Discussion:
massziv SPAM
Fagyal Csongor
2007-01-03 08:12:50 UTC
Permalink
E,

Olyan problemam van, hogy egy gepemre vegtelen mennyisegben omlik a
SPAM, elosztott IP-cimekrol, de mindig ugyanazokra a mailcimekre.
Tipikusan ilyenek:


Jan 3 08:38:50 ns0 postfix/smtpd[2695]: NOQUEUE: reject: RCPT from sv-dns.koanet.co.jp[202.41.214.34]: 450 <***@mydomain.com>: Recipient address rejected: User unknown in local recipient table; from=<> to=<***@mydomain.com> proto=ESMTP helo=<sv-dns.koanet.co.jp>

Jan 3 08:41:48 ns0 postfix/smtpd[2629]: NOQUEUE: reject: RCPT from ytflbk21.mgw1.ibps.net[202.214.160.119]: 450 <***@mydomain.com>: Recipient address rejected: User unknown in local recipient table; from=<> to=<***@mydomain.com> proto=ESMTP helo=<ytflbk21.mgw1.ibps.net>


Stb... szoval a domainemre (nevezzuk itt es most mydomain.com -nak :)) szemmel lathatoan valami ostoba algoritmus alapjan, kb. random IP-krol, nem letezo fiokokhoz erkeznek a mailek, amiket persze a Postfix el is dob.

A problemam az az, hogy ettol fuggetlenul meg az smtp kapcsolataimat zabalja ez a helyzet. Van, amikor masodpercenkent 4-5 ilyen mail jon. Az IP-k valoszinuleg valami zombie halozatrol jonnek, mert egy napnyi log-ot elemezve tobb, mint 10,000 IP-t kaptam el.

Igencsak idegesito...

Szerintetek lehet ez ellen tenni valamit? Es egyaltalan *minek* van ez, mikor egy mail sem er celba? Megfutott egy spammer-script? :)

Ha kicsit jobban tolnak, ugy le lennek DDoS-olva mint a sicc. :(

- Fagzal
Gábor Lénárt
2007-01-03 08:33:49 UTC
Permalink
Hi,
Post by Fagyal Csongor
Olyan problemam van, hogy egy gepemre vegtelen mennyisegben omlik a
SPAM, elosztott IP-cimekrol, de mindig ugyanazokra a mailcimekre.
[...]
Post by Fagyal Csongor
Stb... szoval a domainemre (nevezzuk itt es most mydomain.com -nak :))
szemmel lathatoan valami ostoba algoritmus alapjan, kb. random IP-krol,
nem letezo fiokokhoz erkeznek a mailek, amiket persze a Postfix el is dob.
[...]
Post by Fagyal Csongor
Szerintetek lehet ez ellen tenni valamit? Es egyaltalan *minek* van ez,
mikor egy mail sem er celba? Megfutott egy spammer-script? :)
Imho ez lehet az a lepcso, amikor cimeket keresnek ilyen szotar alapu
cuccossal, vagy hasonloval. Nalunk is volt (sot van is) hasonlo, csak eppen
millios nagysagrendu napi IP-vel (es nem mindig csak ugyanazon cimekre),
tenyleg kellemetlen, raadasul ugye kvazi DDoS jellege miatt eleg nehez
ellene vedekezni. Szerintem sajna erre tokeletes megoldas nemigen akad ...

Amugy nem lehetseges, hogy a te esetedben viszont azert jon mindig ugyanazon
IP-kre, mert 450-es smtp kodot adsz vissza, es arra szamitanak, hogy emiatt
ez mukodhet (hiszen nem 5xx kod), csak atmeneti problema? Bar ez is
kerdeses, imho spammerek nem igen torodnek az smtp kodokkal, ha nem megy,
mennek tovabb a kovetkezo cimre, miegymasra. Egy probat talan megerhet, ha
postfix-edet ugy configolod hogy a 5xx-et adjon vissza 4xx helyett, es
megnezni, hogy ettol valtozik-e a helyzet.
--
- Gábor
KORN Andras
2007-01-03 11:01:29 UTC
Permalink
E,
Olyan problemam van, hogy egy gepemre vegtelen mennyisegben omlik a SPAM,
elosztott IP-cimekrol, de mindig ugyanazokra a mailcimekre. Tipikusan
Stb... szoval a domainemre (nevezzuk itt es most mydomain.com -nak :))
szemmel lathatoan valami ostoba algoritmus alapjan, kb. random IP-krol,
nem letezo fiokokhoz erkeznek a mailek, amiket persze a Postfix el is dob.
A problemam az az, hogy ettol fuggetlenul meg az smtp kapcsolataimat
zabalja ez a helyzet. Van, amikor masodpercenkent 4-5 ilyen mail jon. Az
IP-k valoszinuleg valami zombie halozatrol jonnek, mert egy napnyi log-ot
elemezve tobb, mint 10,000 IP-t kaptam el.
Igencsak idegesito...
Szerintetek lehet ez ellen tenni valamit? Es egyaltalan *minek* van ez,
Nem tul szep megoldasok jutnak eszembe... Pl. keszithetsz feherlistat a
legitim levelezopartnereid altal hasznalt SMTP-szerverekrol. Akik nincsneek
a listan, azoknak az SMTP-kapcsolatait atdobod tuzfallal egy masik portra,
ahol mindegy, ha elfogynak a konkurens kapcsolatok.

Vagy irhatsz scriptet, ami folyamatosan olvassa a postfix logjat, es mondjuk
10 percre kituzfalaz minden IP-t vagy subnetet, ahonnan nemletezo cimre jon
mail (nyilvan egy feherlistan szereplo IP-ket kiveve, nehogy self-dos
legyen).

Netfilterrel (talan a hashlimittel) megcsinalhatod, hogy mondjuk egy /16-bol
csak meghatarozott szamu SMTP-kapcsolatot fogadj el, igy az egyik /16 nem
tudja elhasznalni az osszes kapcsolatot a tobbi subnet elol.

Gany, de talan hasznal, vagy ad jobb otletet... Majd mindenkeppen ird le,
mire jutottal. :)

Guy
--
Andras Korn <korn at chardonnay.math.bme.hu>
<http://chardonnay.math.bme.hu/~korn/> QOTD:
"I'll be Bach!" - Johann Sebastian Schwarzenegger
Papp Tamas
2007-01-03 11:09:09 UTC
Permalink
Post by KORN Andras
Nem tul szep megoldasok jutnak eszembe... Pl. keszithetsz feherlistat a
legitim levelezopartnereid altal hasznalt SMTP-szerverekrol. Akik nincsneek
a listan, azoknak az SMTP-kapcsolatait atdobod tuzfallal egy masik portra,
ahol mindegy, ha elfogynak a konkurens kapcsolatok.
Vagy irhatsz scriptet, ami folyamatosan olvassa a postfix logjat, es mondjuk
10 percre kituzfalaz minden IP-t vagy subnetet, ahonnan nemletezo cimre jon
mail (nyilvan egy feherlistan szereplo IP-ket kiveve, nehogy self-dos
legyen).
Netfilterrel (talan a hashlimittel) megcsinalhatod, hogy mondjuk egy /16-bol
csak meghatarozott szamu SMTP-kapcsolatot fogadj el, igy az egyik /16 nem
tudja elhasznalni az osszes kapcsolatot a tobbi subnet elol.
Gany, de talan hasznal, vagy ad jobb otletet... Majd mindenkeppen ird le,
mire jutottal. :)
A greylist ez ellen sztem remek hatasfokkal hasznalhato.

tompos
KORN Andras
2007-01-03 11:26:39 UTC
Permalink
Post by Papp Tamas
Post by KORN Andras
Nem tul szep megoldasok jutnak eszembe... Pl. keszithetsz feherlistat a
legitim levelezopartnereid altal hasznalt SMTP-szerverekrol. Akik nincsneek
a listan, azoknak az SMTP-kapcsolatait atdobod tuzfallal egy masik portra,
ahol mindegy, ha elfogynak a konkurens kapcsolatok.
Vagy irhatsz scriptet, ami folyamatosan olvassa a postfix logjat, es mondjuk
10 percre kituzfalaz minden IP-t vagy subnetet, ahonnan nemletezo cimre jon
mail (nyilvan egy feherlistan szereplo IP-ket kiveve, nehogy self-dos
legyen).
Netfilterrel (talan a hashlimittel) megcsinalhatod, hogy mondjuk egy /16-bol
csak meghatarozott szamu SMTP-kapcsolatot fogadj el, igy az egyik /16 nem
tudja elhasznalni az osszes kapcsolatot a tobbi subnet elol.
Gany, de talan hasznal, vagy ad jobb otletet... Majd mindenkeppen ird le,
mire jutottal. :)
A greylist ez ellen sztem remek hatasfokkal hasznalhato.
A greylist is elfogadja a TCP-kapcsolatot, es 450-et mond - miert lenne jobb
ebben a helyzetben, mint az ervenytelen cimzett elutasitasa?

Netfilter-alapu "greylistet" lehetne csinalni, valahogy igy:

iptables -N smtp_refused

iptables -A smtp_refused ${=LOGLIMIT} -j LOG --log-prefix "FW: SMTP greylist: "
iptables -A smtp_refused -p tcp -j REJECT --reject-with tcp-reset
iptables -A smtp_refused -j DROP

iptables -N smtp

cat smtp-whitelist \
| while read i; do
iptables -A smtp -s ${i} -j ACCEPT
done

# If first connection arrived in last 180 seconds, REJECT
iptables -A smtp -m recent --rcheck --name SMTP_bad --seconds ${SMTP_GREYLIST_TIME:-180} -j smtp_refused

# If first connection arrived earlier than 180 seconds, ACCEPT
iptables -A smtp -m recent --rcheck --name SMTP_bad -j ACCEPT

# If neither, remember IP and REJECT
iptables -A smtp ${=LOGLIMIT} -j LOG --log-prefix "FW: SMTP greylist: "
iptables -A smtp -p tcp -m recent --set --name SMTP_bad -j REJECT --reject-with tcp-reset
iptables -A smtp -j DROP

Igy minden kliens csak az elso kapcsolat-kiserletet koveto 180. masodperc
utan tud kapcsolodni. De ez meg nagyobb gany. :)

Nalam mondjuk mukodott, de nem olyan jo hatasfokkal, mint egy valodi
greylist.

Guy
--
Andras Korn <korn at chardonnay.math.bme.hu>
<http://chardonnay.math.bme.hu/~korn/> QOTD:
If this isn't war... then why is CNN massing on the border?!
Papp Tamas
2007-01-03 12:35:29 UTC
Permalink
Post by KORN Andras
A greylist is elfogadja a TCP-kapcsolatot, es 450-et mond - miert lenne jobb
ebben a helyzetben, mint az ervenytelen cimzett elutasitasa?
Jatenyleg, figyelmetlen es huje vagyok:)

Amit irt, az ellen igazan hatasosan imho csak az smtp, mint a
jelenlegi formajaban hasznalt protokoll, kidobasa az egyetlen igazan
hatasos modszer, nem? A tobbi max. csak elodazas.

Bocs,

tompos
KORN Andras
2007-01-03 13:29:47 UTC
Permalink
Post by Papp Tamas
Post by KORN Andras
A greylist is elfogadja a TCP-kapcsolatot, es 450-et mond - miert lenne jobb
ebben a helyzetben, mint az ervenytelen cimzett elutasitasa?
Jatenyleg, figyelmetlen es huje vagyok:)
Amit irt, az ellen igazan hatasosan imho csak az smtp, mint a
jelenlegi formajaban hasznalt protokoll, kidobasa az egyetlen igazan
hatasos modszer, nem? A tobbi max. csak elodazas.
Eppenseggel hatasos lenne a masszivan elosztott MX-halozat is, csak kicsit
nehezen kivitelezheto. :)

Guy
--
Andras Korn <korn at chardonnay.math.bme.hu>
<http://chardonnay.math.bme.hu/~korn/> QOTD:
Aural Sex produces eargasms.
Loading...