Uwe Driessen schrieb:
On Behalf Of Robert Schetterer
Uwe Driessen schrieb:
On Behalf Of Robert Schetterer
also grundsaetzlich hat jeder seinen eigenen spam, bots etc vergleiche sind also kaum moeglich, ich hab hier eine 3 Buchstaben domain, die wird pro Stunde mit bis zu 500000 bot conects zugeballert ich hab da jedes bekannte verfahren schon ausprobiert ( seit Jahren ) ich versichere dir, es gibt massenhaft bots die greylisting ueberwinden es ist reine glueckssache dass die deine domain nicht zubomben alles andere ist reine spekulation
Das ist richtig deswegen muß jeder seinen eigenen Weg finden. Ich würde mir ne andere Domain zulegen *gg
bloede Sache wenn die domain wie die Firma heisst Aenderungen von Adressen mail aber auch physikalisch kosten immer Geld und Zeit , zb im dns , auf Briefkoepfen etc aber wie gesagt ich erwaege das schon
Davon abgesehen warum haben die dich denn so auf dem Kicker warst du böse? Wer versucht denn einzuliefern in der Hauptsache DIALIN?
tja spekuliere ich auch mal, erstens sind 3 Buchstaben als domain leicht zu tippen, 2. es gibt darueber hinaus Namensaehnlichkeiten zu Firmen und Organisationen, die international sehr gross sind gute Reputation haben oder sich selbst mit Antispam software beschaeftigen, drittens die Domain ist fast so alt wie das Internet, 4 frueher gab es, weil spam noch kein Problem war, open relays auf dieser Domain such dir was aus, ich hab die Situation so schon vorgefunden
klar dialins aber halt leider weltweit verteilt und um das klarzustellen die chinesen sind bei weitem nicht die schlimmsten, das groh kommt aus den usa und suedamerika polen russland switched aber auch manchmal, alternativ wars auch schon mal so das nicht die bots das Problem waren sondern die backscatter darauf , intersant war dass wohl das halb russland ( und hier etliche niederlassungen von deutschen Firmen ) ihre mailserver falsch konfiguert hatten also erst annehmen und dann bouncen , verify etc, ich hab dann in den reject eine Zeilenweise Anleitung reingemacht wie es eigentlich richtig zu machen waere das hat erstaunlicherweise dann sogar etwas geholfen *g
Aber das wichtigste was Graylisting macht ist verhindern das sich selbst versendende
Viren
sich verbreiten da diese zu 99% keine richtige enginge mit error Behandlung haben.
kann ich nicht bestaetigen moderne viren haben sehr wohl vollstaendige mail engines und wenn dich so ein Teil auf dem kicker hat, haste eben geloosed, schliesslich reicht ein relativ kleines verseuchtes botnet mit solchen viren um einem das Leben richtig schwer zu machen
Die habe ich noch nicht gesehen *gg grundsätzlich bis auf ganz wenige ausnahmen keine Annahme von Mails aus DIALIN bzw. von generischen Hostnamen mit bestimmten Merkmalen im PTR und keine unknown und keine die nicht vorwärts wie rückwärts auflösen (so restriktiv kann leider nicht jeder sein)
ich mach das kommerziell fuer ca 20000 mailadressen, ohne reverse geht nix , gmx macht das auch , da gibts vieleicht einmal im Monat was whitezulisten also kein Problem geht durchaus und wird auch akzeptiert es ist ja nicht so dass eine reject mit cannot find your reverse hostname keine vernuenftige Antwort waere, aus der man nicht auf sein Problem schliesen kann, der Rest der rejects muss halt intelligent kaskadiert werden, dann gibts so gut wie keine Probleme
und mal ganz klar , wer was anderes will , dem verkaufe ich gerne einen root server auf dem er selbst das erledigen kann
Das viele Spamversender auch immer noch nur ein fire and forget machen ist ein nettes schmakerl das man die auch damit los wird.
was immer noch keinen Grund gibt planlos einfach alles greyzulisten
Hehe ich sprach nicht von allem und planlos zu greylisten! Auch das wird hier nur selektiv eingesetzt.
gut!!!
Und nach vorheriger Trainingszeit mit warn_if_reject kommen die dauersender immer durch und wenn dann einer alle Schaltjahre nur eine Mail sendet dauerts halt mal 5 - 10 min bis das er ankommt ich sehe da kein Problem bei.
richtig kein Problem
das kostet nur performance und verzoegert legitime mails es reicht voellig ip addressen die nach dyn aussehen oder unknown sind ins greylisting laufen zu lassen, bzw sie gleich vorher mit anderen Verfahren mit 550 abzuweisen ( rbls reject_unknown_reverse_hostname, unknown domain usw usw ),
bei mir lokale Filter wer das überlebt muß durchs Greylisting sofern er in der Liste der toplevel steht dann durch Policyd Weight und danach erst durch 2 RBL's denen ich wirklich vertraue das ich sage wenn die gelistet haben dann ist der junge wirklich faul oder Beratungsresistent.
klingt nach intelligenter kaskade
wenn man richtig zugeballert wird, will man so schnell wie moeglich den client abweisen selbst ein 2 connect ist dann zuviel, ich konnte das
Evtl. mal einen Fake MX 900 aufsetzen der nur 450er schmeist *gg Da finden sich in der Regel nur die Bots drauf ein die immer den letzten Backup nehmen weil sie denken das der am wenigsten gut geschützt ist.
*rofl, alles schon implementiert hilft alles ein wenig, aber nicht wirklich
letztendlich nur noch mit firewalling regeln fuer mich sieht das so aus als waeren diese bots voellstaendige mailserver die halt ihre warteschleifen abarbeiten, denn selbst nach 6 Stunden firewalling kommen die wieder, wie auch immer in meinem Fall, wird es wohl damit enden dass ich nur fuer einen domain einen eigenen mailserver brauche und dann massenhaft ganze netze per firewalling ausschliessen muss oder wir letzendlich die domain aufgeben muessen da der kosten nutzen dann einfach nicht mehr gegeben ist.
Für die Jungs habe ich hier fail2ban mit IPset im Einsatz das macht die IPtables sehr übersichtlich dazu noch eine regex mit den gernerischen filtern. Von der Webseite her ist ebenfalls fail2ban und Adressvergifter ins PHP eingebunden. Wer von der Startseite runtergrep hat schon mal 50 Adressen (nicht existente), wer zudem mit bestimmten dingen im apachelog auffällt dem wird ebenfalls sofort gesperrt. Seitdem haben die Versuche drastisch abgenommen.
alles schon implementiert hilft alles ein wenig, aber nicht wirklich
die Anzahl der Bots und connects ist einfach zu gross da kommt man selbst mit fail2ban nicht mehr wirklich weiter anfaenglich hatte es sich selbst sogar abgefackelt weil es schlichtweg mit dem parsen des logs nicht hinterher kam
ich hab auch andere mailserver , domains, bei denen die gaengigen Verfahren gut anschlagen und der Spam in letzter Zeit sogar erheblich zurueckgegangen ist
aber wie geschildert kann man daraus eben keinen Trend ableiten, tatsache ist dass es eben durchaus botnetze gibt die intelligent und gross genug sind um erheblichen Aerger zu verbreiten und die saemtliche STandart Abwehrverfahren entweder durch technische Raffinaesse oder schlichtweg durch Masse kontern koennen
Mit freundlichen Grüßen
Drießen