What is the difference to the already build in feature "Limit Number of IP's Per Domain" ? It will do the job... "The number of IP(subnet) switches a domain may have during the Limit Different IP's Per Domain Expiration. If a domain switches more often than this it will be banned from future connections until the Expiration is reached. This can be used to prevent server overloading and DoS attacks. 10 connections are typically enough. If left blank or 0, there is no limit imposed by ASSP. ISP/Secondary MX Servers and Accept All Mail matches are excluded, whitelisted and nonprocessing addresses are honored. Internal Name: maxSMTPdomainIP"
Matti > Hi ASSP-User list, > > After checking my Maillogs today I had an Idea to catch them > without blowing up the triplet list. But sorry, it is to difficult > for me to explain it in english - even in german it is hard enough - > sorry non-german List-members - probably someone will translate it. > > Z. Zt. scheinen die Spammer auszutesten wieviele Triplets mein > Server speichern kann - schaut mal bitte auf die Frequenz mit der > die einhämmern. Da ist mir eingefallen, das man das natürlich auch > gegen sie verwenden kann. So eine Kombi aus Tripletlist und Penaltybox auf > Adressenbasis. > > Die Idee ist in etwa so: ein neues Triplet wird verglichen mit den > vorhandenen, ob die Absender-Adresse schon vorgekommen ist, wird > eine gefunden, dann wird das in einer neuen Liste gespeichert, mit > einem conter, der zählt von wieviel IP-Adressen das gekommen ist (und diese > Speichert?). > Wird dann eine bestimmte anzahl (variable) überschritten, dann ist > das verwenden der Absenderadresse ein killerkriterium für eine (variable) > Zeitspanne. > Die Absender IPs ab da kommen direkt in die Penaltybox mit einem > hohen score - oder besser gleich in die extreme-Black (die ich auch > für die denySMTPConnectionsFrom verwende) - denn es können ja nur > willige drohnen von BOT-Netzen sein. > > Unten hab ich einen Auszugs meines Logs von heute dran - und die > Listen sind gekürzt!! Es sieht noch viel übler aus - und ist > grenzwertig nah an einer DDOS-Attacke, normalerweise ist mein > Logfile so 5 MB/Tag - jetzt schon 8. > ->> Neue Übermittlung - die ursprüngliche Nachricht war zu Lang - ich hab das Protokoll gekürzt (2 x) - als Beispiel reicht das > so wie im Beispiel geht das bei mir heut den ganzen Tag. > > Oct-18-07 14:07:51 id-9271c9869 91.6.14.168 <[EMAIL PROTECTED]> is > disconnected > Oct-18-07 14:07:55 id-9274c1639 213.39.183.252 > <[EMAIL PROTECTED]> is disconnected > Oct-18-07 14:07:55 id-9275c7218 80.85.54.241 > <[EMAIL PROTECTED]> is disconnected > Oct-18-07 14:07:58 id-9277c1974 85.27.101.249 > <[EMAIL PROTECTED]> is disconnected > Oct-18-07 14:08:00 id-9280c1677 81.25.228.252 > <[EMAIL PROTECTED]> is disconnected > Oct-18-07 14:08:01 id-9280c17067 88.245.33.118 > <[EMAIL PROTECTED]> is disconnected > Oct-18-07 14:08:03 id-9283c11177 82.18.195.183 > <[EMAIL PROTECTED]> is disconnected - Matti Haack - Hit Haack IT Service Gmbh Poltlbauer Weg 4, D-94036 Passau +49 851 50477-22 Fax: +49 851 50477-29 http://www.haack-it.de Registergericht Passau HRB 5678 USt. ID: DE195625715 Besuchen Sie jetzt unseren neuen INTERNET&NETWORK Security Shop mit faszinierenden Angeboten rund um Ihre Netzwerk- Sicherheit: http://www.inn.de -- Ausgehende E-Mail wurde auf Viren gescannt -- ------------------------------------------------------------------------- This SF.net email is sponsored by: Splunk Inc. Still grepping through log files to find problems? Stop. Now Search log events and configuration files using AJAX and a browser. Download your FREE copy of Splunk now >> http://get.splunk.com/ _______________________________________________ Assp-user mailing list [email protected] https://lists.sourceforge.net/lists/listinfo/assp-user
