Am 02.02.2013 16:56, schrieb Florian Streibelt:
Am Sa, 02.02.13 um 11:51:55 Uhr schrieb Robert Schetterer rs@sys4.de:
irgendwie kann ich da leider mit chrome keinen Kommentar hinterlassen, der Klick führt immer nur wieder an den Start des Blogposts.
sorry werde ich weitergeben
Daher mal hier eine Idee/Frage...
Erstmal: Schick, die Lösung gefällt und man kann sie sicherlich gut auf weitere Dienste ausweiten, und man ist auch schön flexibel was die Behandlung angeht - nicht wie die unsäglichen hosts.allow und .deny Dateien.
'Aber', was mich bei der Lösung 'stört' ist, dass ein einliefernder MTA der möglicherweise unbegründet auf der Liste landet, fortan in timeouts läuft und der admin dort auch nicht viel zum debuggen hat.
das ist hier tatsaechlich einkalkuliert, konkret kannst du aber in postscreen auch whitelisten, dann schlaegt das script nicht zu
Vielleicht ist er ja Opfer eines Hacks geworden, der direkt SMTP nach draußen spricht, so dass sein maillog leer ist, etc.
Wurde mal ausprobiert statt eines DROP ein DNAT auf einen lokal laufenden Prozess zu machen, der einfach ein passendes SMTP-Banner ausliefert, also sowas wie 550 - You have been blocked due to excessive SPAM from your side! direkt nach dem connect auf den port.
durchaus auch eine idee, man koennte aus rsyslog heraus im Prinzip jede Aktion ausloesen die man will, in meinem Fall will ich aber tatsaechlich droppen ( "Opfer" nehme ich bewusst in Kauf ) , steht ja auch im blog, es ist eine absolute Einzelfall loesung, nicht einfach nachmachen ohne nachdenken ,defakto hatte ich aber noch keinen relevanten false postive, man muss das aber auch in Relation setzen, die 15 Mailadressen erhalten nicht wirklich viel legale mail von "aussen", und sein "Pappenheimer" kennt man ueber die Jahre.
Der wirkliche Vorteil ist die Geschwindigkeit mit der man reagieren kann, verglichen mit zb fail2ban etc, welche Faelle man filtert und ob man whitelists etc zusaetzlich verwendet ist der Kreativitaet des Admins ueberlassen
Ja, das belastet den IP-Stack und bindet wieder Ressourcen, aber nicht so viele wie der postfix der hier seine Regeln durchlaufen muss. Ein simples netcat oder so reicht hier ja vollkommen aus, dsa man auch per xinetd laufen lassen kann.
du kannst es ja mal so testen und feedback geben, wuerde mich freuen
ein Kollege hat mir uebrigens auch noch ein paar Verbesserungen geschickt , die werde ich als Kommentar ungeprueft mal drunter posten bei Gelegenheit
Grüße, Florian _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer