• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Email Server wird zugebombt

C

Cr4sh

Hallo,

seid gestern wird mein Postfix Server zugebombt mit Anfragen bzw. Mails so das normale email stunden brauchen da die von meinem
Server Connection Time Outs bekommen. Habe schon diverse Einstellungen vorgenommen z.b mit anvil...aber wie kann ich nun gegenwirken?

Dann habe ich eine recipients_list damit schon nur das angenommen wird wo es auch einen Empfänger gibt..dann habe ich noch drin:

smtpd_recipient_restrictions =
check_helo_access hash:/etc/postfix/helo_check,
permit_mynetworks,
reject_unauth_destination,
reject_unknown_hostname,
reject_unknown_sender_domain,
reject_unknown_client,
reject_non_fqdn_sender,
reject_unverified_sender,

Was kann man noch machen?
 
Geier0815

Geier0815

Das was Du beschreibst klingt nach DOS. Dagegen kannst Du nur relativ wenig machen. Wenn es nur eine Adresse ist von der das kommt, könntest Du dich mit dem Provider der Adresse per abuse in Verbindung setzen, aber wenn der Angriff verteilt erfolgt hilft nur aussitzen.
 
S

spoensche

Eine weitere Möglichkeit wäre den Verkehr mitzuschneiden und dadurch zu versuchen die IP' s herauszubekommen, vorrausgesetzt der Server- Rechner hat genug Leistung, sonst ist das nicht zu empfehlen, weil der Angriff sonst Erfolg haben könnte.

Wie Geier schon sagte ist es am besten bei DDOS Attacken auszuharren und nach dem Ende des Angriffs die Logfiles nach den IP' s, die dafür verantwortlich sind ausfindig zu machen. Die Verbindungsversuche, wer verbindet sich mit dem Server, sollten eigentlich so mitgeloggt werden, dass im Logfile auch die IP' s vorhanden sind.
 
OP
C

Cr4sh

Also es sind immer attacken solche hier :

Aug 28 13:19:25 ogw postfix/smtpd[17283]: lost connection after DATA from unknown[193.212.3.9]
Aug 28 13:19:25 ogw postfix/smtpd[17283]: disconnect from unknown[193.212.3.9]
Aug 28 13:19:45 ogw postfix/smtpd[17283]: connect from unknown[213.147.66.248]
Aug 28 13:19:48 ogw postfix/smtpd[17283]: NOQUEUE: reject: RCPT from unknown[213.147.66.248]: 450 4.7.1 Client host rejected: cannot find your hostname, [213.147.66.248]; from=<> to=<emailadressemalweggemacht> proto=SMTP helo=<mail.myjobseye.com>
Aug 28 13:19:48 ogw postfix/smtpd[17283]: disconnect from unknown[213.147.66.248]
Aug 28 13:19:48 ogw postfix/smtpd[17283]: connect from mail.gyso.ch[194.209.99.43]
Aug 28 13:19:51 ogw postfix/smtpd[17331]: disconnect from unknown[219.166.149.188]
Aug 28 13:19:51 ogw postfix/smtpd[17331]: connect from unknown[193.2.36.70],


solche sachen oder mit falschen email empfänger und so...es kommt ja nichts durch aber es kommen keine "echten" emails mehr durch
weil die von uns einen connection time out bekommen...also was tun? :)

Das ganze geht jetzt schon fast 48 Stunden
 
S

spoensche

Die IP' s, die dafür verantwortlich sind, dass du keine e-Mail bekommst mal als Parameter von dem Programm
Code: 
whois
übergeben und das dann dem Provider melden, dass seine IP' s für Angriffe auf deinen Mailserver verwendet werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben