Onderwerp: Mail DOS?

Onze webserver wordt sinds gisteravond geteisterd door spam aanvallen.
Diverse sites worden continue bestookt door bluk mail van een heel scala aan IP adressen.

Ik heb nu sinds gisteravond iets meer dan 33Mb aan mainlog files van exim, vol met pogingen om mail adressen te bereiken op met name 2 domeinen.

Het lijkt erop dat het een vraak actie is omdat we een aantal lekken gedicht hebben die vorige week misbruikt waren om spam te versturen.

De load van de server loopt gestaagd op met 1 per 3 uur (Dual Xeon machine) als ik exim laad draaien.

Ik heb geen idee wat ik kan doen om het op te lossen, buiten tijdelijk de domeinen down te halen en exim te stoppen.

Heeft iemand misschien tips waar ik moet zoeken ?

Hoe staan die domeinen ingesteld (met name de catch-all) ?

Misschien dat het al behoorlijk scheelt als je de catch-all verandert naar "Drop" zodat Exim ze niet meer processed. Anders zou je de mail voor deze 2 domeinen tijdelijk uit kunnen schakelen (maar daar zal je klant ook niet echt blij mee zijn)

mailbom terugsturen

aan welk addres zijn deze mails gericht? als ze bijvoorbeeld naar altijd hetzelfde mailaddres verwijzen (webmaster@... oid) dit account blokkeren en voor je catch-all een :blackhole: invullen

Origineel geplaatst door 3j3ct
mailbom terugsturen

Ja slim en daarna een doss aanval op je dak krijgen

Origineel geplaatst door Dillard
Hoe staan die domeinen ingesteld (met name de catch-all) ?

Misschien dat het al behoorlijk scheelt als je de catch-all verandert naar "Drop" zodat Exim ze niet meer processed. Anders zou je de mail voor deze 2 domeinen tijdelijk uit kunnen schakelen (maar daar zal je klant ook niet echt blij mee zijn)

indien de domeinen van een klant zijn vragen welke mail adresssen de klant gebruikt en de rest uitschakelen.

Hoeveel ip adressen gaat het om? is het geen optie om deze in de firewall op te nemen?

Om hoeveel e-mail gaat het, hoeveel afleverpogingen per seconden? Een wraakactie omdat je een lek gedicht hebt zal het wel niet zijn, spammers doen dit niet vaak... Ze gaan gewoon door naar de volgende. Wellicht is het een wraakactie tegen een klant? Of iets simpels als foutief geconfigureerde (niet gepatchte) Exchange servers in een loop?
Je zou in iedergeval IP-adressen en afzendadressen kunnen blokkeren. Dit zal de hoge load tegen gaan. Als het een langdurige aanval tegen een klant is, dan kan je overwegen om (in overleg met die klant!) het MX record te wijzigen naar een RFC1918 IP-adres. In de hoop dat beheerders van gehackte machines mailaflever pogingen zien in het lokale net.

En last but not least, publiceer je verdediging, log entries, IP-adressen van verzenders e.d.

Misschien is gewoon je adres als From gebruikt, laat eens een mailtje zien?

Het lijkt erop dat de attact aan één klant gericht was. Ik heb zijn catch-all op drop-all gezet, alle driaaiende exim processen gekilled en exim herstart.

Sindsdien is de load weer normaal.

Bedankt allemaal!

Origineel geplaatst door FransVanNispen
Het lijkt erop dat de attact aan één klant gericht was. Ik heb zijn catch-all op drop-all gezet, alle driaaiende exim processen gekilled en exim herstart.

Sindsdien is de load weer normaal.

Bedankt allemaal!

heb je wel met de klant overlegt? aangezien catch-all in sommige gevallen noodzakelijk is voor een klant om gewoon te communiceren met adressen die de klant heeft opgegeven.

Idd zou et niet echt prettig vinden als mn host ineens mn catch-all weg dondert....

heb hier ook last van, klant wordt bestookt met e-mails.
en allemaal mails die terugkomen van postmaster
dus, nadeel is dat je spamfilter ze wel als spam mankeerd, maar gewoon doorlaat.

ook in overleg met klant de catch all box uitgezet...
en toch lost het probleem niet echt helemaal op (eigenlijk)...

idem hier...was gelukkig domeintje van een vriendin...