PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix IP-Sperre



carsten.gentsch
26.08.2011, 15:02
Hallo beim anlegen der Sperre bekomme ich folgende Fehlermeldung?!

postconf: fatal: /etc/postfix/main.cf, line 44: missing '=' after attribute name: "check_client_access /etc/postfix/client_access"


Woran liegts denn noch??
Danke euch

Solli
26.08.2011, 15:25
Schwierig zu sagen, poste doch mal bitte zumindest die ganze Zeile. Vielleicht hilft dir auch dieses Schnipsel weiter:

smtpd_client_restrictions = check_client_access hash:/etc/postfix/client_access
Allerdings sind wir hier glaub ich im falschen Forum für technische Diskussionen.

nlnn
26.08.2011, 15:28
@mods: erbitte vorherige Msg und Antwort um Verlegung in neu: Postfix (https://www.antispam-ev.de/forum/forumdisplay.php?48-3.1-Serverseitige-Spamabwehr)

@cg: Schau Dir die main.cf um die Zeile 44 an, was steht darüber und darunter? Es sollte etwa so aussehen:
smtpd_client_restrictions = ..., check_client_access hash:/etc/postfix/client_access,...
(wenn es sich um Netzwerkadressen handelt, dann steht dort etwas wie cidr:/etc/postfix/client_access)

carsten.gentsch
26.08.2011, 21:12
Habs hingekommen auf meinen anderen Server läuft es endlich ;)
Meinem Provider wo ich keinen direkten Zugriff habe, habe ich heute nochmalig Frist gesetzt anderenfalls erfolgt die Kündigung!
Damit sollte sich der Dumspam bald erledigt haben.


Danke Leute

PS könnte mir jemand mal bei der direkten Einrichtung Postfix helfen hab Webmin und Teamviewer. Bei Interesse PN an mich genügt.
Ach ja die Firewall von den Kollegen hier macht auch einen ordentlichen Dienst udn wird regelmäßig gefüttert:)

silverado
07.09.2011, 13:49
Auch wir wollen den Aquatix-Müll loswerden, haben dabei aber folgendes Problem: Wir betreiben einen Postfix-Server, der eingehende Mails nicht direkt annimmt, sondern via Fetchmail (das die Mails aus diversen Postfächern zusammensammelt) angeliefert bekommt, dann filtert (Amavis/Spamassasin) und auf die Postfächer der lokalen User weiterverteilt.

Es bringt also nichts, Mails von Servern aus der Aquatix-IP-Range durch Postfix zurückweisen zu lassen, da Postfix überhaupt nicht direkt mit diesen Servern kommuniziert.

Vielmehr müsste man wohl eine Filterregel definieren, die auf den "Received: from"-Headerzeilen basiert und Mails als Spam ausfiltert, sobald dort eine IP von Aquatix auftaucht.

Ist das so richtig gedacht?

Hat jemand hier eine Idee, wie so eine Regel aussehen müsste? (für alle IP-Adressen einzeln jeweils eine Regel zu erstellen dürfte etwas mühselig sein... :( )

Für Tipps und Hilfe wäre ich sehr dankbar, denn dieser tägliche PKV-Dreck nervt allmählich wirklich.

Solli
07.09.2011, 14:07
Vielmehr müsste man wohl eine Filterregel definieren, die auf den "Received: from"-Headerzeilen basiert und Mails als Spam ausfiltert, sobald dort eine IP von Aquatix auftaucht.
Ist das so richtig gedacht?
Ja, das würde helfen.


für alle IP-Adressen einzeln jeweils eine Regel zu erstellen dürfte etwas mühselig sein...
Naja, du kannst schon reguläre Ausdrücke für Bereiche verwenden. Allerdings musst du dann nach wie vor eine Regel für jeden Bereich erstellen. Ein Tool zum erstellen der entsprechenden regulären Ausdrücke findest du unter https://www.google.com/support/googleanalytics/bin/answer.py?answer=55572&cbid=-103t0ml9wwe47&src=cb&lev=answer. (Man kann die Ergebnisse zum Teil noch von Hand etwas kürzen, aber es erfüllt auch so seinen Zweck.)

Das nur so als erster Ansatz, konkrete Lösung habe ich gerade auch keine parat. Vielleicht ist es aber auch ausreichend effizient, einen heuristischen Filter (Bayes) auf den Inhalt anzuwenden.

silverado
09.09.2011, 12:32
Hallo und vielen Dank für die Hilfe. Den Google-Übersetzer für IPs in Regular Expressions hatte ich tatsächlich schon entdeckt. Im Prinzip sollte er sehr hilfreich sein, aber ich habe Schwierigkeiten, die Angaben der IP-Ranges mit den angehängten Netzmasken (also /21, /16 usw.) in "normale" IP-Adressen für die "von"- "bis"-Angaben zu übersetzen. Ich fürchte, da muss ich mich doch erst mal etwas gründlicher einarbeiten... :-(

Solli
09.09.2011, 12:57
Na das kann ich einfach erklären. Die Suffix-Darstellung (CIDR-Notation) gibt an wie viele Bits der IP-Adresse der Netzwerkteil sind. Eine Ausführliche Erklärung findest du unter http://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing.

Beispiele:
123.123.0.0/16 entspricht dem Bereich von 123.123.0.0 bis 123.123.255.255.
123.123.0.0/17 entspricht dem Bereich von 123.123.0.0 bis 123.123.127.255.
123.123.128.0/17 entspricht dem Bereich von 123.123.128.0 bis 123.123.255.255.

Man tut sich vielleicht gedanklich leichter, wenn man die IP-Adressen binär notiert. Das zweite Beispiel nochmal:
123.123.0.0 (dezimal) entspricht 01111011.01111011.00000000.00000000 (Binär). Und davon sind jetzt die ersten 17 Bits relevant, also 01111011.01111011.0xxxxxxx.xxxxxxx. Die untere Bereichsgrenze ist also 01111011.01111011.00000000.00000000 und die obere 01111011.01111011.01111111.11111111. Das ganze wieder in Dezimaldarstellung umgerechnet und man erhält den oben genannten Bereich von 123.123.0.0 bis 123.123.127.255.

silverado
13.09.2011, 22:16
Sorry, dass ich erst so spät antworte. Wollte mich noch mal herzlich bedanken für Deine Hilfsbereitschaft. Im Moment haben ein paar andere Projekte die Aquatix-Abwehr etwas zurückgeschoben (zumal im Moment mal wieder Ruhe ist), aber wenn ich mich demnächst ans Werk mache, werde ich mich melden und Ergebnisse posten.

carsten.gentsch
20.02.2012, 15:14
Hallo ich wider....
folgendes Problem ich wollte das Fileban gleich die Spammer mit blockt die auf meinen mailserver zugreifen wollen. Nur sieht das ergebnis- nicht ganz so aus wie es sollte oder?

iptables -A fail2ban-postfix -j RETURN
iptables -I INPUT -p tcp -m multiport --dports smtp,ssmtp -j fail2ban-postfix returned -1
2012-02-19 xx:xx:xx,792 fail2ban.actions.action: ERROR iptables -N fail2ban-proftpd
iptables -A fail2ban-proftpd -j RETURN
iptables -I INPUT -p tcp -m multiport --dports ftp,ftp-data,ftps,ftps-data -j fail2ban-proftpd returned 200
2012-02-19 xx:xx:xx,351 fail2ban.actions: WARNING [postfix] Ban 88.198.46.51
2012-02-19 xx:xx:xx,355 fail2ban.actions.action: ERROR iptables -n -L INPUT | grep -q fail2ban-postfix returned 100
2012-02-19 xx:xx:xx,356 fail2ban.actions.action: ERROR Invariant check failed. Trying to restore a sane environment
2012-02-19 xx:xx:xx,361 fail2ban.actions.action: ERROR iptables -D INPUT -p tcp -m multiport --dports smtp,ssmtp -j fail2ban-postfix
iptables -F fail2ban-postfix
iptables -X fail2ban-postfix returned 100
Was muss ich ändern daran?

zudem macht mir das noch sorgen

postfix/trivial-rewrite[21329]: warning: do not list domain meine domaint in BOTH mydestination and virtual_mailbox_domains

ach ja nochmal zu meinem Verständnis wenn ich in der Firewall IPs blocke sollten die dann auch keine Mails senden können oder?

spamer
21.02.2012, 18:01
Zum ersten Problem, hilft es meist die Firewall einmal komplett zu leeren mit:

iptables -F
iptables -X
/etc/init.d/fail2ban restart

Sollte das nicht funktionieren, hilft evtl. bei fail2ban-client ein sleep einzubauen wie im forum.blocklist (http://forum.blocklist.de/viewtopic.php?p=104#p104) beschrieben.

Deine zweite Frage beantwortet man damit, das du in der /etc/postfix/main.cf bei der Variablen mydomain eine Subdomain einträgst, die nicht als Empfänger-Domain im Postfix drin stehen. Z.b.

myhostname = mail.domain.tld
mydomain = mail.domain.tld.local
myorigin = $myhostname


Wenn die IP dann gesperrt ist, kann diese natürlich keine Mails mehr senden, aber erst wenn die offene Verbindung vom Dienst geschlossen wurde.
Es kann auch sein, das du in der /etc/fail2ban/jail.conf bei den Angaben des Dienstes wie smtp, pop usw. die Portnummern nehmen musst.

Hoffe das hilft dir weiter :-)

carsten.gentsch
21.02.2012, 19:44
Hallo danke ja das hilft mir weiter wer es heute mal testen besten dank.