Obmedzenie poctu e-mailov, nadvazujem na davnejsie prispevky...

Lubomir Majersky lumax at in.acompp.sk
Tue Nov 13 01:54:02 CET 2012


Pozdravujem Vas,

	nadviazal by na starsie prispevky, tykajuce sa problematiky obmedzenia 
poctu e-mailov/mailserver (postfix) a spam (7.4.2008/10.2.2011). Nikdy 
nekonciaci boj.

	Po velmi, velmi dlhej dobe sa moj mailovy server dostal na blacklisty, 
a to vdaka legitimnemu uzivatelovi, ktory ma opravnenie ho vyuzivat. 
Prihlasil sa k mailovemu uctu cez webmail rozhranie (roundcube, dalej 
len *RoCu*) a potom to zacalo. Z jeho masiny (teda nie celkom, o tom 
nizsie), sa cez moj mailovy server, zacali odosielat - kazdu sekundu, 
pre stovky prijemcov - e-maily. Ak by som bol za netom, riesil by som to 
okamzite, ale kym som sa za net dostal a spolu so stresom..., nuz, par 
tisic e-mailov zo servera odislo a medzi tym som sa dostal na blacklisty.

	Dolezite konstatovanie:
Je potrebne vychadzat z toho, ze nie som vzdy za netom, nie som vzdy 
dostupny.

	Len na okraj, pouzivam mailovy system na postfixe...

    - mam nasadene funkcionality ako amavisd-new, spamassassin, clamav, 
kombinacia (nazvem to) vierohodnych rbl-iek, greylist, opendkim, 
*RoCu*,... ...ipfw - nicim vynimocne, len bezne nastavenia.
    - je urceny pre X legitimnych uzivatelov/zakaznikov
    - da sa povedat, co zakaznik, to iny provider, rozne IP adresy resp. 
dynamicky pridelovane IP adresy a mobilni klienti (v zmysle cestujucich 
a pripajajucich sa cez cokolvek/kohokolvek)
    - mam legitimnych uzivatelov, ktori posielaju e-maily stovkam 
prijemcov (v jednom e-maili), ale necinia tak kazdu sekundu, to znamena, 
ze negeneruju kazdu sekundu e-maily, to ani v ludskych silach nie je mozne.
    - zadefinovat pravidlo v ipfw, ktore by mi logovalo pocetnost 
smtp/smtps, nie je problem, ale moc mi to neriesi, pretoze ak nastane 
takato situacia, nepomozem si, ak vezmem v uvahu vyssie uvedene dolezite 
konstatovanie.
    - najvacsi problem vidim v legitimnych uzivateloch, ktori pouzivaju 
webmail rozhranie. Hlasia sa odkialkolvek a z akychkolvek 
(nezabezpecenych, zavirenych...) masin. Cez maillog som sa dopracoval k 
logom *RoCu* a tam som potom zistil, kedy, cez ktoreho uzivatela a z 
akej IP adresy to zacalo. Ked sa hlasi uzivatel XY ku svojej schranke 
cez *RoCu*, standardne sa do maillogu zapisuje nieco ako:
...imapd/imapd-ssl: LOGIN,....user...., ip=[127.0.0.1]...
Ak sa zapocne cez *RoCu* s odosielanim e-mailov, transakcie su 
standardne zaznamenavane do logu v ramci *RoCu*. Uzivatelovi XY to 
"vytiahlo" z masiny prihlasovacie udaje a... uz to slo ako po masle. 
Podstatne je vsak to, ze e-maily odosiela localhost/127.0.0.1, teda moj 
server a ten sa za par hodin dostal na blacklisty.

	Najma vdaka stresu, z danej situacie, ma hned nenapadlo pozriet sa do 
logov v ramci struktury *RoCu*, kde som napokon nasiel zdroj/legitimneho 
uzivatela, od ktoreho to vzislo. Samozrejme, ucet, z ktoreho sa to 
vsetko spustilo, som zablokoval. Nasledne som cistil frontu postfixu a 
potom som v *RoCu* zmenil hodnotu parametra 'sendmail_delay'.
	Zacal som si prechadzat niektore direktivy postfixu, zaujali ma najma:
...
smtpd_recipient_limit
smtpd_recipient_overshoot_limit
smtpd_client_recipient_rate_limit
smtpd_client_connection_rate_limit
smtpd_client_message_rate_limit
...

	zatial som vsak nic nemenil, nakolko nastavenie obmedzeni moze sposobit 
problemy dalsim legitimnym uzivatelom. Nemozem si dovolit laborovat na 
ostrom serveri a zasa na testovacom serveri nedokazem nasimulovat tak 
exponovany stav. Najst vyvazeny stav je skutocne tazke. A dalej fakt, ze 
potrebujem *obmedzit relay* legitimnych uzivatelov, a nie prijem, ma 
trochu metie.

	Pytam sa Vas, harcovnikov postfixu ci sendmailu, ako na to? Ako na 
legitimnych uzivatelov, ktori maju z*srane masiny? K tym vyssie uvedenym 
direktivam postfixu, vie niekto doporucit praxou overene hodnoty? Teoria 
je jedna vec, prax vsak druha. Ak uz ma nastat niekedy v buducnosti 
obdobna situacia, nech to postfix netlaci tak rychlo a v takom pocte, 
ale nech so zvysujucimi sa poctami smtp konexii, znizi rychlost, pocet 
prijemcov... Kedysi davno som sa venoval aj Novellu/GroupWise a dodnes 
si pamatam, ze v GW bola taka funkcionalita 'mailbomber'. Jedna 
direktiva, ktora dokazala uzasne veci. V postfixe je tych direktiv viac 
a ako som uz spomenul v predchadzajucom odstavci, nerad by som laboroval.

Vdaka za tipy
Lubo M.
-- 
~~~~~~~~~~~~~~~~~~~~
http://LuMaX.acom.sk
~~~~~~~~~~~~~~~~~~~~


More information about the Users-l mailing list