adminlife.net

Angriff auf das SMTP Protokoll

Posted on the August 30th, 2007 under tipps by matthias

Seit einigen Tagen schon macht man als Postmaster eine erschreckende Feststellung: SMTP Verbindungen am eigenen Mailserver sind knapp und häufig am Limit. Manchmal erhält man nur eine Resource temporarily unavailable, manchmal ist die Verbindungsaufbau auf Port 25 ziemlich schleppend. Der Grund hierfür ist ein großflächiger Angriff auf das veraltete SMTP Protokoll aus Dial-Up Netzen.

Infizierte Maschinen aus Botnetzen nehmen eine Verbindung zum jeweiligen Mailserver vor und nutzen dem SMTP-Timeout vollkommen aus (default bei Postfix: 300s). Dadurch geht eine SMTP Verbindungs-Slot für ganze 5 Minuten verloren und kann nicht von anderen Clients genutzt werden. Durch diesen DDoS sind die vorhandenen 100 gleichzeitigen smtpd Prozesse von Postfix schnell aufgebraucht. Da es sich um viele verschiedene Clients handelt kann man keine direkten IPs sperren, was also tun, außer die smtpd Prozesse zu erhöhen?

Folgende Einstellungen brachten bei mir Erfolg. Zuerst wird der SMTP-Timeout heruntergeschraubt – warum soll ein Client 300s lang eine Verbindung beibehalten dürfen, ohne Daten zu übertragen?

[sourcecode language="css"]smtpd_timeout = 30s[/sourcecode]

Außerdem braucht ein Client nicht mehr als 20 gleichzeitige Verbindungen.

[sourcecode language="css"]smtpd_client_connection_count_limit = 20[/sourcecode]

Hiermit konnte ich die Verbindungen vorerst bändigen. Ist dies die Rache der Spammer für Greylisting, Tarpitting und Co?

|