Почтовик на exim + поток спама на несуществуюие ящики

EXIM, sendmail, postfix, Dovecot и прочие. Решение проблем связанных с работой электронной почты

Модератор: xM

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
NiTr0
мл. сержант
Сообщения: 109
Зарегистрирован: 2008-08-29 0:05:24

Почтовик на exim + поток спама на несуществуюие ящики

Непрочитанное сообщение NiTr0 » 2010-12-06 1:44:40

С недавнего времени (22 ноября) наш небольшой почтовик ISP начали стаями насиловать боты (эдак 5-10 запросов в секунду), пытаясь отправить почту на адреса, которых на данном почтовике и в помине не было - выискивая очевидно валидные мэйл-адреса. Причем боты сравнительно умные, в HELO пишут всякие существующие сайты - что впрочем никак не влияет на то что 99.9% их попыток рубится блэклистами, а оставшиеся 0.1% приходятся на отсутствующие почтовые ящики.
Однако хочется несколько оптимизировать данную рубку каки (дабы не насиловать лишний раз онлайн блэклисты), соответсвенно - вопрос: как правильнее это сделать? Зарубить кол-во входящих соединений с одного ип на единицу времени файрволом? Или конфигурить эксим под локальный блэклист (если да - то как лучше?) Или же - не морочить себе и железке голову, оставить ее разбираться с ботнетом самостоятельно - благое дело получается у нее это прекрасно (ну разве что смущают растущие, как на дрожжах, логи - 50 МБ лог реджекта за сутки)?
И вообще, кто-то с подобными сюрпризами сталкивался?

P.S. Кот кусочек лога (небольшой):

Код: Выделить всё

2010-12-06 00:23:37 H=(vitamine.ru) [189.83.200.251] I=[91.202.132.4]:25 F=<debecot@vitamine.ru> rejected RCPT <3dyudakovo1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:37 H=(asys.kiev.ua) [41.199.162.118] I=[91.202.132.4]:25 F=<bywikug@asys.kiev.ua> rejected RCPT <3dyuliya.pashshenko1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:37 H=(leros.ru) [109.70.188.51] I=[91.202.132.4]:25 F=<cynigez@leros.ru> rejected RCPT <3dyulya.tsipkila1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:38 H=(intomega.com) [93.143.52.172] I=[91.202.132.4]:25 F=<jufijyb@intomega.com> rejected RCPT <3dyuliya.karpova1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:38 H=(alcotester.ru) [200.165.238.193] I=[91.202.132.4]:25 F=<pikoxik@alcotester.ru> rejected RCPT <3dyuliya.repik1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:38 H=(arcsel.dn.ua) [213.6.93.172] I=[91.202.132.4]:25 F=<lyxehok@arcsel.dn.ua> rejected RCPT <3dyuliya.pshenishnaya1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:38 H=(kneu.kiev.ua) [41.252.185.72] I=[91.202.132.4]:25 F=<cuvugiv@kneu.kiev.ua> rejected RCPT <3dyuriy.dolgopolov1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:38 H=(visualcities.com) [213.139.60.5] I=[91.202.132.4]:25 F=<keruzif@visualcities.com> rejected RCPT <3dyulyud1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:39 H=(sweetrealty.kiev.ua) [190.167.29.34] I=[91.202.132.4]:25 F=<cirevep@sweetrealty.kiev.ua> rejected RCPT <3dyonisshuk1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:40 H=(hyla.com.ua) [187.13.190.46] I=[91.202.132.4]:25 F=<kuhizub@hyla.com.ua> rejected RCPT <3dyuri_nesteruk1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:40 H=(hydrosfera.ru) [81.192.215.31] I=[91.202.132.4]:25 F=<rygipes@hydrosfera.ru> rejected RCPT <3dyuliya.bashlak1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:40 H=(kohler.com) [197.193.19.128] I=[91.202.132.4]:25 F=<luvybip@kohler.com> rejected RCPT <3dyuriy.akulenko1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:40 H=(mtu-net.com) [41.199.140.100] I=[91.202.132.4]:25 F=<xusonyf@mtu-net.com> rejected RCPT <3dyuri.ivanov1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:40 H=(record.rivne.com) [85.198.176.29] I=[91.202.132.4]:25 F=<zocyqeh@record.rivne.com> rejected RCPT <3dyuriy-r1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:40 H=(cheqnet.net) [109.91.188.157] I=[91.202.132.4]:25 F=<gofivus@cheqnet.net> rejected RCPT <3dyurcpik1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:41 H=(bereg.east.ru) [92.14.177.49] I=[91.202.132.4]:25 F=<wicewyk@bereg.east.ru> rejected RCPT <3dyurak1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:41 H=(designschool.ru) [41.199.143.62] I=[91.202.132.4]:25 F=<pucerer@designschool.ru> rejected RCPT <3dyulia.shishul1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:41 H=(l-news.org) [62.114.165.56] I=[91.202.132.4]:25 F=<cirevep@l-news.org> rejected RCPT <3dyura1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:41 H=(gormedteh.org.ru) [95.153.168.5] I=[91.202.132.4]:25 F=<peruqof@gormedteh.org.ru> rejected RCPT <3dyurtransservise1@email.kr.ua>: "you in blacklist - cbl.abuseat.org
2010-12-06 00:23:41 H=(osbworld.ru) [41.252.58.221] I=[91.202.132.4]:25 F=<fyxysyb@osbworld.ru> rejected RCPT <3dyuliyam1@email.kr.ua>: "you in blacklist - zen.spamhaus.org
2010-12-06 00:23:41 H=(forexpo.ru) [41.199.175.252] I=[91.202.132.4]:25 F=<qyzofos@forexpo.ru> rejected RCPT <3dyulik1@email.kr.ua>: "you in blacklist - cbl.abuseat.org

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: Почтовик на exim + поток спама на несуществуюие ящики

Непрочитанное сообщение dikens3 » 2010-12-06 1:49:14

Можно письма на несуществующие ящики до поверок в RBL прибивать.
Далее можно такие ИП загонять в фаер/exim минут на 30-60 к примеру (или сутки), как пойдёт...
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
xelak
сержант
Сообщения: 173
Зарегистрирован: 2007-12-09 16:20:00
Откуда: Украина,Харьков
Контактная информация:

Re: Почтовик на exim + поток спама на несуществуюие ящики

Непрочитанное сообщение xelak » 2010-12-08 12:18:05

dikens3 писал(а): Далее можно такие ИП загонять в фаер/exim минут на 30-60 к примеру (или сутки), как пойдёт...
Да, fail2ban, создать правила и банить негодяев. В моем случае так реализовано.
http://www.lissyara.su/articles/freebsd ... /fail2ban/

NiTr0
мл. сержант
Сообщения: 109
Зарегистрирован: 2008-08-29 0:05:24

Re: Почтовик на exim + поток спама на несуществуюие ящики

Непрочитанное сообщение NiTr0 » 2010-12-08 13:16:13

Спасибо всем за ответы, пока собирался с силами для допиливания конфига - поток спама прекратился. На досуге надо будет реализовать блэклист... На всякий случай.