(04-05-2010 05:30 AM)BeNe Wrote: Wobei die Version 2 doch noch gar nicht stable ist oder ?
Quote:Alle IP´s die Spammails senden wollen, werden durch fail2ban nach einem versuch sofort für 4 wochen geblockt.
4 Wochen ? Ich sperre in der Regel max. 24std.
Wenn eine einzige Mail nicht passt sperrst Du die ganze IP ? Und damit kommen deine Kunde klar ?
Greez BeNe
Die 2er läuft ganz gut soweit, besser als Version 1
Code:
2010-04-04 21:32:04 09483-07550 [Worker_3] 201.24.73.210 <fanwy@ms33.hinet.net> to: cck9999@ms42.hinet.net Message-Score: added 20 for blacklisted domain 'fanwy@ms33.hinet.net', total score for this message is now 25
2010-04-04 21:32:04 09483-07550 [Worker_3] [BlackDomain] 201.24.73.210 <fanwy@ms33.hinet.net> to: cck9999@ms42.hinet.net [spam found] (blacklisted domain 'fanwy@ms33.hinet.net') [u N I l Chttp kisscom com tw national IFri 09 Apr 2010 20 17 56 0100] -> spam/u_N_I_l_Chttp_kisscom_com_tw_n--33290.eml;
2010-04-04 21:32:05 09483-07550 [Worker_3] [BlackDomain] 201.24.73.210 <fanwy@ms33.hinet.net> to: cck9999@ms42.hinet.net info: start damping (2)
2010-04-04 21:32:07 09483-07550 [Worker_3] 201.24.73.210 <fanwy@ms33.hinet.net> to: cck9999@ms42.hinet.net [SMTP Error] 554 5.7.1 Mail (09483-07550) appears to be unsolicited - REASON - send error reports to postmaster@ms42.hinet.net
gerade über diese *.hinet.net oder @gmail.com oder yahoo.com.tw werden diese spammails verschickt. Es kommt auch vor das als Helo meine Server-IP angeben wird.
Daher lasse ich diese IP´s die wie oben zusehen für 4 Wochen sperren.
Normal sperre ich IP´s für 12 Std. findet Fail2Ban aber die gleich IP nochmal in seinem Log dann gibt es auch für diese IP eine 4 Wochen sperre ( meist SSH angriffe )
Ausserdem gibt es ja auch noch die möglichkeit des Whitelisting
Und das ich mit dem Sperren so krass vorgehe kann gar nicht schlecht sein. Ich habe die Tage mit dem Abuse-Team von Hetzner telefoniert weil ich von denen darauf aufmerksam gemacht wurde, das Spammails von meinem System ausgingen. Ich habe ihnen erklärt was ich beasichtige und hab den gleich auch mal einen Logauszug zukommen lassen. Sie meinten das ich mich mit diesen aktionen vorbildlich verhalten würde und hätten nichts dagegen wenn alle so arbeiten würden. Sie hätten dadurch dann auch weniger arbeit