Mail-Attacke auf unseren Domino-Server

[Dominique]

Hallo zusammen,

unser Domino Server (8.5) welcher mit fester IP im Netz hängt und für die Annahme von Mails zuständig ist, wird seit zwei Tagen permanent mit Relay-Anforderungen von eine @yahoo.com.tw Adresse attakiert.

Unser Domino reagiert hierdrauf mit:

"14.10.2011 12:06:53   SMTP Server [05E0:00A8-0688] Attempt to relay mail to boor@yahoo.com.tw rejected for policy reasons. Relays to recipient's domain denied in your configuration."
 
Es kommen bestimmt 5 Anfragen pro Sekunde.

Wie kann ich das unterbinden bzw. mich wehren?

Für Rat- und Vorschläge wäre ich sehr dankbar.....
bin grade etwas verzweifelt

Gruß Dominique

[sw@vpv]

Da er die Mails ja eh ablehnt, hast du in der jetzigen Konfig keine Chance. Einziger weg wäre, ein SpamGateway davor zuschalten.

[Dominique]

danke für die antwort

haben wir keine Möglichkeit uns zu wehren.... 

Welche Programme sind den da zu empfehlen?

[smokyly]

Da er die Mails ja eh ablehnt, hast du in der jetzigen Konfig keine Chance. Einziger weg wäre, ein SpamGateway davor zuschalten.

Was soll das bingen? Irgendein System muss ja reagieren und der Domino macht es ja korrekt.

[smokyly]

danke für die antwort

haben wir keine Möglichkeit uns zu wehren.... 

Welche Programme sind den da zu empfehlen?

Ihr wehrt Euch ja korrekt, es wird rejected (wenn ich das richtig lese, wird da keine Meldung an den Absender gesendet). Geht es Dir um die auflaufenden Meldungen? Wir haben aber vor dem Domino noch einen Gateway sitzen, der uns die meisten unerwünschten SMTP-Geschichten vom Hals hält und noch zusätzliche Sicherheiten bietet. Ist eine Hardwarelösung (nunja, wie man es definiert) von Astaro.


Gruß

[Dominique]

nein wir schicken keine Meldung an den Absender.

Fühlt sich aber sehr komisch an, wenn ich die domino Konsole betrachte und da im Sekundentakt die Meldung erscheint............. 

Bin mal gespannt wie lange das noch geht.

[smokyly]

Fühlt sich aber sehr komisch an, wenn ich die domino Konsole betrachte und da im Sekundentakt die Meldung erscheint............. 

Bin mal gespannt wie lange das noch geht.

Klar fühlt sich das komisch an. Das haben wir ständig. Nur eben, seitdem vor dem Domino eine gute Firewall sitzt, nicht mehr auf Notes-Seite...
Ich bin kein Experte für die Firewall, aber diese kann wirklich mehr, als der Domino und hält mich als Admin genau von solchen Problemen fern.
Allerdings kann man auch am Domino heute gut Einstellungen tätigen, die SMTP entsprechend reglementieren, ohne solchen Müll erst anzunehmen.
Bin da aber nur in der Theorie drin und man möge mir verzeihen, wenn ich keine genaue Auskunft geben kann.

Gruss

[sw@vpv]

Da er die Mails ja eh ablehnt, hast du in der jetzigen Konfig keine Chance. Einziger weg wäre, ein SpamGateway davor zuschalten.

Was soll das bingen? Irgendein System muss ja reagieren und der Domino macht es ja korrekt.

Das die Last vom Domino genommen wird und der Spamfilter das direkt abweist.

[Tode]

Tja, aus diesem Grund hat man auch seinen Domino nicht direkt im Internet hängen... Für solche Dinge gibt es spezialisierte Mail- Gateways, die nix anderes tun... Über kurz oder lang wirst Du Deinen Domino in dieser Konstellation töten. Denn momentan ist es nur ein Spammer, der ihn als mögliches Opfer entdeckt hat... Nur so zur Warnung: Der ClearSwift- Cluster eines meiner Kunden (Mittelstand, ca. 300User, 3 ClearSwift- Maschinen) blockt täglich Mails im hohen sechstelligen Bereich (sogar 2mio Mails im Peak)... Wenn die alle zum Domino durchkommen würden (und wenn es nur die Anfragen wären), dann würdest Du keine einzige Mail mehr bekommen...

[Dominique]

Haben eine M0n0wall als Firewall in Betrieb, die macht ihre Arbeit ansich sehr gut. Kann allerdings keine Spam-Mails erkennen.

Welcher Mail-Gateway kann denn empfholen werden.

Gruß dominique

[Joachim Römer]

Das geht auch gut ohne Firewall....

Ihr solltet jedoch in der Domino-Konfiguration auch den DNS-Blacklist-Filter aktivieren.
Damit wird womöglich die Verbindung des externen "bösen" Mailservers schon geblockt

--------------------------------------------------
DNS-Blacklist-Filter
DNS-Blacklist-Filter:   Aktiviert
DNS-Blacklist-Sites:   zen.spamhaus.org
bl.spamcop.net
ix.dnsbl.manitu.net
--------------------------------------------------

Gruss,

Joachim

Edit:  Uuuups, wenn eine Firewall davor hängt, bringt das natürlich nichts ... ausser die Firewall leitet den SMTP- Stream einfach nur weiter ...

[smokyly]

Das die Last vom Domino genommen wird und der Spamfilter das direkt abweist.

Nicht die Spam-Filter sind das Ding, sondern der Durchgriff auf Relay, bzw. krude Mail-Envelopes. Genau wie Tode es sagt: Verlagert das Problem an spezialisierte Server. Die reichen (meistens) nur das durch, was irgendwie valide erscheint. Und ein solch ein gutes System braucht fast keine Wartung und hat noch andere Features dabei: z.B. VPN-Steuerung.

Gruß

P.S. Ich weiß, im Moment ist das keine Lösung, aber wir haben auch 6 Monate gebraucht, um zum entsprechenden Entschluss zu kommen.

[sw@vpv]

Mailgateways: Ironport, haben wir sehr lange bei uns in Betrieb und testen grad SymantecBrightmail was sich auch als sehr effizient herausgestellt hat. Kann ich beide nur empfehlen.

[smokyly]

Das geht auch gut ohne Firewall....

Ihr solltet jedoch in der Domino-Konfiguration auch den DNS-Blacklist-Filter aktivieren.
Damit wird womöglich die Verbindung des externen "bösen" Mailservers schon geblockt

--------------------------------------------------
DNS-Blacklist-Filter
DNS-Blacklist-Filter:   Aktiviert
DNS-Blacklist-Sites:   zen.spamhaus.org
bl.spamcop.net
ix.dnsbl.manitu.net
--------------------------------------------------

Gruss,

Joachim

Edit:  Uuuups, wenn eine Firewall davor hängt, bringt das natürlich nichts ... ausser die Firewall leitet den SMTP einfach nur weiter ...

Ich kann mich irren und lasse mich gerne korrigieren: Aber was hat das mit Relay zu tun? Klar kann man mit Blacklists Domains blockieren, aber es geht ja nicht drum, eine Mail aufgrund des Absenders zu blockieren.

[Dominique]

@smokyly

danke für den Hinweis, hab grade mal die Konfiguration geändert, war nicht eingeschaltet.
Spannung.

Gruß Dominique

[Joachim Römer]

Das hat sehr wohl mit Relay zu tun.... oder warum meinst Du dass Mails mit Empfänger @yahoo.com.tw
sonst auf dem Mailserver des Threaderstellers aufschlagen ?!

Gruss,

Joachim

[smokyly]

Das hat sehr wohl mit Relay zu tun.... oder warum meinst Du dass Mails mit Empfänger @yahoo.com.tw
sonst auf dem Mailserver des Threaderstellers aufschlagen ?!

Gruss,

Joachim

Ich sag doch, bitte korrigiere mich: Blacklist geht doch meines Wissens nur auf den Absender?!

[smokyly]

@smokyly

danke für den Hinweis, hab grade mal die Konfiguration geändert, war nicht eingeschaltet.
Spannung.

Gruß Dominique

Jetzt bin ich sprachlos. Bitte verrate mir, was Du wo geändert hast. Ich hab doch gar nichts dazu geschrieben?!

LG

[Joachim Römer]

Nein, der DNS-Blacklist Filter unterbindet generell Verbindungen von Servern die in den angegebenen Blacklists stehen.
---> die Absender ( und Empfänger ) sind da komplett irrelevant !

[Dominique]

@smokyly
ich meinte Joachim Römer ;-)


Trotz Änderung der Konfiguration und Neustart leider keine Ändernung :-(

@Joachim Römer
Kann ich irgendwo kontrollieren ob die Blacklisten berücksichtigt werden?