Gerade habe ich
Nachdem ich dann wieder aufgewacht war, ;-) hatte ich plötzlich ~200 Mails in meinem Postfach, die scheinbar alle erfolgreich am Greylisting vorbeigerutscht sind.
…
X-Greylist: delayed 1022 seconds by postgrey …
…
Zum Glück hatte der Spam immer genau denselben Text im Body und darüber habe ich dann meinem „postfix“ eine neue „body_checks“-Regel eingeworfen. Hilft für den Moment auch ausgezeichnet, (Nach weiteren 45 Minuten waren es 63 derartige E-Mails die geblockt wurden!) aber wie lange?
Scheinbar gibt es erste Spam-Bots mit einer Mail-Queue, sodass sie das gute Prinzip vom Greylisting, zumindest teilweise, aus-hebeln können! :-(
Allerdings wurde davor schon länger gewarnt.
Nachtrag:
Nachher habe ich dann auch noch etwas an den „smtpd_client_restrictions“ geschraubt. Ich hatte nämlich festgestellt, dass 37 der 63 o.g. E-Mails von unknown-Hosts kamen. Außerdem kann ich auch gleich noch eine Blackliste hinzufügen. Also habe ich die „smtpd_client_restrictions“ etwas abgeändert:
smtpd_client_restrictions =
permit_mynetworks
reject_unknown_client
hash:/etc/postfix/client_access
reject_rbl_client bl.spamcop.net
Vorher hatte ich mich an die HowTo gehalten und „relays.ordb.org“ als Real-time Blacklist übernommen. Danach bekam ich keinen Spam mehr, leider aber auch andere keine E-Mail. Im Logfile fand ich Einträge dieser Art:
... postfix/smtpd[11432]: NOQUEUE: reject: RCPT from 85-250-79-9.bb.netvision.net.il[85.250.79.9]: 554 5.7.1 Service unavailable; Client host [85.250.79.9] blocked using relays.ordb.org; ordb.org was shut down on December 18, 2006. Please remove from your mailserver.; from=<Isenburg_Olga@yusufyusufoglu.blogcu.com> to=<xxx@hier.net> proto=SMTP helo=<85-250-79-9.bb.netvision.net.il>
Jetzt, wo sie es sagen, fällt mir auch wieder ein, dass die Typen von ordb.org ja „freundlicherweise“ zur Holzhammer-Methode gegriffen hatten. Sie hatten ihren Dienst so konfiguriert, dass alles zu „Spam“ wird! :-( Richtig cool wäre allerdings auch gewesen, wenn sie inzwischen auch die (offizielle) HowTo abgeändert hätten.
Nachdem ich dann die Zeile auf bl.spamcop.net geändert hatte, ging auch wieder etwas Ham durch.
Bleibt noch zu sagen, dass man darauf achten sollte, das der Parameter „unknown_client_reject_code“ weiterhin auf „450“ steht – dem Defaultwert. Ansonsten würden bei einem DNS-Problem schnell mal alle E-Mails endgültig abgewiesen, weil dann ja (fast) jeder Host „unknown“ wäre.
Wenn es nun wirklich Bots mit Queue gibt, dann könnte man die durch das Setzen des „maps_rbl_reject_code„-Parameters auf einen hinhalte-4xx-er Wert (Default ist 554), etwas „stressen“, weil man auf diese Art deren Queue etwas füllt? – Ich denke mal die Tage darüber nach.
Hinterlasse einen Kommentar