Bestimmte HELO/EHLO Kennungen blocken?

    Danke für Deine Tips & Ideen.


    Ich weiss das GFI ME sehr gut ist - aber ich denke da auch immer an die Resourcen (auch wenn es wahrscheinlich unsinnig ist, schon klar). Wenn ich eine Mail aufgrund von blödsinniger/falscher HELO/EHLO gleich ablehnen kann dann muss ich die Mail gar nicht erst annehmen und anschliessend durch ME durchjagen. Immerhin reden wir hier über SPAM und wenn es dieses ganze Gesindel mit den Potenzpillen, Trojanern und anderem Dreck nicht gäbe, dann könnte ich meinen Exchange friedlich direkt ans Netz hängen und müsste nicht Zeit und Geld für eine zusätzliche Relay-Vorstufe ausgeben... jaja, "in a perfect world"... :lol:


    Die Verbindungsversuche als "friend" oder "localhost" finden hier im 1- bis 3-Minuten-Takt statt. Ich habe schon (nach der MS-Empfehlung) eine sehr moderate Teergrube mit 5 Sekunden Verzögerung pro Adressauflösung eingerichtet... vielleicht sollte ich das mal erhöhen...

    Hi grblzbx,


    also wenn die "netten" "friend & localhost" versuche alle 1-3 Minuten permanent statt finden ist das natürlich heftig.


    Ich gehe mal davon aus, dass es sich bei euch um eine grössere Firma handelt, wenn da so viel Spam reinkommt und derart viel Versuche alle 1-3 Minuten...?


    Wenn das so heftig ist und eure Firma eine ziemlich grosse Grösse hat, dann würde ich wirklich dazu raten einen Exim auf Linux Basis davor zu setzen :)


    Alles andere macht wohl dann keinen Sinn. Denn bei Firmen wo teilweise an die 50.000 Mails pro Tag reinkommen, kann sowas natürlich die Performance belasten.


    Andere Frage: Kommen diese localhost & friend Anfragen immer von identischen IP´s?


    Wenn dies der Fall ist könnte man ja die IP Adressen blockieren?


    Eine andere Möglichkeit: Viele Spammer nutzen dynamische IP Adressen. Man kann mit Blacklists dynamische IP`s so blocken, dass diese sich gar nicht erst verbinden können.


    Wenn du bei dir zuhause im Internet bist und mal versuchst zu GMX auf Port 25 eine Verbindung aufzubauen (vorausgesetzt, du hast Arcor, T-Online, 1und1 etc) und eine dymaische IP wirst du feststellen, dass du z.b. bei den GMX Servern gar nicht erst aufn Server kommst:


    mx0.gmx.net
    mx0.gmx.de


    Einfach "telnet mx0.gmx.net 25" eingeben und du wirst sehen, dass dich der GMX Server direkt rausschmeisst.


    Wie oben schon gesagt, ein grossteil der Spammer nutzt dynamische IP´s und die könntest du somit komplett rausschmeissen.


    Und wenn die localhost & friend Anfragen von festen IP´s kommen, blockierst du die IP Adressen einfach auf dem SMTP Server.


    So könntest du dir möglicherweise Exim sparen.


    Ob das wirklich wirkt, weiss ich auch nicht, aber in der Theorie sollte man damit viel Spam filtern können, odere irre ich mich da?

    viele Grüsse


    StevensDE

    So gross ist die Firma nicht. Knapp 50 User. Der damalige Webdesigner hatte den Riesenfehler gemacht, im Kontaktformular auf der Website alle Mailadressen im Klartext zu hinterlegen - damit alle Bots die auch schöööön auslesen können. Realitätsfremder Dumpfgummi. Na gut, den Mann gibt es mittlerweile nicht mehr.


    Die Verbindungsversuche von "friend" & "localhost" kommen von verschiedensten IP-Adressen, daher meine Eingangs geäusserte Vermutung, dass es sich (zumindest bei "friend") um ein Botnetz handeln könnte.


    Die groben Auffälligkeiten werden ohnehin komplett an der Firewall blockiert (tja, wenn man alle IP-Blöcke aus dem Reich der Mitte blockiert ist man glaube ich schon 75% des täglichen Spam losgeworden). Ist halt lästig jedesmal die Subnetzmasken von diesen Kaspern auszurechnen, weil da ja nüscht logisch zusammenhängt (ach war das damals schön im FIDO mit den Zonen *grins*).


    Und die DNS-RBL in der die dynamischen/dialup IPs gelistet sind ist ohnehin schon aktiv. :)

    Hi,


    na dann läuft ja bei euch schon richtig viel.


    Da scheinbar trotzdem noch so viele Anfragen durchkommen, bleibt dann nur noch die Lösung mit dem Exim :)


    Du kannst ja dann mal berichten, wie du es letzendlich dann gelöst hast.

    viele Grüsse


    StevensDE

    Das mit den Mails "aus dem Reich der Mitte" und auch dem ehemaligen Feind im Osten ;) lässt sich mit GFI auch lösen, soweit ich weiss ist GFI das einzige Tool, was Mails auch nach Codepage filtern kann.


    Dort KOI8 und Kyrillisch rein und Ruhe ist...

    Gruss, MiK