[Eisfair] Mailserver Angriffe <> bfb
Rolf Bensch
azubi at bensch-net.de
Do Feb 6 17:37:18 CET 2025
Hallo Olaf,
Am 06.02.25 um 00:37 schrieb Olaf Jaehrling:
> das kenne ich zur Genüge. Deshalb blocke ich mir die mit einem anderen Script und schubse diese IP in nftables in die CHAIN "BOESE_IPS".
> Dort sind mittlerweile fast 30k IP-Adressen.
habe das mal etwas genauer untersucht:
Heute zwischen 00:00 und 03:29 gab's 2044 Angriffe über 1339 unterschiedliche IPs mit "authenticator failed". In ca. 98% wurden die IPs maximal 3x verwendet. Ich denke, da rein über die IP zu blockieren wird nicht wirklich zu einer Verbesserung führen.
Auf einem anderen, fast identisch konfigurierten Mailserver, habe ich haufenweise:
2025-02-06 14:11:30 H=([88.204.52.137]) [88.204.52.137] F=<04xpn8jeyvg6po9 at my.teamschools.org> rejected RCPT <zane at myotherdomain.de>: reverse DNS failure (sender host name not set)
Das sind dann meist ca. 100 Zeilen pro SEKUNDE, dann ist der Ansturm auch schon wieder vorbei. In den vergangenen 17 Stunden waren das 2064 Logeinträge aber nur 31 IP-Adressen. Das wäre vielleicht eine sinnvolle Umgebung für Dein Script.
Grüße
Rolf
Mehr Informationen über die Mailingliste Eisfair