PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SMTP Flood Schutz



Kilrathy
05.11.07, 14:26
Tach zusammen

Hoffe jemand von euch hat eine Idee... und zwar geht es darum, unseren Mailserver vor "dummen" Usern zu schützen :mad: Weil es tatsächlich einer geschaft hat innert ein paar Stunden an die 75k Mails an unseren SMTP Server (auf den er offiziell Zugriff hat) zu senden und diesen, warum auch immer, in die Knie zu zwingen.... Trojaner lässt Grüssen....

Auf jedenfall, ich suche nun nach einer Lösung, in der wir irgendwie definieren können, dass eine IP nur eine bestimmte Anzahl an Verbindungen pro Sekunde/Minute öffnen darf... leider haben wir Qmail im Einsatz und bei diesem finde ich einfach herzlich wenig - vielleicht bin ich auch zu doof?

Aber wäre super wenn mir jemand eine Lösung presentieren könnte!

-Danke

bla!zilla
05.11.07, 14:58
Wo is der QMail Guy, wenn man ihn braucht?? :)

derRichard
05.11.07, 15:06
hallo!

das hat mit qmail selber nichts zu tun. qmail-smtpd hört nicht direkt am socket.
das musst du bei tcpserver/xinetd oder was du halt verwendest einstellen.

wenn du vpopmail verwendest dann kannst es auch über pop-bevor-smtp lösen.
es gibt auch einen schönen patch für tcpserver, wo man das einstellen kann.

hth,
//richard

Kilrathy
07.11.07, 14:53
hallo!

das hat mit qmail selber nichts zu tun. qmail-smtpd hört nicht direkt am socket.
das musst du bei tcpserver/xinetd oder was du halt verwendest einstellen.

wenn du vpopmail verwendest dann kannst es auch über pop-bevor-smtp lösen.
es gibt auch einen schönen patch für tcpserver, wo man das einstellen kann.

hth,
//richard

Jetzt musst du mir leider noch ein bischen weiter helfen. Wir verwenden hier tcpserver, habe mal von einem auch schon mit bekommen, wie man explizit eine IP sperrt. So nach dem Prinzip "a.b.c.d:deny" in /etc/qmail/smtp.txt rein und dann tcprules /etc/qmail/smtp.cdb /etc/qmail/smtp.cdb.tmp < /etc/qmail/smtp.txt

Wie mach ich da eine Max. Connection/IP pro Minute oder sowas?

Danke schon mal!

derRichard
07.11.07, 15:59
hallo!

also das kommt auf deine qmail-installation an.
der "alte" tcpserver kann das gar ned.

aber so würde es gehen:
http://wiki.qmailtoaster.com/index.php/TCP_Server_limits_configuration

du musst es aber auch gar nicht beim tcpserver selber einstellen. man kann sowas ja auch leicht mit iptables erreichen.

hth,
//richard

Kilrathy
13.11.07, 08:24
Mh ja das mit den IPtables habe ich mir auch schon überlegt, aber ob das so die feine variante ist, weiss ich eben auch nicht... naja mal schauen, vielleicht kann man ja auch was an der Firewall drehen, ist zwar auch nicht besser :rolleyes:

derRichard
13.11.07, 13:16
hi!

firewall = iptables ;)
verwende das state-modul in verbindung mit dem limit-modul und fertig.

//richard

Kilrathy
16.11.07, 08:10
Mh ich hab mich mal umgeschaut und hab noch was altes von mir gefunden, ich habe das als SSH "Schutz" mal verwendet:


iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --set

iptables -I INPUT -p tcp --dport 22 -i eth0 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

Kann ich eigentlich auch verwenden, ne? Ich setze es einfach auf Port 25... das einzige was mich daran stört (ich habe sehr wenig iptables Erfahrung) in dieser Variante werden zwar die Pakete gedroppt, aber wie kann ich nachschauen, welche IP wie lange geblockt ist?

Thx