Die Versuche, gültige Empfängeradressen durch Brute-Force zu erraten, hat über die letzten Monate spürbar zugenommen. Über die "recipient verification" schlagen diese Versuche auch auf die Mailsysteme unserer Nutzer durch, das eingebaute Caching ist in diesen Fällen wirkungslos.
Um die Last auf den Systemen zu senken haben wir uns daher entschlossen, die SMTP-Rejects 'User unknown' und 'Protocol Errors' mit fail2ban zu erfassen und IP-Adressen, die 5 Fehlversuche in 10 Minuten liefern für 10 Minuten in der Firewall zu sperren.
Log-Analysen haben ergeben, dass nur in ganz wenigen Einzelfällen "gute" Mailsysteme davon betroffen sind, zB wenn diese Mailverteiler bedienen, die viele ungültige Empfänger enthalten. In diesen Fällen kann die Auslieferung um obige Zeiträume verzögert werden.
Zu diesem Check gibt es natürlich eine IP-Whitelist, in der wir Ausnahmen definieren können.