https://www.opennet.ru/openforum/vsluhforumID1/83046.html Друзья!<br> Существует такая (не новая) проблема: на машинах время от времени появляются вируса отсылающие кучу спама. Естественно после пары тысяч писем провайдер блокирует СМТП. Отловить вируса не проблема, но офис в итоге сутки без почты сидит. Хочу поставить ограничения на количество одновременно отправляемых писем с одного хоста в определённый промежуток времени (например 4 письма в минуту). Нашёл пару интересных фичей (http://www.anrb.ru/linux/sendmail.html): FEATURE(ratecontrol) и FEATURE(conncontrol), но!!! они не работают для хостов с OK или RELAY в access. <br> Подскажите, как их прикрутить, или обойти access, или, если есть варианты как это реализовать по другому.<br> Жду ваших ответов, советов. комментариев. <br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#21 Thu, 27 Nov 2008 16:06:35 GMT &gt;define(`SMTP_MAILER_MAXMSGS',`10')<br><br>Спасибо!<br>Попробую, расскажу что получится!<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#20 Thu, 27 Nov 2008 14:53:06 GMT define(`SMTP_MAILER_MAXMSGS',`10') <br><br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#19 Thu, 27 Nov 2008 14:42:17 GMT &gt;[оверквотинг удален]<br>&gt;README: <br>&gt;SMTP_MAILER_MAXMSGS [undefined] If defined, the maximum number of <br>&gt;<br>&gt; <br>&gt; <br>&gt; messages to deliver in a single connection for the <br>&gt; <br>&gt; <br>&gt; smtp, smtp8, esmtp, or dsmtp mailers. <br>&gt;<br><br>Очень похоже!<br>А как можно прикрутить?<br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#18 Thu, 27 Nov 2008 11:58:47 GMT нашла, кажется, оно самое?<br><br>README:<br>SMTP_MAILER_MAXMSGS [undefined] If defined, the maximum number of<br> messages to deliver in a single connection for the<br> smtp, smtp8, esmtp, or dsmtp mailers.<br><br>&gt;Есть ещё мысль настроить SMTP-аутентификацию, но возникает вопрос: а не сможет ли <br>&gt;вирус подтянуть учётные данные из аутлука? <br><br>тут не знаю, умеют ли вирусы такое ...<br>если только он будет слушать сеть и перехватывать plaintext-пароли<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#17 Wed, 26 Nov 2008 13:28:52 GMT &gt;Нее, похоже, что это не то, что надо <br>&gt;op.me говорит более конкретно и называет определенные комманды в отличие от RELAESE_NOTES <br>&gt;<br>&gt;с его абстрактным просто "a command" <br>&gt;<br>&gt;да, вопрос интересный, будет время - задам на sendmail-конфе <br>&gt;ну или вы его можете "отцам sendmail'a" задать сами :) <br><br>В таком случае тему не закрываем, если будет инфа - пишите. Я дополнительно включил проверку исходящей почты спам-ассасином и в фаерволе ограничил число коннектов на 25й порт. Посмотрим как оно будет.<br>Есть ещё мысль настроить SMTP-аутентификацию, но возникает вопрос: а не сможет ли вирус подтянуть учётные данные из аутлука? <br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#16 Wed, 26 Nov 2008 12:41:08 GMT Нее, похоже, что это не то, что надо <br>op.me говорит более конкретно и называет определенные комманды в отличие от RELAESE_NOTES<br>с его абстрактным просто "a command"<br><br>Sendmail has some built-in measures against simple denial of service (DoS) attacks. The SMTP server by default slows down if too many bad commands are issued or if some commands are repeated too often within a session. Details can be found in the source file sendmail/srvrsmtp.c by looking for the macro definitions of MAXBADCOMMANDS, MAXNOOPCOMMANDS, MAXHELOCOMMANDS, MAXVRFYCOMMANDS, and MAXETRNCOMMANDS. If an SMTP command is issued more often than the corresponding MAXcmdCOMMANDS value, then the response is delayed exponentially, starting with a sleep time of one second, up to a maximum of four minutes (as defined by MAXTIMEOUT). If the option MaxDaemonChildren is set to a value greater than zero, then this could make a DoS attack even worse since it keeps a connection open longer than necessary. Therefore a connection is terminated with a 42 https://www.opennet.ru/openforum/vsluhforumID1/83046.html#15 Wed, 26 Nov 2008 11:49:01 GMT <br>&gt;<br>&gt;Хороший вопрос. <br>&gt;Сначала была идея поставить счетчик писем за одну сессию, но ,оказывается, <br>&gt;они тогда обрабатываются по отдельности и счетчик не растет <br>&gt;<br><br>Т.е. получается что сендмейл сам блокирует такие соеднения?<br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#14 Wed, 26 Nov 2008 09:59:19 GMT &gt;Хм... теперь получилось. Ограничил число одновременных коннекшенов. Но за ночь назрел ещё <br>&gt;один вопрос: вирус не обязательно будет производить рассылку в <br>&gt;несколько потоков одновременно. Он может открыть одно соединение к <br>&gt;почтовому серверу и вливать через него десятками тысяч - что лучше в <br>&gt;такой ситуации? <br><br>Хороший вопрос.<br>Сначала была идея поставить счетчик писем за одну сессию, но ,оказывается,<br>они тогда обрабатываются по отдельности и счетчик не растет<br><br>но вот что обнаружилось из RELEASE_NOTES<br><br>If MaxDaemonChildren is set and a command is repeated too often <br>during a SMTP session then terminate it just like it is <br>done for too many bad SMTP commands. <br><br>я думала что тут сыграет confMAX_NOOP_COMMAND который по умолчанию равен 20<br><br>но оказалось что в sendmail уже зашит MAXBADCOMMANDS (25?)<br>http://groups.google.com/group/comp.mail.sendmail/browse_thread/thread/6f84ff104f8996ab/64e3443e1df5325e?lnk=gst&q=too+many+bad+SMTP+commands#64e3443e1df5325e<br> https://www.opennet.ru/openforum/vsluhforumID1/83046.html#13 Wed, 26 Nov 2008 08:03:33 GMT &gt;Хм... теперь получилось. Ограничил число одновременных коннекшенов. Но за ночь назрел ещё <br>&gt;один вопрос: вирус не обязательно будет производить рассылку в <br>&gt;несколько потоков одновременно. Он может открыть одно соединение к <br>&gt;почтовому серверу и вливать через него десятками тысяч - что лучше в <br>&gt;такой ситуации? <br><br> Редкие вирусы шлют spam через smtp провайдера. Большая часть шлет напрямую, напрягая при этом DNS-сервер лишним резолвингом(хороший косвенный признак). Поэтому средствами firewall блочьте весь smtp не через ваш smtp-сервер.<br><br>