Am 02.02.2013 14:14, schrieb Stefan Förster:
Hallo Robert,
- Robert Schetterer rs@sys4.de:
ich habe einen kleinen Blog geschrieben ueber eine Moeglichkeit zur Spambot Abwehr mit iptables recent und rsyslog
gab es denn außer dem Wunsch, die Logs kleiner zu halten, noch einen anderen Grund für diese Lösung? So wie ich den Blog-Beitrag verstehe, lief da ja sowieso schon postscreen, was ja für die Bot-Abwehr recht gut funktioniert. Hattet ihr da z.B. Last- oder Latenzprobleme?
Ciao Stefan _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Hallo Stefan, es ging dabei tatsaechlich nicht darum Spam besser zu filtern, aber man muss sich vorstellen das wir hier von einer domain mit ca 15 mailadressen sprechen deren Verbindungslogs taeglich manchmal in die Gb gingen.
Im Grunde war der Server ( der sicher nicht "zu klein" ist fuer seine Aufgabe ) nicht mehr zb fuer eine schnelle log Analyse zu gebrauchen , und legitimer Mailverkehr wurde behindert, da die Anzahl der freien smtp slots naturgemaess nicht beliebig steigerbar ist. ( auch eine smtp Ablehnung , warum auch immer, muss immer erstmal generiert werden )
Man koennte es einen ddos Angriff auf smtp nennen.
Die Situation dazu hat sich bis heute dazu auch nicht veraendert, das wird sofort deutlich wenn man das script deaktiviert.
Wie im Blog beschrieben ist das sicher ein aussergewoehnlicher Fall an dem sich aber sehr gut die Loesung mit adaptiver Firewall ueber rsyslog demonstrieren laesst.
Letzendlich kann man so , oder so aehnlich auch andere Applikationen mit aehnlichen Problemen schuetzen, fuer weniger harte Faelle reicht zb fail2ban auch aus.
Im konkreten Fall habe ich sogar nachtraeglich noch fail2ban fuer andere Fehler wieder integriert, jetzt wo die logs wieder in einem vernuenftigen Zeitfenster parsbar sind, funktioniert fail2ban wieder sehr gut.
An diesem Haertefall lassen sich aber sehr deutlich durch Analyse der logs ablesen, dass zb die Spambots ( dieser Domain ) in aufstrebende Laender wie Indien, Brasilien abgewandert sind ( vorher Usa, Italien, Frankreich) dass es wohl hauptsaechlich gehackte Windows Rechner sind ( eher keine Ueberraschung ) , und dass man im Zweifelsfall die Bots mit keiner Massnahme ueberzeugen kann von einer Domain abzulassen.
Best Regards MfG Robert Schetterer