On Dec 27, 2007 10:02 PM, Juan Carlos Bravo Celis
On 27/12/2007, Carlos E. R.
wrote: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Content-ID:
El 2007-12-27 a las 09:40 -0500, Juan Carlos Bravo Celis escribió:
tengo un amigo con problema bastante gordo, su servidor de correo, esta siendo atacado por spammers,
¿Quieres decir que recibe mensajes "aparentemente válidas" que tiene que procesar y éso bloquea el servidor de correo?
asi es, los mensajes segun me comentan, inicialmente estaban dirigidas a una sola cuenta, pero luego comenzaron a llegar a diferentes cuentas, que no existen, del tipo, algunnombre@dominiodemiamigo.com , pero que el servidor tiene que procesar.
Que los rechaze, sin contemplaciones. Si la dirección no existe, fuera.
tienen algunas otras ideas de lo que pueda estar sucediendo..?
se trata de mas de un millon de conexiones por semana, y provienen de diferentes IP, y de diferentes paises, ya pusieron muchos equipos de seguridad, desde filtros smpt y otros, pero la cantidad de conexiones es tan alta que estos equipos tambien se caen.
Eso no es gran cosa, 1.6 conexiones por segundo, pero es suficiente para tumbar un exchange :-p
corrijo, me comentan que es un aproximado de 1700 conexiones por segundo, ya se pusieron dos equipos libres de la proteccion del firewall a fin de que puedan tener algunos otros servicios, pues en caso contrario se cae todo.
mmm..mmmm..mmmm se es cierto este numero... en menos de 40 segundos, tendria la maquina completamente congestionada !!! :-( no lo se... yo pensaria en aplicar una regla en el cortafuegos que limitara las conexciones de una misma IP a unas cuantas por segundo !!!! se es un ataque... el atacante ira necesitar de muchas mas maquinas diferentes para lograr que el ataque sea efectivo..
¡Incluso yo manejo más velocidad con mi adsl de un mega en casa!
¿Son todos correos con destino al dominio de tu amigo? Un millon de correos con el TO de tu amigo? Caray. Ya son ganas de fastidiar.
es una organizacion contra delitos por drogas, y eso hace pensar de un ataque directo.
Pues que use cosas como greylisting, o postgrey como dice Victor. Pero tendrá que consultar a un experto en exchange. O empezar cambiando el servidor secundario a postfix, ver si recibe spam, y cambiarlo a primario.
una de las alternativas es poner varios postfix, a fin de liberar carga.
mmmm..mmmm.. creo que no es la mejor soluccion !!! se pones varios postfix, el mas provable es que tendra mas trafico (exponencial al numero de instancias de postfix).. como he dicho en un correo anterior.. una buena configuracion deberia de ser suficiente para librarte del problema !!!!
Puede poner una rama nueva de la red, sólo para correo, y en el momento adecuado, cambiar el DNS, quitando el antiguo servidor de correo del DNS. Con eso, sin quitar el antiguo, ya no recibirá correo legítimo. Si la cosa no va, puede volver a cambiar el DNS e invertir el cambio.
voy a sugerirle que tambien pruebe con esta opcion, ya estare contandoles, pues ya lleva algunas semanas con este problema, y cada dia empeora.
el mejor que haces es recomendar a tu amigo a contratar un experto !!!! salu2 y suerte. -- -- Victor Hugo dos Santos Linux Counter #224399 --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org