Mailaufkommen

[Tobster]

Hallo,

seit letzter Woche ist bei mir das Mail aufkommen bzw. die Connections sprunghaft angestiegen.

Ich habe die gleichzeitigen Connections von meinem Exim4.63 Debian4.0 jetzt mehrfach erhöhen müssen und bin jetzt bei 150 angekommen. Kann sich das jemand erklären? Die ganze Zeit über hatte ich 10 gleichzeitige Verbindung und ungefähr 40k Spammails jetzt sind es 80k und nie weniger als 40 Verbindungen.
Ich habe auch den SMTP-Command Timeout zurückgestellt auf zwei Minuten, dass hat auch einiges gebracht, aber ich bin immernoch so richtig iritiert.

Wie weit kann ich mit dem TimeOut noch sinnvoller weiße heruntergehen? Oder bin ich schon zu tief?
Hat jemand ähnliche Erfahrungen/Probleme?

 

[amnesie]

Heise berichtet von einem erhöhten Mailaufkommen (allerdings im Zusammenhang mit postfix):
heise online - Postfix-Mailserver unter Beschuss [Update]

Könnte sein, daß das Ganze nicht auf postfix beschränkt ist. Kriegst du insgesamt mehr Mails rein? Oder sind das nur abgebrochene Verbindungen?

 

[Tobster]

Der Postfix-Spezialist Ralf Hildebrandt, seines Zeichens Mail-Admin der Berliner Charité, äußerte gegenüber heise Security die Vermutung, dass es sich um ein "amoklaufendes Botnetz" handeln könnte. Seine Analyse hat ergeben, dass die vornehmlich aus DSL-Netzen eingehenden Problem-Verbindungen nicht SMTP-konform ablaufen: Lehnt der Mailserver beispielsweise eine Mail mit unbekanntem Empfänger ab, trennt die Gegenstelle abrupt die TCP-Verbindung, ohne die SMTP-Sitzung ordnungsgemäß zu beenden.

Das ist genau mein Problem. Ich lehne im moment einen großteil der Mails ab, weil Sie aus dem DSL-Bereichen kommen. Das ist der erste Filter bei mir bevor ich die Daten der Mail überhaupt annehme.
Die Zahlen die ich oben genannte habe sind die abgelehnten Mails am Tag.

Der hauptverantwortliche Postfix-Entwickler Wietse Venema empfiehlt bei vielen hängenden smtpd-Prozessen, die Zahl der vorgehaltenen Prozesse zu erhöhen und mit kurzen Timeouts und weniger Filtern zusätzlich dafür zu sorgen, dass SMTP-Verbindungen möglichst schnell abgewickelt werden.

Das ist ja fast genau das was ich gemacht habe.

 

[HornOx]

Wie weit kann ich mit dem TimeOut noch sinnvoller weiße heruntergehen? Oder bin ich schon zu tief?

Zumindest ist dein Server damit nicht mehr RFC konform

An SMTP server SHOULD have a timeout of at least 5 minutes while it is awaiting the next command from the sender.

nie weniger als 40 Verbindungen.

Die übliche 1-2 kb Spamemail sollte doch eigentlich recht schnell übertragen bzw abgelehnt werden, wie kommen da so viele gleichzeitige Verbindungen zustande? Kannst du (wenn es dir rechtlich erlaubt ist...) mal mitsniffen und schauen wann die Verzögerung auftritt? Es gibt zwar Gründe eine Teergrube in smtp Server einzubauen aber eine Teergrube bei Clients macht irgendwie keinen Sinn, dennoch scheint es so als würde jemand damit deinen Server anzugreifen .
Oder hast du irgendwelche delay Sachen in deinen ACLs? Sowas kann hilfreich sein um eine Serverseitige Teergrube vorzutäuschen und Spamer zu täuschen aber wäre in deinem Fall kontraproduktiv...

 

[amnesie]

Bei postfix gibt es einen kleinen daemon (anvil), mit dem man sehr einfach ein rate limit aufsetzen kann. Ich erlaube im Moment nur 10 Verbindungen pro Minute und IP. Das bremst diese amoklaufenden Bots ziemlich gut aus und mein Mailserver ist weiterhin gut erreichbar.