View previous topic :: View next topic |
Author |
Message |
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Thu Jun 12, 2008 9:53 pm Post subject: [OT] IP Sperre bei Mailserver sinnvoll |
|
|
Hallo,
ich würde gerne mal eure Meinung zu folgendem hören.
Ist es sinnvoll nach abfragen von Blacklist etc. einen Server nicht nur per 5xx abzulehnen, auch die IP für einige Zeit zu sperren?
Bringt es was, ist es sinnlos oder evt. sogar schädlich?
Bin gespannt.
Py |
|
Back to top |
|
|
himpierre l33t
Joined: 31 Aug 2002 Posts: 867 Location: Berlin
|
Posted: Fri Jun 13, 2008 8:48 am Post subject: |
|
|
Quote: | Ist es sinnvoll nach abfragen von Blacklist etc. einen Server nicht nur per 5xx abzulehnen, auch die IP für einige Zeit zu sperren? |
Wüsste jetzt nicht wozu das gut sein sollte.
Quote: | Bringt es was, ist es sinnlos oder evt. sogar schädlich? |
Mal angenommen die gelistete IP-Adresse wird von einem Admin von der Liste runtergenommen. Du blockst dann immernoch. Eher schädlich also. |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Fri Jun 13, 2008 4:40 pm Post subject: |
|
|
Es spart nur minimal Bandbreite und CPU-Power und erhöht dafür den administrativen Aufwand die drop-list mit zu verwalten. _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Fri Jun 13, 2008 5:57 pm Post subject: |
|
|
Bandbreite wird dadurch wohl tatsächlich nicht wirklich gespaart, davon bin ich auber auch nicht ausgegangen.
Mir kam die Idee als beim beobachten des Logfiles, mal wieder plötzlich eine Menge Dial Up Verbindungen versucht haben Mails einzuliefern.
Für den ssh Server habe ich eh fail2ban am laufen, vin daher mag das eh mit verwaltet werden.
Die Sperrung erfolgt bisher auch nur einige Minuten.
Viel bringt es aber anscheinend tatsächlich nicht.
Wobei ich überlege ob ich beibehalte, aber den Fail Count etwas höher zusetzen um damit einfach Wellen abzufangen.
Aber bisher sind mir noch keine wirklichen negativen Nebenwirkungen aufgefallen oder übersehe ich etwas.
Py |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Fri Jun 13, 2008 7:17 pm Post subject: |
|
|
Wenn du schon eindeutig(?) erkennen kannst das es dial-ups sind - warum verbietest du diese Bereiche nicht gleich generell?
Oder anders ausgedrückt wie hoch ist die Chance legtime Mails zu verlieren wenn man dial-ups generell blockt? _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Fri Jun 13, 2008 7:39 pm Post subject: |
|
|
Die gängigen dial-ups sind geblockt, in Postifx, trotzdem seh ich natürlich den Verbindungsaufbau im Log.
Der Server läuft ja auch schon eine Weile problemlos.
Ist auch nicht soviel los, wobei ich es mitlerweile Hammer finde das tatsächlich 99% der Mails schon beil Einliefern scheitern und beim Rest ist immernoch ein drittel Spam (hab keinen weiteren Filter laufen).
Aber zurück zum Thema:
Dialups am Mailserver blocken geht natürlich, allerdings nicht generell per Firewall, dann könnte ich ja auch keine mehr einliefern.
Mich interressiert aber wirklich nur, ob das ganze sinn machen kann.
Aber wahrscheinlich erst, wenn man mehrere Server betreibt die sich die Last teilen und man dann schon vor den Server blocken kann, an einer dedizierten Firewall.
Alos wohl erst bei wirklich grossen Systemen oder ist es auch da nicht sinnvoll?
Py |
|
Back to top |
|
|
think4urs11 Bodhisattva
Joined: 25 Jun 2003 Posts: 6659 Location: above the cloud
|
Posted: Fri Jun 13, 2008 8:31 pm Post subject: |
|
|
py-ro wrote: | Ist auch nicht soviel los, wobei ich es mitlerweile Hammer finde das tatsächlich 99% der Mails schon beil Einliefern scheitern und beim Rest ist immernoch ein drittel Spam (hab keinen weiteren Filter laufen). |
Das ist (leider) normal. Wir hatten in den letzten 24 Stunden 98,7% == >12 Mio. Spams
Und ich würde unser System noch nicht als groß bezeichnen, im Vergleich zu Boeing (afaik >=~100.000 Clients) und anderen sind wir nur kleine Krauter.
py-ro wrote: | Dialups am Mailserver blocken geht natürlich, allerdings nicht generell per Firewall, dann könnte ich ja auch keine mehr einliefern. |
Moment - geht es hier um Mails die von anderen Mailserver an deinen geschickt werden sollen oder um (legitime) Clients die deinen Mailserver zum versenden von Mails nutzen wollen?
Sag nicht du läßt letztere ohne Authentifizierung zu.
py-ro wrote: | Alos wohl erst bei wirklich grossen Systemen oder ist es auch da nicht sinnvoll? |
Jein - das ganze artet schnell in eine letzten Endes doch nicht gewinnbare Materialschlacht aus.
Gegen ein wirklich großes Botnetz haben auch die ganz großen nur begrenzte Chancen. Irgendwann verlierst du entweder legitime Mails wegen Überlast deiner Filter oder du schaltest notgedrungen einen oder mehrere deiner Filter aus um die nicht zu verlieren (und dafür einige Spams einzufangen). _________________ Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
Back to top |
|
|
py-ro Veteran
Joined: 24 Sep 2002 Posts: 1734 Location: Velbert
|
Posted: Fri Jun 13, 2008 8:36 pm Post subject: |
|
|
Think4UrS11 wrote: |
Sag nicht du läßt letztere ohne Authentifizierung zu.
|
Nein, natürlich nicht.
Aber es ging darum per Firewall die Clients zu sperren und dann könnten auch legitime User keine Mails einliefern.
Aber ich denke du hast recht, aber manchmal muss man auch mal über Ideen nachdenken, sonst kommt ja nie was neues
Py |
|
Back to top |
|
|
|