zed.0xff.me

спамеры научились подбирать SASL пароли

Что-то стал почтовик туго работать..
Смотрю – loadavg около 3.8 .. что-то тут неладно..
Смотрю tail -f /var/log/maillog – там жуть полнейшая.. всё скачет и мелькает сотнями строк в секунду..
Причем чаще всего строчки вида:

host mailin-03.mx.aol.com[205.188.109.56] refused to talk to me: 554 IP:y.y.y.y – A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.)

или такие:

host c.mx.mail.yahoo.com[209.191.88.254] refused to talk to me: 421 4.7.1 [TS03] All messages from y.y.y.y will be permanently deferred; Retrying will NOT succeed. See http://postmaster.yahoo.com/421-ts03.html

или такие:

status=bounced (host mxs.mail.ru[94.100.176.20] said: 550 spam message discarded. Please visit http://mail.ru/notspam/ or report details to abuse@corp.mail.ru. Error code: 0F9B7FC84BF25CB6A821A57C9B6112E28F9CA260D04BD65B (in reply to end of DATA command))

в /var/spool/postfix – 180тыс сообщений.. O_o

В итоге оказалось что спамеры подобрали пароль на акк вида test:test (явно кто-то из админов заводил для теста..) и вовсю спамили с него везде куда их черная душа пожелала..

В сухом остатке:

  • сменил пароль юзера на непотребство вида “gbplf[eq” :)
  • жестко забанил спамеров:
1
2
3
4

  ipfw table 10 add 82.127.122.36
  ipfw table 10 add 203.161.99.96
  ipfw table 10 add 165.228.2.249
  ipfw add deny ip from "table(10)" to me
  • ограничил количество одновременных SMTP-коннектов 5-ю штуками:
1

  ipfw add allow ip from any to me 25 setup limit src-addr 5
  • запустил чистилку на /var/spool/postfix:
1
2

  cd /var/spool/postfix
  grep -rlF "sender: test" . | xargs -L 100 rm

работает небыстро, зато надежно :) уже вычистила около 30K сообщений.
ключик “-L 100” нужен для того чтобы rm вызывался не в самом-самом конце поиска, а на каждые N найденных файлов.