-------- Original-Nachricht --------

Datum: Tue, 27 Oct 2009 09:44:41 +0100 Von: Michael Geiger An: postfix-users@de.postfix.org Betreff: [postfix-users] Tarpit

Hallo Postfix Community,

mich ärgern momentan wieder fleißig die Spambots - richtig nervig finde ich, dass sich die Bots nicht mit einer Abweisung durch die RBL zufrieden geben, sondern mehrfach neu probieren. Bis irgendwann mein fail2ban den Kollegen aussperrt ...

Bis dahin sind oft 5 oder mehr Versuche durch und die RBL wurde entsprechend oft abgefragt ... gibt es da keine bessere Lösung?

Was haltet Ihr von folgender Idee:

- Bei RBL-Match wird die Verbindung für 30 sec geparkt und erst dann abgelehnt (oder still und heimlich verworfen)

So was könntest Du mit "sleep" und einer Restriction Class lösen. Aber ich würde die Jungs ohne grosses Tam-Tam einfach ablehnen und mir nicht den Kopf zerbrechen, dass sie immer wieder kommen. Betreffend den RBL lookups: Hast Du einen lokalen Caching DNS Server? Wenn ja, dann werden diese Anfragen lokal gegached und verursachen nicht so viel Netzlast wie Du denkst. Das Problem mit Tarpitting ist, dass Du bei unsachgemässer Konfiguration Du schnell mal Oper von einem DoS werden kannst.

- "Unter Streß" wird gleich bei RBL-Match geblockt

Habt Ihr Erfahrungen mit so einem Ansatz? Beispiel-Configs? :-)

Ich hatte mal früher so was wie ein Tarpitting aktiv (selbst gebaute Lösung) aber das Problem ist, dass es nicht einfach ist selbst mal was anständiges zu bauen ohne dabei sich der Gefahr auszusetzen Opfer eines DoS zu werden. Wenn Du was suchst dass aber so funktioniert wie Du es beschrieben hast, dann werfe mal einen Blick auf Traffic Control von MailChannels -> http://mailchannels.com/product/ Das Ding macht genau das was Du suchst. Ist aber nicht kostenlos. Die Installation ist sehr einfach. Die hatten mal früher das Produkt für kleinere Installationen kostenlos zum Download bereit gestellt. Weiss jetzt nicht mehr, ob sie das immer noch machen.

Merci

Michael

Steve

_______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

-- GRATIS für alle GMX-Mitglieder: Die maxdome Movie-FLAT! Jetzt freischalten unter http://portal.gmx.net/de/go/maxdome01

Michael Geiger schrieb:

Hallo Postfix Community,

mich ärgern momentan wieder fleißig die Spambots - richtig nervig finde ich, dass sich die Bots nicht mit einer Abweisung durch die RBL zufrieden geben, sondern mehrfach neu probieren. Bis irgendwann mein fail2ban den Kollegen aussperrt ...

Bis dahin sind oft 5 oder mehr Versuche durch und die RBL wurde entsprechend oft abgefragt ... gibt es da keine bessere Lösung?

Was haltet Ihr von folgender Idee:

- Bei RBL-Match wird die Verbindung für 30 sec geparkt und erst dann abgelehnt (oder still und heimlich verworfen) - "Unter Streß" wird gleich bei RBL-Match geblockt

Habt Ihr Erfahrungen mit so einem Ansatz? Beispiel-Configs? :-)

Merci

Michael _______________________________________________ postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users

du kannst dir was mit iptables bastlen wie hier http://www.upfrontsystems.co.za/Members/izak/sysadman/an-iptables-fix-for-di... das hab ich zusaetzlich mit fail2ban am laufen, ich wuerde es aber nur da empfehlen wo man gar nicht mehr weiter kommt mit den bots ( wie bei mir *g ) ansonsten wuerde ich auch das kommende postscreen empfehlen -- Best Regards MfG Robert Schetterer Germany/Munich/Bavaria