Dynamische Blacklisten
Die Erzeuger von Spam- und Phishing-Mails verfügen über gewaltige Ressourcen, es wird teilweise mit Netzwerken von Bots im sechsstelligen Bereich gearbeitet. Weiterhin ist die eingesetzte Software meist so konzipiert, dass sie Rejects ignoriert und ihre Zustell- oder Adress-Rateversuche pausenlos wiederholt. Dies führt nicht nur auf den Filter-Gateways zu hoher Last. Da unsere Empfängerverifikation für jeden unbekannten Empfänger per SMTP beim Mailserver der Einrichtung nachfragt, kann es auf diesen ebenfalls zu einer hohen Last kommen.
Um diese Last zu reduzieren, werden bestimmte unerwünschte Verhaltensweisen per fail2ban gezählt. Nach einer gewissen Anzahl Verstöße erfolgt eine temporäre Sperrung der IP-Adresse des verursachenden Clients. Wir unterscheiden hierbei folgende Klassen:
Soft: Hierunter fallen alle Server, die versuchen, Mails an unbekannte Empfänger einzuliefern. Nach 5 nicht bekannten Mailadressen innerhalb von 10 Minuten wird der Server für 10 Minuten gesperrt.
Hard: Hierunter fallen Server, die von einer unserer genutzten RBLs gelistet sind, sowie Server, die durch die verhaltensbasierten Filter abgelehnt werden. Nach 2 SMTP-Fehlern oder RBL-Hits innerhalb von 10 Minuten wird der Server für 30 Minuten gesperrt.
Syslog
Sie bekommen in ihrem Syslog-Stream auch die Aktionen des fail2ban geliefert. Daran können Sie erkennen, welche IP-Adressen wann gesperrt und wieder entsperrt wurden.
Whitelisten
Der soft-Check ist leider anfällig für false positives:
- Mailinglisten-Server mit schlecht gepflegten Adresslisten und vielen nicht mehr existierenden Empfängern.
- Software (z.B. cronjobs), die im Fehlerfall massenweise Mails an nicht existierende Empfänger erzeugen.
Für solche Fälle pflegen wir eine eigene Whitelist, bitte wenden Sie sich hierfür an die Hotline.