Maximal eingehende Mails

Deleted member 11691 · Apr 6, 2012

Hallo,

gerade kam eine Attacke auf unseren Mailserver zu:

Ungefähr 2000 mal wurde auf den Mailserver zugegriffen und dann folgendes Ausgeführt:

Code:

Transcript of session follows.

 Out: 220 vps1.gw1.dlserver.eu ESMTP (Debian/GNU)
 In:  .
 Out: 502 5.5.2 Error: command not recognized
 In:
 Out: 500 5.5.2 Error: bad syntax

Session aborted, reason: lost connection

For other details, see the local mail logfile

Dadurch ist der Mailserver im Endeffekt auf 100% belastet und ist inzwischen schon gecrasht. Per IPTables wurde die IP-Adresse komplett blockiert.

Kann man IPTables oder dem Mailserver irgendwie sagen, dass hier maximal 5 Mails in der Minute von der selben IP hineinrasen dürfen?

traced · Apr 6, 2012

Lass einfach fail2ban über die Mailserver logs suchen, damit kannst Du z.B. die Quellserver für N Minuten bannen, die eine gewisse Anzahl an Errors in einer gewissen Zeit verursacht haben.

Wenn Du das direkt über den Mailserver machst bringt das wenig, weil der ja auch nur gegen Clients was machen kann die sich so wie unten gemeldet haben, und dann ist es schon zu spät.

Grüsse

Joe User · Apr 6, 2012

Für Postfix:
http://www.postfix.org/postconf.5.html#smtpd_client_connection_rate_limit
http://www.postfix.org/postconf.5.html#smtpd_client_message_rate_limit
http://www.postfix.org/postconf.5.html#in_flow_delay

Fail2ban und Co sind völlig überflüssig...

Deleted member 11691 · Apr 6, 2012

Joe User said:
Für Postfix:
http://www.postfix.org/postconf.5.html#smtpd_client_connection_rate_limit
http://www.postfix.org/postconf.5.html#smtpd_client_message_rate_limit
http://www.postfix.org/postconf.5.html#in_flow_delay

Fail2ban und Co sind völlig überflüssig...

Danke, werde ich so probieren.

Maximal eingehende Mails

Deleted member 11691

Guest

traced

Registered User

Joe User

Zentrum der Macht

Deleted member 11691

Guest

We value your privacy