Wie kann ich verhindern das DER immer wieder kommt .....

juser

Member
Hallo,
seit heute nachmittag beschäftigt mich einer der immer wieder Versucht per smtp Mails zu versenden. In den Logs habe ich folgendes gefunden:

Feb 23 18:35:37 xxxxx-host postfix/smtpd[3864]: too many errors after RCPT from unknown[113.161.77.33]
Feb 23 18:35:37 xxxxx-host postfix/smtpd[3864]: disconnect from unknown[113.161.77.33]
Feb 23 18:35:37 xxxxx-host postfix/smtpd[32549]: NOQUEUE: filter: RCPT from unknown[113.161.77.33]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<tdun@xxxxxnetworks.de> proto=ESMTP helo=<ND-SV-D001.tropdicorp.com>
Feb 23 18:35:37 xxxxx-host postfix/smtpd[32549]: NOQUEUE: filter: RCPT from unknown[113.161.77.33]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<tdun@xxxxxnetworks.de> proto=ESMTP helo=<ND-SV-D001.tropdicorp.com>
Feb 23 18:35:37 xxxxx-host postfix/smtpd[32549]: NOQUEUE: reject: RCPT from unknown[113.161.77.33]: 454 4.7.1 Service unavailable; Client host [113.161.77.33] blocked using psbl.surriel.com; Listed in PSBL, see http://psbl.org/listing?ip=113.161.77.33; from=<> to=<tdun@xxxxxnetworks.de> proto=ESMTP helo=<ND-SV-D001.tropdicorp.com>

Der kommt alle paar Sekunden bis zur Fehlermeldung 454 und dann gehts von vorne los. Manchmal nehmen die Versuche Mails zu senden so stark zu das meiine MySQL DB in die Knie geht. :-///

Wie kriege ich die IP geblockt? Oder kennt Ihr andere Lösungen?
 

juser

Member
Danke für die Antwort @nowayback
Es ist immer die gleiche IP. Über iptables habe ich es schon probiert leider kein Erfolg.

Hat jemand noch ne Idee?
 
Zuletzt bearbeitet:

juser

Member
Jetzt ist noch eine 2te IP dazu gekommen

Feb 23 22:34:32 xxxxx-host postfix/smtpd[29804]: connect from unknown[41.21.202.214]
Feb 23 22:34:33 xxxxx-host postfix/smtpd[29804]: NOQUEUE: filter: RCPT from unknown[41.21.202.214]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<> to=<ombudsmanrk@xxxxxnetworks.de> proto=ESMTP helo=<NRCS-HO-TMG01.nrcs.local>
Feb 23 22:34:33 xxxxx-host postfix/smtpd[29804]: NOQUEUE: filter: RCPT from unknown[41.21.202.214]: <>: Sender address triggers FILTER amavis:[127.0.0.1]:10024; from=<> to=<ombudsmanrk@xxxxxnetworks.de> proto=ESMTP helo=<NRCS-HO-TMG01.nrcs.local>
Feb 23 22:34:33 xxxxx-host postfix/smtpd[29804]: NOQUEUE: reject: RCPT from unknown[41.21.202.214]: 454 4.7.1 Service unavailable; Client host [41.21.202.214] blocked using noptr.spamrats.com; SPAMRATS IP Addresses See: http://www.spamrats.com/bl?41.21.202.214; from=<> to=<ombudsmanrk@xxxxxnetworks.de> proto=ESMTP helo=<NRCS-HO-TMG01.nrcs.local>

Es endet jedesmal damit das die IP in einer Blacklist gefunden wurde. Wenn diese Loginversuche zuviel werden scheint meine MySQL DB in die Knie zugehen.

Hat jemand noch ne Idee?
 

florian030

Well-Known Member
Die IP wird doch geblockt: blocked using psbl.surriel.com
Wenn Dir RBL-Listen nicht reichen, kannst Du auch Postscreen installieren. Das greift früher, führt aber u.U. zu Problemen, wenn ein Client Mails über Port 25 einliefern will.
 

juser

Member
@florian030 ja das ist richtig.

Die Häufigkeit der Anfragen, der und mittlerweile noch zwei anderen IP Adtressen, scheint meine meine MySQL DB in die Knie zu zwingen, das heißt bei Aufruf von Webseiten kommt die Fehlermeldung das die Datenbank nicht erreichbar ist.

Es wäre besser die IP zu blocken bevor die Loginanfrage gestellt wird. Alle Einstellungen in den iptables und bei fail2ban haben leider nicht den gewünschten Erfolg gebracht.

Ich kann natürlich solange warten bis DER seine Lust verliert und die Loginanfragen einstellt, aber wie lange dauert das?

Jemand ne andere Idee?
 

juser

Member
Vielen Dank, jetzt scheint Ruhe zu sein. Jedenfalls ist der Durchlauf der Logeinträge wieder in normalen Abständen.
 

Werbung

Top