Guten Tag Forum,
unser Server leidet momentan an einer smtp attacke.
Will sagen, es kommen scheinbar von befallenen Rechnern aus dem asiatischen und südamerikanischen Raum tausende smtp connect rein.
Es sieht so aus, als würde unser postfix als relay benutzt.
Ich habe ein Zustell limit von 850 mails, welches stündlich zurückgesetzt wird und innerhalb von Minuten wieder auf 850 ansteigt.
Meine erste Frage, hat das seit vorgestern noch jemand auf seinem Server?
Ich habe die IP Ranges gesperrt, ich komme mit dem sperren einfach nicht nach, vielleicht sollte ich eine fail2ban regel dafür bauen.
zweite Frage: interpretiere ich das Log richtig? Ein Beispiel (Aus der /tmp/smtpd-policy.log)
siehe http://www.sturbi.de/blog/index.php/2012/07/26/limit-postfix-e-mails-pro-stunde/
Ich denke 212.247.140.71 ist hier der Ursprung.
Wodurch bin ich hier als Server involviert?
Ich verstehe es nicht.
Ein lokales Problem, also etwas eingefangenes in den Joomla _Installationen kann ich glaube ich ausschließen.
Ergänzung: Ausschnitt aus der mail.log.
unser Server leidet momentan an einer smtp attacke.
Will sagen, es kommen scheinbar von befallenen Rechnern aus dem asiatischen und südamerikanischen Raum tausende smtp connect rein.
Es sieht so aus, als würde unser postfix als relay benutzt.
Ich habe ein Zustell limit von 850 mails, welches stündlich zurückgesetzt wird und innerhalb von Minuten wieder auf 850 ansteigt.
Meine erste Frage, hat das seit vorgestern noch jemand auf seinem Server?
Ich habe die IP Ranges gesperrt, ich komme mit dem sperren einfach nicht nach, vielleicht sollte ich eine fail2ban regel dafür bauen.
zweite Frage: interpretiere ich das Log richtig? Ein Beispiel (Aus der /tmp/smtpd-policy.log)
siehe http://www.sturbi.de/blog/index.php/2012/07/26/limit-postfix-e-mails-pro-stunde/
Code:
request: ccert_fingerprint= sasl_method= sasl_sender= size=0 helo_name=PC-201401110251 reverse_client_name=unknown queue_id= encryption_cipher= encryption_protocol= etrn_domain= ccert_subject= request=smtpd_access_policy protocol_state=RCPT stress= sasl_username= recipient=rogj@rogj.com ccert_pubkey_fingerprint= instance=6cd8.53786dd0.4e9cc.0 protocol_name=ESMTP encryption_keysize=0 recipient_count=0 ccert_issuer= sender=geskoku@yahoo.com client_name=unknown client_address=212.247.140.71 action=DEFER to many mail
Wodurch bin ich hier als Server involviert?
Ich verstehe es nicht.
Ein lokales Problem, also etwas eingefangenes in den Joomla _Installationen kann ich glaube ich ausschließen.
Ergänzung: Ausschnitt aus der mail.log.
Code:
May 18 11:03:17 rootgemeinschaft postfix/smtpd[4821]: NOQUEUE: reject: RCPT from unknown[109.194.20.27]: 450 4.7.1 <c23s34vj@yahoo.com.tw>: Recipient address rejected: to many mail; from=<myxzygy@yahoo.com> to=<c23s34vj@yahoo.com.tw> proto=ESMTP helo=<PC-201401110411>
May 18 11:03:17 rootgemeinschaft postfix/smtpd[4821]: NOQUEUE: reject: RCPT from unknown[109.194.20.27]: 450 4.7.1 <c23ti357@yahoo.com.tw>: Recipient address rejected: to many mail; from=<myxzygy@yahoo.com> to=<c23ti357@yahoo.com.tw> proto=ESMTP helo=<PC-201401110411>
May 18 11:03:17 rootgemeinschaft postfix/smtpd[5641]: NOQUEUE: reject: RCPT from unknown[177.154.72.19]: 450 4.7.1 <n0929420583@yahoo.com.tw>: Recipient address rejected: to many mail; from=<olcajps@yahoo.com> to=<n0929420583@yahoo.com.tw> proto=ESMTP helo=<PC-201401110247>
May 18 11:03:17 rootgemeinschaft postfix/smtpd[5641]: NOQUEUE: reject: RCPT from unknown[177.154.72.19]: 450 4.7.1 <n0929426079@yahoo.com.tw>: Recipient address rejected: to many mail; from=<olcajps@yahoo.com> to=<n0929426079@yahoo.com.tw> proto=ESMTP helo=<PC-201401110247>
Zuletzt bearbeitet: