postfix, борьба с перебором адресов(+)

[art]

просматривая лога posfix заметил интересный способ рассылки спама:
спамхост перебирает адреса, получая за одну сессию до полусотни 550 reject на несуществующего получателя, затем присоединяется снова и отправляет на один из адресов, добавляя остальные найденные в BCC.

Кто может посоветовать способ блокировки по IP с настраиваемым порогом по числу ошибок RCPT TO в одной сессии?

postfix backend -  ldap,так что легко проверять получателя внешними срествами.

[Andrey Y. Ostanovsky]

Читать из сислога в перловый скрипт и блокировать доступным файрволлом? У меня есть образчик для блокировки ssh коннектов, написанный Валентином Нечаевым:

http://binkd.spb.ru/howto/ssh_protect.org

Там же и мой дифф, хотя, вроде и без него работало.

[art]

спасибо за идею, мне в голову не приходило.
Однако хотелось бы решения на уровне postfix'а.
Вероятно можно делать то же самое, обновляя  smtpd_client_restrictions.

[Kalashmat]

Вот именно поэтому у меня сендмыл принимает все письма точнее не выдает ошибок, тем самым не давая подолбрать валидные адреса, к сожалению есть и минус это огромная нагрузка на ящик postmaster`а а уже из ежедневных отчетов logwatch`а берется TOP10 самых назойливых подбиральщиков и гасятся средствами iptables

[corvax]

Вот именно поэтому у меня сендмыл принимает все письма точнее не выдает ошибок, тем самым не давая подолбрать валидные адреса, к сожалению есть и минус это огромная нагрузка на ящик postmaster`а а уже из ежедневных отчетов logwatch`а берется TOP10 самых назойливых подбиральщиков и гасятся средствами iptables

ничто не мешает на неизвестного юзера вернуть 4xx, не принимая письмо, а потом уже парсить maillog и точно также "гасить" "подбиральщиков" средствами имеющегося в наличии пакетного фильтра

[Kalashmat]

Вот именно поэтому у меня сендмыл принимает все письма точнее не выдает ошибок, тем самым не давая подолбрать валидные адреса, к сожалению есть и минус это огромная нагрузка на ящик postmaster`а а уже из ежедневных отчетов logwatch`а берется TOP10 самых назойливых подбиральщиков и гасятся средствами iptables

ничто не мешает на неизвестного юзера вернуть 4xx, не принимая письмо, а потом уже парсить maillog и точно также "гасить" "подбиральщиков" средствами имеющегося в наличии пакетного фильтра

Не помню что означет ответ 4xx но ведь логично предположить что если юзер существует то такого ответа не будет а значит спамерская база пополнится валидным мылом после чего даже парсером закрыв IP сканера ты светанул мылом на которое получишь уже тысячи писем из всяких бот нетов... и парсер не поможет.

или я не прав?

P.S. Вообще это советуется в книгах по безопасности как один из элементов противодействия сетевой разведки.

[corvax]

Вот именно поэтому у меня сендмыл принимает все письма точнее не выдает ошибок, тем самым не давая подолбрать валидные адреса, к сожалению есть и минус это огромная нагрузка на ящик postmaster`а а уже из ежедневных отчетов logwatch`а берется TOP10 самых назойливых подбиральщиков и гасятся средствами iptables

ничто не мешает на неизвестного юзера вернуть 4xx, не принимая письмо, а потом уже парсить maillog и точно также "гасить" "подбиральщиков" средствами имеющегося в наличии пакетного фильтра

Не помню что означет ответ 4xx

вы postmaster?

но ведь логично предположить что если юзер существует то такого ответа не будет

чушь. таки вам надо почитать о временных ошибках. номер RFC сами найдете?

а значит спамерская база пополнится валидным мылом после чего даже парсером закрыв IP сканера ты светанул мылом на которое получишь уже тысячи писем из всяких бот нетов... и парсер не поможет.

или я не прав?

интересность ваших рассуждений прямо пропорциональна вашим знаниям спецификации прокола SMTP (ESMTP)

P.S. Вообще это советуется в книгах по безопасности как один из элементов противодействия сетевой разведки.

ну да. принимать все, что ни попадя... хороший совет. вы за трафик платите? с вами поделиться некоторым количеством почтового мусора для несуществующих юзеров вашего домена?

[Andrey Y. Ostanovsky]

но ведь логично предположить что если юзер существует то такого ответа не будет

чушь. таки вам надо почитать о временных ошибках. номер RFC сами найдете?

Странная логика. Тогда уж надо всем отдавать 4xx, используя грейлистинг, либо все равно мы будем индицировать тем или иным способом, что с данным юзером "что-то не так". Так что "чушь", уважаемый, здесь все-таки ваша.

[corvax]

но ведь логично предположить что если юзер существует то такого ответа не будет

чушь. таки вам надо почитать о временных ошибках. номер RFC сами найдете?

Странная логика. Тогда уж надо всем отдавать 4xx, используя грейлистинг, либо все равно мы будем индицировать тем или иным способом, что с данным юзером "что-то не так". Так что "чушь", уважаемый, здесь все-таки ваша.

ну да... лучше принимать все ото всех и для всех

4xx нужно в таких случаях отдавать не бездумно. если в rctp to указали первого несуществующего пользователя, возвращаем 4xx, если после этого указали валидного пользователя, можно вернуть 250. если же опять указывают несуществующего пользователя, то можно на всех остальных вообще возвращать 4xx

да и просто отдавая 4xx с сообщением о превышении квоты никаких странностей в схеме этой не будет, если, конечно, квоты вообщем используются.

т. е. инструмент есть, схем придумать рабочих можно много и разных. но чтобы в security целях принимать все - увольте, я не вижу смысла. может донесете его до меня, если не тяжело?

а второе - может будет таки читать всю мессагу, а не вырывать куски из контекста?
чушью я назвал совершенно четко сформулированную фразу "но ведь логично предположить что если юзер существует то такого ответа не будет", которая являлась ответом на "ничто не мешает на неизвестного юзера вернуть 4xx, не принимая письмо".

Андрей, вы же человек адекватный. мне же не придется доказывать вам, что бывают ситуации, когда MTA возвращает 4xx на существующих получателей?

[Kalashmat]

Мдя, не поленился полистал доку вспонил про 4xx... вполне разумно, хотя не понятно как это можно реализовать на том же postfix, sendmail... А про трафик так в серьезных компаниях на него давно по@#$ую а вот точечный спам доставляет уж очень много хлопот да и спамеры тоже далеко не тупые люди и наверняка засекут подобное поведение почтовика после чего просканят адреса а дальше хоть вешайся.

[corvax]

Мдя, не поленился полистал доку вспонил про 4xx... вполне разумно, хотя не понятно как это можно реализовать на том же postfix, sendmail...

как реализовать в postfix - не знаю
в sendmail и exim все это делается достаточно легко, если владеть синтаксисом правил в первом случае в встроенным язык конфига во втором случае

А про трафик так в серьезных компаниях на него давно по@#$ую а вот точечный спам доставляет уж очень много хлопот да и спамеры тоже далеко не тупые люди и наверняка засекут подобное поведение почтовика после чего просканят адреса а дальше хоть вешайся.

а вам не кажется, что информацию о ваших адресах можно почерпнуть далеко не только от вашего MTA? ваши валидные адреса лежат килотоннами в адресных книгах и почтовых архивах ваших респондентов. а там время от времени пасутся всякие вири / черви / трояны / other shit...

[Kalashmat]

Мдя, не поленился полистал доку вспонил про 4xx... вполне разумно, хотя не понятно как это можно реализовать на том же postfix, sendmail...

как реализовать в postfix - не знаю
в sendmail и exim все это делается достаточно легко, если владеть синтаксисом правил в первом случае в встроенным язык конфига во втором случае

В шлимыле доработав напильником по идее можно реализовать очень гибкие решения, но к сожалению не обладаю таким даром

А про трафик так в серьезных компаниях на него давно по@#$ую а вот точечный спам доставляет уж очень много хлопот да и спамеры тоже далеко не тупые люди и наверняка засекут подобное поведение почтовика после чего просканят адреса а дальше хоть вешайся.

а вам не кажется, что информацию о ваших адресах можно почерпнуть далеко не только от вашего MTA? ваши валидные адреса лежат килотоннами в адресных книгах и почтовых архивах ваших респондентов. а там время от времени пасутся всякие вири / черви / трояны / other shit...

Есть такая трабла... но просканв серв можно намного быстрее получить сразу кучу записей валидных мыл, чем по несколько адресов от каждого респондента... тут уже надежда только на спамассассин и всякие там spamcop`ы.

[corvax]

Мдя, не поленился полистал доку вспонил про 4xx... вполне разумно, хотя не понятно как это можно реализовать на том же postfix, sendmail...

как реализовать в postfix - не знаю
в sendmail и exim все это делается достаточно легко, если владеть синтаксисом правил в первом случае в встроенным язык конфига во втором случае

В шлимыле доработав напильником по идее можно реализовать очень гибкие решения, но к сожалению не обладаю таким даром

sendmail (не sendmail X) вымрет сам, т. к. все меньше остается postmaster'ов, способных в полной мере использовать его достоинства

...
а вот точечный спам доставляет уж очень много хлопот да и спамеры тоже далеко не тупые люди и наверняка засекут подобное поведение почтовика после чего просканят адреса а дальше хоть вешайся.

а вам не кажется, что информацию о ваших адресах можно почерпнуть далеко не только от вашего MTA? ваши валидные адреса лежат килотоннами в адресных книгах и почтовых архивах ваших респондентов. а там время от времени пасутся всякие вири / черви / трояны / other shit...

Есть такая трабла... но просканв серв можно намного быстрее получить сразу кучу записей валидных мыл
...

можно взглянуть на это все по-другому:

некий smtp клиент подбирает адреса по словарю для вашего домена, из 10-ти адресов реально существующих оказалось 3.

1-й вариант (используется LUSER_RELAY) - 3 письма доставляются получателям, 7 уходят на пользователя, прописанного в LUSER_RELAY

2-й вариант (не используется LUSER_RELAY) - 3 письма доставляются получателям, на 7 писем отправитель получает 5xx

много вы выигрываете от получения 7-ми писем для несуществующих пользователей?
или вы боретесь за чистоту спамовых баз?

[Kalashmat]

мдя уж... с такой точки зрения выигрышь никакой  :roll: но валидные 3 юзера в дальнейшем получат уже не 7 а несколько сотен писем из разных бот нетов...

[corvax]

мдя уж... с такой точки зрения выигрышь никакой  :roll: но валидные 3 юзера в дальнейшем получат уже не 7 а несколько сотен писем из разных бот нетов...

при такой логике, если юзать LUSER_RELAY, но на все 10 адресов придет несколько сотен писем из разных ботнетов. ибо с точки зрения отправляющей стороны все 10 адресов валидные. и 3 честных валидных существующих получателя свои письма от ботнетов получат, никуда не денутся

что на это написано в ваших мудрых книжках по безопасности?
кстати, нельзя ли огласить, в какой книге советовали принимать письма для несуществующих получателей? хотелось бы из первоисточника почерпнуть аргументацию