Pozdravujem Vas,
nadviazal by na starsie prispevky, tykajuce sa problematiky obmedzenia
poctu e-mailov/mailserver (postfix) a spam (7.4.2008/10.2.2011). Nikdy
nekonciaci boj.
Po velmi, velmi dlhej dobe sa moj mailovy server dostal na blacklisty,
a to vdaka legitimnemu uzivatelovi, ktory ma opravnenie ho vyuzivat.
Prihlasil sa k mailovemu uctu cez webmail rozhranie (roundcube, dalej
len *RoCu*) a potom to zacalo. Z jeho masiny (teda nie celkom, o tom
nizsie), sa cez moj mailovy server, zacali odosielat - kazdu sekundu,
pre stovky prijemcov - e-maily. Ak by som bol za netom, riesil by som to
okamzite, ale kym som sa za net dostal a spolu so stresom..., nuz, par
tisic e-mailov zo servera odislo a medzi tym som sa dostal na blacklisty.
Dolezite konstatovanie:
Je potrebne vychadzat z toho, ze nie som vzdy za netom, nie som vzdy
dostupny.
Len na okraj, pouzivam mailovy system na postfixe...
- mam nasadene funkcionality ako amavisd-new, spamassassin, clamav,
kombinacia (nazvem to) vierohodnych rbl-iek, greylist, opendkim,
*RoCu*,... ...ipfw - nicim vynimocne, len bezne nastavenia.
- je urceny pre X legitimnych uzivatelov/zakaznikov
- da sa povedat, co zakaznik, to iny provider, rozne IP adresy resp.
dynamicky pridelovane IP adresy a mobilni klienti (v zmysle cestujucich
a pripajajucich sa cez cokolvek/kohokolvek)
- mam legitimnych uzivatelov, ktori posielaju e-maily stovkam
prijemcov (v jednom e-maili), ale necinia tak kazdu sekundu, to znamena,
ze negeneruju kazdu sekundu e-maily, to ani v ludskych silach nie je mozne.
- zadefinovat pravidlo v ipfw, ktore by mi logovalo pocetnost
smtp/smtps, nie je problem, ale moc mi to neriesi, pretoze ak nastane
takato situacia, nepomozem si, ak vezmem v uvahu vyssie uvedene dolezite
konstatovanie.
- najvacsi problem vidim v legitimnych uzivateloch, ktori pouzivaju
webmail rozhranie. Hlasia sa odkialkolvek a z akychkolvek
(nezabezpecenych, zavirenych...) masin. Cez maillog som sa dopracoval k
logom *RoCu* a tam som potom zistil, kedy, cez ktoreho uzivatela a z
akej IP adresy to zacalo. Ked sa hlasi uzivatel XY ku svojej schranke
cez *RoCu*, standardne sa do maillogu zapisuje nieco ako:
...imapd/imapd-ssl: LOGIN,....user...., ip=[127.0.0.1]...
Ak sa zapocne cez *RoCu* s odosielanim e-mailov, transakcie su
standardne zaznamenavane do logu v ramci *RoCu*. Uzivatelovi XY to
"vytiahlo" z masiny prihlasovacie udaje a... uz to slo ako po masle.
Podstatne je vsak to, ze e-maily odosiela localhost/127.0.0.1, teda moj
server a ten sa za par hodin dostal na blacklisty.
Najma vdaka stresu, z danej situacie, ma hned nenapadlo pozriet sa do
logov v ramci struktury *RoCu*, kde som napokon nasiel zdroj/legitimneho
uzivatela, od ktoreho to vzislo. Samozrejme, ucet, z ktoreho sa to
vsetko spustilo, som zablokoval. Nasledne som cistil frontu postfixu a
potom som v *RoCu* zmenil hodnotu parametra 'sendmail_delay'.
Zacal som si prechadzat niektore direktivy postfixu, zaujali ma najma:
...
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_recipient_rate_limit
smtpd_client_connection_rate_limit
smtpd_client_message_rate_limit
...
zatial som vsak nic nemenil, nakolko nastavenie obmedzeni moze sposobit
problemy dalsim legitimnym uzivatelom. Nemozem si dovolit laborovat na
ostrom serveri a zasa na testovacom serveri nedokazem nasimulovat tak
exponovany stav. Najst vyvazeny stav je skutocne tazke. A dalej fakt, ze
potrebujem *obmedzit relay* legitimnych uzivatelov, a nie prijem, ma
trochu metie.
Pytam sa Vas, harcovnikov postfixu ci sendmailu, ako na to? Ako na
legitimnych uzivatelov, ktori maju z*srane masiny? K tym vyssie uvedenym
direktivam postfixu, vie niekto doporucit praxou overene hodnoty? Teoria
je jedna vec, prax vsak druha. Ak uz ma nastat niekedy v buducnosti
obdobna situacia, nech to postfix netlaci tak rychlo a v takom pocte,
ale nech so zvysujucimi sa poctami smtp konexii, znizi rychlost, pocet
prijemcov... Kedysi davno som sa venoval aj Novellu/GroupWise a dodnes
si pamatam, ze v GW bola taka funkcionalita 'mailbomber'. Jedna
direktiva, ktora dokazala uzasne veci. V postfixe je tych direktiv viac
a ako som uz spomenul v predchadzajucom odstavci, nerad by som laboroval.
Vdaka za tipy
Lubo M.
--
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
