Onderwerp: Mailserver kreeg een DDOS

Vandaag kreeg ik in mijn mailbox allemaal email's met het zelfde kenmerk:
Postfix SMTP server: errors from X

Om precies te zijn 89 e-mails
Wat opvalt is dat de postmaster zelf deze email kreeg, aangezien de ontvangende persoon niet bestaat. Door middel van een RSET probeert hij het nog is. Maar nu is de vraag wat kan ik hier tegen doen?

Hier een paar van de emails:

Return-Path: <double-bounce@mail.rollerscapes.net>
Received: by mail.rollerscapes.net (Postfix)
id 23E4A5260A1; Fri, 31 Aug 2007 10:14:49 +0200 (CEST)
Date: Fri, 31 Aug 2007 10:14:49 +0200 (CEST)
From: MAILER-DAEMON@mail.rollerscapes.net (Mail Delivery System)
To: postmaster@mail.rollerscapes.net (Postmaster)
Subject: Postfix SMTP server: errors from mail88.bayern.de[195.200.70.88]
Message-Id: <20070831081449.23E4A5260A1@mail.rollerscapes.ne t>

Transcript of session follows.

Out: 220 mail.rollerscapes.net NO UCE ESMTP Postfix (Debian/GNU)
In: EHLO mail88.bayern.de
Out: 250-mail.rollerscapes.net
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN LOGIN
Out: 250-AUTH=PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL From:<> SIZE=6057
Out: 250 2.1.0 Ok
In: RCPT To:<DIANJUTherriault@mail.rollerscapes.net>
Out: 451 4.3.0 <DIANJUTherriault@mail.rollerscapes.net>: Temporary lookup
failure
In: DATA
Out: 554 5.5.1 Error: no valid recipients
In: RSET
Out: 250 2.0.0 Ok
In: QUIT
Out: 221 2.0.0 Bye

Return-Path: <double-bounce@mail.rollerscapes.net>
Received: by mail.rollerscapes.net (Postfix)
id 6303A5260BD; Fri, 31 Aug 2007 10:16:08 +0200 (CEST)
Date: Fri, 31 Aug 2007 10:16:08 +0200 (CEST)
From: MAILER-DAEMON@mail.rollerscapes.net (Mail Delivery System)
To: postmaster@mail.rollerscapes.net (Postmaster)
Subject: Postfix SMTP server: errors from mail.e-registernow.com[69.28.229.169]
Message-Id: <20070831081608.6303A5260BD@mail.rollerscapes.ne t>

Transcript of session follows.

Out: 220 mail.rollerscapes.net NO UCE ESMTP Postfix (Debian/GNU)
In: EHLO IW-EX7.dotnet.local
Out: 250-mail.rollerscapes.net
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN LOGIN
Out: 250-AUTH=PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: STARTTLS
Out: 220 2.0.0 Ready to start TLS
In: EHLO IW-EX7.dotnet.local
Out: 250-mail.rollerscapes.net
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-AUTH PLAIN LOGIN
Out: 250-AUTH=PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM:<> SIZE=7599
Out: 250 2.1.0 Ok
In: RCPT TO:<Chestin-Hornak@mail.rollerscapes.net>
Out: 451 4.3.0 <Chestin-Hornak@mail.rollerscapes.net>: Temporary lookup
failure
In: QUIT
Out: 221 2.0.0 Bye

En spoed is geboden, omdat het namelijk maar blijft komen

Lijkt gewoon op een DNS probleem? Je server kan niet resolven en daardoor krijg je die failure.

89 emailtjes zijn er (lijkt mij) niet zoveel; die kun je nog even een bepaalde kant op schoppen met een clientside filter.

Als dat niet lukt, moet je 'm configgen in je spamfilter als je die hebt, de remote-smtp's (als 't niet heel veel verschillende zijn) firewallen of een postfix filtertje schrijven dat ze gelijk dropt voor verdere behandeling.

Succes!

Dit lijkt mij gewoon dat iemand mails heeft lopen versturen met jouw domain (wat 90% van de hosters hier overkomt en dagelijkse kost is) en dat jij nu de bounce mails krijgt, waarop jouw host bounced en daarop weer een bounce terug krijgt (vandaar de dubble-bounce melding?). Kijk voor de grap maar naar de adressen en je return-path.

Sowieso zijn 89 mails helemaal niets om je druk om te maken.

Ik heb dagen gehad dat er 800 van die mailtjes binnen kwamen.
Tijdens mijn vakantie kwamen er zelfs elke 30 seconden van die meuk binnen.
En als je dan nog een catch-all hebt dan komen ze ook nog mooi in je mailbox terecht. Tegenwoordig de catch-all uit staan.
Kortom 89 mailtjes valt wel mee.

Ik denk dat ik die catchall mogelijkheid ook onklaar ga maken. De load op ons platform bestaat voor 70% uit spamfiltering, waarvan ik denk 80% van catchalls komt. Het is een ramp.

Daar zou ik dus ook even goed naar kijken.

Daar was ik dus al bang voor

- Catchall heb ik al heel lang niet meer
- Mails zijn eigenlijk gewoon spam
- Maar het leuke er van is, dat door die troep het aantal maximum te maken verbinding was overschreden (Wat nu ook gaat verhogen)

Wido, jij had toch eerst een topic/reactie met tips over hoe HELO strenger te maken? Kan jij toevallig een link daarnaar geven

Oorspronkelijk geplaatst door Rollerscapes

VOut: 451 4.3.0 <DIANJUTherriault@mail.rollerscapes.net>: Temporary lookup
failure

Kijk even verder in je logs, er moet een oorzaak zijn voor deze failure.

Ik krijg ze ook (maar dan meer) als er iets mis is met mysql of andere table lookups, bijvoorbeeld. Of resolving is (even) stuk.


Robin

Ik geloof dat het probleem nu weg is
Ik heb HELO-restricts (weer) ingeschakeld, en nu blokkeert hij er veel meer.

Ik heb maar even het hele mailsystem opnieuw gestart.
Amavisd, postfix, courier.

Vermoedelijk zat het probleem in het ontvangen van emails.
Hij kreeg hem binnen op (met als afzender [AT] rollerscapes.net), maar die gebruike bestaat niet dus stuurt hij hem terug. En krijgt hem weer binnen.
Hij kan er niets mee dus word hij naar de posmaster gestuurd.

De controle bij de tabel of een client wel mag verbinding was niet gebruikt. Dus die heb ik verwijderd.

Wat wel opvalt is dat het aantal wachtende database verbinding tergend hoog ligt En AVG load licht ook erg hoog....

Edit: Inmiddels begint de load te dalen, alleen het aantal verbinding blijft erg hoog
Edit2: Ik heb een proxy-map toegepast om de verbindingen terug te dringen.