Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 7830 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Mail Bombe / Mail Flooding

ThomasWeimar

Hallo Community,


wir sind kurz davor uns eine Sophos zuzulegen und haben uns zu Testzwecken die Software Variante angeschaut
um zu prüfen inwieweit sich unsere Vorstellungen so umsetzen lassen.
An und für sich schaut das alles ja ganz gut aus bis auf das wir es nicht hinbekommen Mails zu blockieren.


Was ich meine ist, wenn wir heute das Opfer einer Mail Bombe werden sollten, dann erwarten wir eigentlich dass
die (im schlimmsten Falle) tausenden Mails gar nicht erst von der Sophos verarbeitet werden sondern direkt
(z.B. die ersten 100 Mails maximal zugestellt werden) abgelehnt werden. Momentan schaut es so aus dass die Sophos
alles annimmt was kommt und dann langsam abarbeitet.
Wir habe hier Testweise 500er Mail Blöcke verschickt und festgestellt dass die CPU Last recht schnell gen 100%
geht und halt alles zum Exchange durch gestellt wird.

Bei dem ersten Versuch hatten wir Greylisting aktiviert gehabt, das hatte bedingt funktioniert. Die Mails werden
trotzdem von der Sophos über SMTP angenommen, und somit unter hoher CPU Last verarbeitet.

Gibt es hier eine Einstellung die wir evtl. nicht auf dem Schirm haben ums sowas zu unterbinden?

Mit einem Postfix und PolicyD geht sowas ja auch (momentan im Einsatz).

Wir können uns einfach nicht vorstellen dass bei einer professionellen Appliance/Software so eine Sicherheitsfunktion
nicht vorhanden sein soll.

Vielen Dank

VG
Thomas



This thread was automatically locked due to age.
Parents
  • 0

    Und die max* Einstellungen unter Erweitert reichen nicht?

    Handbuch Kapitel 10.1.8

    Oh, aus Prinzip: Man braucht kein PolicyD um Postfix entsprechend zu konfigurieren. Und auch die gewählten Begrifflichkeiten im Betreff sind unzutreffend. Ein unbedarfter Leser könnte hier einen falschen Eindruck bekommen. Aber was wundere ich mich...

    <edit>Und dann tagged ihr das auch noch so? Was läuft falsch in eurem Job?</edit>

  • 0 in reply to K.N.

    Nein, die Einstellungen reichen nicht.

    Zumindest wüssten wir nicht inwieweit mit den von Dir vorgeschlagenen Einstellungen Mails verworfen
    werden sollen bzw. gar nicht erst angenommen werden wenn ein "Mail Bombe" mal ankommt.
    Da wir hier den Fall schon hatten ist das für uns durchaus ein Thema.

    Keine Ahnung was Du mit Deinem Problem der Begrifflichkeiten im Betreff hast. Ist es vorauseilender Gehorsam
    das man das Wort "Bombe" nicht mehr verwenden darf weil dann gleich die NSA an der Tür klopft oder was?
    Ich habe hier lediglich wie bei Wikipedia den Begriff verwendet:
    en.wikipedia.org/.../Email_bomb

    Tja, nun zu Deinem Edit.
    Da ich genau nach den Schlagworten gesucht habe, weil es wohl nun mal so heißt, denke ich dass das Tagging
    schon so korrekt ist.

    Ich würde mich zukünftig über qualifiziertere Antworten freuen!

    VG
    Thomas

  • 0 in reply to ThomasWeimar

    Dann qualifiziere Dich und beschreibe, was daran nicht reicht. 

    Bei welcher Hardwarekonfiguration mit welcher Softwarekonfiguration stößt die UTM an ihre Grenzen in welchen eurer Szenarien?

    "Vorauseilender Gehorsam" - Du hast nicht verstanden, was ich an Betreff und Tags bemängelte. Was für ein Qualitätssiegel.

  • 0 in reply to K.N.

    Also nochmal ganz einfach:

    Angenommen wir erhalten in einem bestimmten Zeitraum <1 Std. von ein und demselben Mailserver
    mehrere Tausend Mails.

    Wie bekommen wir die Sophos dazu diese Mails zu verwerfen und gar nicht erst anzunehmen (Reject),
    denn das Annehmen und verarbeiten der "paar" Mails belastet ja die Sophos (egal ob VM oder Appliance).

    Wir haben es geschafft mit einem simplen Perl Script (1000 Mails) unsere Sophos über einige Minuten
    mit 100% auszulasten.

    Unsere Sophos läuft momentan, da ja Testumgebung unter folgende Spezifikationen:

    VMware
    RAM = 8 GB
    CPU = 2x  2,3 Ghz Xeon E5

    Unser aktuelles SMTP Gateway (Postfix mit PolicyD) ist in der Lage zu erkennen das wenn von einem Absender
    eine bestimmte Grenze an Mails (z.B. 100/h), diese erst gar nicht angenommen werden und somit keine Last
    auf dem Gateway erzeugt.
    So würden wir das eigentlich auch gerne auf der Sophos haben.

    Die maximal Werte funktionieren nur bei gleichzeitigen Verbindungen, sobald man die 1000 Mails in 1 Sekunden
    Abständen zeitversetzt an die Sophos schickt nimmt sie diese an und verarbeitet diese. Somit lässt sie sich
    ja mehr als nur einfach überlasten.

    Unser Postfix Gateway würde jetzt nach 100 Mails innerhalb von 1 Stunde ab der 101. alle weitere blockieren.
    Nach weiteren 60 Minuten würde das Spiel wieder von vorne beginnen und die ersten 100 Mails zustellen und danach
    würden wieder alle abgelehnt.

    Da wir uns das einfach nicht vorstellen können dass das so einfach gehen soll, denken wir das es in der Sophos
    bestimmt eine passende Einstellung hierfür gibt, wir diese (mangels Erfahrung) aber nicht kennen/finden.

    Keine Ahnung warum Du hier so feindselig/arrogant rüberkommen musst, aber wie ich eingangs ja geschrieben habe
    beschäftigen wir uns hier ganz neu mit der Sophos und kennen demzufolge nicht alle Konfigurationsmöglichkeiten.

    Was uns auch noch interessieren würde, offenbar sind wir ja zu dämlich, was stört Dich genau am Betreff
    und den Tags?
    Anstatt immer nur nichtssagende Kommentare dahingehend abzugeben, sag es einfach und gut ist es...

    VG
    Thomas

  • 0 in reply to ThomasWeimar

    Die max. Anzahl E-Mails insgesamt oder pro Host / pro Stunde lässt sich in der UTM nicht konfigurieren. Man könnte mit den drei verfügbaren Einstellungen ggf. die Verbindungen einschränken. Ja, das könnte man als fehlendes Feature betrachten. Erfahrungsgemäß gibt es aber manchmal Konfigurationsoptionen, die über die WebGUI nicht konfigurierbar sind. Hier wäre der Sales Support eures Dienstleisters der bessere Ansprechpartner. Von Hand am MTA was ändern, ist zwar möglich, kann ich aber nicht empfehlen. 

    Die CPU Auslastung bei 1000 Mails in der Minute (?) irretiert mich. Hier wäre interessant, was zu dem Zeitpunkt alles konfiguriert war. Habt ihr zwei Sockets oder zwei Cores verwendet? Wie verhält es sich, wenn ihr zwei Sockets mit zwei Cores konfiguriert? Wie sah die Festplatten- und RAM-Auslastung aus?

    Bisher sind die UTMs, auch wenn sie mal unter Feuer standen, damit zurechtgekommen. In Konstellationen, in den das Mailaufkommen grundsätzlich schon höher ausfiel (Sizing), sind für das Mailing Alternativen zum Einsatz gekommen. 

    Zum Thema Betreff und Tags: Ich finds reißerisch und das gefällt mir nicht. 

    Zum Thema arrogant etc: Ich suche hier keine Freunde und wenn mich etwas stört, formuliere ich es auch so.

    Mag sein, dass ich mit beiden nicht richtig liege, dass ist dann leider so.

Reply
  • 0 in reply to ThomasWeimar

    Die max. Anzahl E-Mails insgesamt oder pro Host / pro Stunde lässt sich in der UTM nicht konfigurieren. Man könnte mit den drei verfügbaren Einstellungen ggf. die Verbindungen einschränken. Ja, das könnte man als fehlendes Feature betrachten. Erfahrungsgemäß gibt es aber manchmal Konfigurationsoptionen, die über die WebGUI nicht konfigurierbar sind. Hier wäre der Sales Support eures Dienstleisters der bessere Ansprechpartner. Von Hand am MTA was ändern, ist zwar möglich, kann ich aber nicht empfehlen. 

    Die CPU Auslastung bei 1000 Mails in der Minute (?) irretiert mich. Hier wäre interessant, was zu dem Zeitpunkt alles konfiguriert war. Habt ihr zwei Sockets oder zwei Cores verwendet? Wie verhält es sich, wenn ihr zwei Sockets mit zwei Cores konfiguriert? Wie sah die Festplatten- und RAM-Auslastung aus?

    Bisher sind die UTMs, auch wenn sie mal unter Feuer standen, damit zurechtgekommen. In Konstellationen, in den das Mailaufkommen grundsätzlich schon höher ausfiel (Sizing), sind für das Mailing Alternativen zum Einsatz gekommen. 

    Zum Thema Betreff und Tags: Ich finds reißerisch und das gefällt mir nicht. 

    Zum Thema arrogant etc: Ich suche hier keine Freunde und wenn mich etwas stört, formuliere ich es auch so.

    Mag sein, dass ich mit beiden nicht richtig liege, dass ist dann leider so.

Children
No Data
Cookie Information Banner