connect from unknown

B

bmexx

New Member
Hi, so mein Erstes post hier.

Ich habe ein Problem mit Postfix, seit 2-3 Tage habe ich massig anfragen die sich wie folgt in denn Logs zeigen.
Code: 
Sep 16 05:02:36 vs-004 postfix/smtpd[27962]: connect from unknown[118.97.212.189]
Sep 16 05:02:40 vs-004 postfix/smtpd[27962]: NOQUEUE: reject: RCPT from unknown[118.97.212.189]: 450 4.7.1 Client host rejected: cannot find your hostname, [118.97.212.189]; from=<vegetarian41@mail.ru> to=<[B]gulyaev[/B]@example.com> proto=ESMTP helo=<189.subnet118-97-212.static.astinet.telkom.net.id>
Sep 16 05:02:42 vs-004 postfix/smtpd[27962]: lost connection after DATA from unknown[118.97.212.189]
Sep 16 05:02:42 vs-004 postfix/smtpd[27962]: disconnect from unknown[118.97.212.189]

Auf der Domain an die die Anfragen gehen existiert kein Email Konto die Anfragen scheinen aus einem Wörterbuch zukommen halt Namen und Sachen Ala contact@ design@ und so weiter. Bei der Domain handelt es sich um ein .ru die .de ist davon überhaupt nicht betroffen.

Die IPs sind alle aus dem asiatischen Raum.

Postfix reagiert mit einem reject so weit so gut aber es nervt gewaltig da ich seit den letzten 2-3 Tagen über 6000 solche Anfragen rein flattern und es offenbar kein Ende nimmt.

Wie kann ich das unterbinden? Leider bin ich nicht wirklich fündig geworden IP-Ranges Blocken bringt leider nichts.
 
Die als Beispiel genannte IP steht auf einer ganzen Reihe Blacklists, die Aktivierung einer davon (ich persönlich verwende NixSpam von Heise) sollte schon ausreichen.
Falls Du keine Email-Kotakte in den asiatischen Raum pflegst, kannst Du auch einfach alle vom APNIC vergebenen IP-Ranges blocken.
Dritte Möglichkeit wäre Greylisting, das ist allerdings bezüglich Maillaufzeiten nicht ganz nebenwirkungsfrei...
 
Whistler said:
Falls Du keine Email-Kotakte in den asiatischen Raum pflegst, kannst Du auch einfach alle vom APNIC vergebenen IP-Ranges blocken.
Click to expand...

Das aber bitte nur und ausschließlich, wenn du der einzige Nutzer des Mail-Server bist. Betrifft es weitere Nutzer, dann wäre das ein unzulässiger Eingriff in die Komunikation, Stichwort Fernmeldegeheimnis & Co.
 
Auf einer russischen Domain asiatischen Traffik zu blocken, ist, mit Verlaub, etwas an der Zielgruppe vorbei geschossen...

Wer in den asiatischen Raum expandiert, muss sich halt auch mit den dortigen Gegebenheiten auseinandersetzen und diese akzeptieren. Dazu gehört nunmal auch ein im Vergleich zu Europa deutlich höheres Spam- und Malware-Aufkommen. Lässt man halt die Logs etwas häufiger rotieren und plant dafür mehr Speicherplatz ein, ist doch bei heutigen HDD-Grössen kein Problem.
 
@Whistler Blacklisten brauchte ich bis dato nicht bedingt durch die Postfix Einstellung aber ich werde es in betracht ziehen. Graylisting hatte ich in betracht gezogen hat in dem Fall leider nicht gegriffen da die anfragen ja trotzdem kommen und es bringt eben auch Nachteile mit. Das mit dem Blocken nun ja PapaBaer hat es auf denn Punkt gebracht und einzelne Ranges zu Blocken ist ein enormer aufwand.

@Joe User hm genau das wollte ich nicht hören :cool: aber da Schein ich wohl nicht darum herum zu kommen :mad:. Was die Performance und den Speicher angeht macht sich das nicht bemerkbar noch nicht.
 
bmexx said:
@Joe User hm genau das wollte ich nicht hören :cool:
Click to expand...
Ich weiss ;)
Die meisten Leute wollen nicht hören, was ich sage, aber leider habe ich allzu oft recht und deshalb sage ich es trotzdem.

Ein/zwei Blacklists für den asiatischen Raum würde ich empfehlen.
 
Seit ich bei mir eine .ru Domain auf dem Server mithoste hatte ich ähnliches bemerkt.
Ich hab dann anstelle von Blacklisten einfach fail2ban installiert und eingerichtet. Ich weiiiiiiß, warum ein extra Tool wenn mans direkt per Mailserver regeln kann. Weil ich wollte! ;)
Tut auf jeden fall ebenso.

Gruß Sven
 
Joe User said:
Ein/zwei Blacklists für den asiatischen Raum würde ich empfehlen.
Click to expand...

Ich hab jetzt erst mal die NixSpam hinzugefügt es nimmt schon etwas ab kann aber auch täuschen ich werde es mal beobachten und evtl. noch 1-2 halt nicht mehr, wie nötig hinzufügen.

@svenr fail2ban gehört bei mir zur Standard Ausstattung dazu. Posfix läuft auch über fail2ban allerdings sind die IPs so derart verschieden das fail2ban hier nur bedingt greift.
 
bmexx said:
@svenr fail2ban gehört bei mir zur Standard Ausstattung dazu. Posfix läuft auch über fail2ban allerdings sind die IPs so derart verschieden das fail2ban hier nur bedingt greift.
Click to expand...

Ok dann ist das bei Dir anders, bei mir sind wirklich immer einige IPs die es über Stunden hinweg versuchten.
Jetzt habe ich zwar ebenso auch so gemischte Sachen drin, aber nix das über Grundrauschen hinausgeht und einer gesonderten Behandlung bedarf.

Gruß Sven
 
You must log in or register to reply here.
Back
Top