian Schmidt
Previous by Thread:  Mailflooding?, Roger Rehnelt
Next by Thread:  Re: Mailflooding?, Roger Rehnelt
Indexes:  [Date] [Thread] [Top] [All Lists]

Google Custom Search
News | Mail Home | sitemap | FAQ | advertise