smtp DDoS

С утра мой сервер немного подтормаживает (раутер выбирает лимит соединений), посмотрел статистику…
Куча smtp соединений с разных IP, спам идет преднамеренный по адресам на rk86.com.

email Статистика за сегодня:

Grand Totals
————
messages

121 received
124 delivered
8 forwarded
3 deferred (4 deferrals)
2 bounced
149577 rejected (99%)
0 reject warnings
0 held
0 discarded (0%)

Почти 150 000 email вместо обычных 1000, какое-то чмо развлекается…

Join the Conversation

8 Comments

  1. Spama dejstvitel’no mnogo. Kak ja ustal ot vseh etih Viagra/Penis Enlargement. Chto delat’ s etim (so spamom)?

  2. Пока DDoS не закончится ситуация хуже, так как отключены все RBL проверки. Дальше будет видно.
    За три дня – больше 500 000 email получил (вернее отлупил).

  3. как варианты сделать лимит на количество tcp сессий с одного адреса не больше 4 например (если стоит FreeBSD можно через ipfw)
    ну и конечно резать большую часть спама на уровне установления смтп (по helo например) а не после того как письмо будет получено, могу от exim конфиг выслать

  4. Дмитрий, ты не читатель, ты писатель 🙂

    Прочитай мой оригинальный пост, там ты найдешь ответы на оба своих предложения 🙂

  5. в твоём оригинальном посте почти никакой информации по существу, с моей стороны были некоторые предположения, ну да ладно, наверное просто на жизнь жалуетесь… 🙂

  6. Ну давай посмотрим:

    “как варианты сделать лимит на количество tcp сессий с одного адреса не больше 4 например (если стоит FreeBSD можно через ipfw)”

    Смотрим оригинал:
    “Куча smtp соединений с разных IP”

    чего фильтровать то будешь?

    Далее:

    “ну и конечно резать большую часть спама на уровне установления смтп (по helo например) а не после того как письмо будет получено, могу от exim конфиг выслать”

    Смотрим оригинал:

    “Grand Totals:
    ..
    149577 rejected (99%)
    …”

    Ты полагаешь что я статистику из Thunderbird собирал? 🙂
    Понятно что все режется сервером.

    В общем пару недель бардак продолжался, пришлось временно отключать rbl проверки, чтобы уменьшить нагрузку. Сервер получил млн 2 спама за это время…

  7. 1. На самом деле среди общего потока при таких атаках бывают более и менее активные хосты, я кстати ограничиваю и через mta и через firewall – хуже не будет это точно
    2. Я понимаю что режется сервером, но по каким правилам? т.е. режет после того как письмо сервер получит или по анализу самой smtp сессии, не получая body?
    Еще кажется странным тот факт что 150 000 коннектов в день не такое пороговое значение.

    p.s.
    rbl – зло 🙂

  8. такое не только у тебя – у меня все корпоративные почтовики загибались (в разных странах!), пока не сменил им имена и IP-адреса. Загрузка упала на несколько порядков. Они используют IP-адреса или имена серверов, а не инфу из МХ-ов, так что достаточно просто изменить имя сервера и адрес.

Leave a comment

Your email address will not be published. Required fields are marked *