O MX primário aqui do IC é constantemente bombardeado por spam. As pessoas por aqui têm seus e-mails publicados em todos os cantos da Internet e há muitos anos, naturalmente isso as tornam presas fáceis para botnets.

Por falar em botnet, depois de conhecer os detalhes, no mínimo impressionantes, de como o Conficker opera eu passei a ter mais certeza ainda de que os floods que o MX do IC recebe são coordenados e vão aumentando de acordo com o sucesso ou não na entrega de mensagens.

Para segurar os floods ao MX, eu utilizo a variável smtpd_client_connection_rate_limitdo Postfix com valor 15, ou seja, se um determinado IP abrir mais de 15 conexões em 1 minuto, as conexões seguintes serão descartadas.

Se os números não mentem, os logs também não. Sempre que um IP ultrapassa o limite de 15 conexões por minuto, na grande maioria dos casos que vi nos logs, outros IPs começam a se conectar em questão de poucos segundos após o primeiro e permanecem tentando abrir conexões dezenas de vezes em janelas de 30 a 60 segundos. Depois de cerca de 2 ou 4 minutos de tentativas e nenhuma mensagem entregue todos se vão.

Em detalhes, o dia é 13 de abril:

Início do flood

1. 12:35:31: 83.21.124.184 abre 5 conexões, todas rejeitadas pois o IP está naSpamhaus.
2. 12:35:37: 203.196.148.150 abre 10 conexões, todas rejeitas pois o IP não tem reverso.
3. 12:35:44: 83.21.124.184 abre mais 5 conexões, rejeitadas.
4. 12:35:55: 98.208.231.2 abre 5 conexões, todas rejeitadas pois o IP está naSpamhaus.
5. 12:35:57: 83.21.124.184 abre mais 5 conexões, rejeitadas.
6. 12:36:03: 203.196.148.150 abre 5 conexões, todas rejeitas pois o IP não tem reverso.
7. 12:36:08: 98.208.231.2 abre mais 5 conexões, rejeitadas.

IPs fazem mais de 15 conexões por minuto, passam a ser rejeitados e flood fica mais intenso

1. 12:36:09: 83.21.124.184 tenta a conexão número 16 em menos de 1 minuto. É rejeitada pelo controle do Postfix.
2. 12:36:09 até 12:36:31: Em 22 segundos 83.21.124.184 tenta abrir mais 75 conexões, Postfix rejeita todas.
3. 12:36:16 até 12:36:37: Em 21 segundos 203.196.148.150 tenta abrir mais 69 conexões, Postfix rejeita todas.
4. 12:36:21: 98.208.231.2 abre mais 5 conexões, rejeitadas.
5. 12:36:33 até 12:36:36: Em 3 segundos 98.208.231.2 mais 34 conexões, Postfix rejeita todas. Não conectou mais.
6. 12:36:33: Passou 1 minuto desde a primeira conexão de 83.21.124.184, Postfix aceita mais 5 conexões mas são rejeitas pois o IP está na RBL.
7. 12:36:38: Passou 1 minuto desde a primeira conexão de 203.196.148.150, Postfix aceita mais 10 conexões mas são rejeitas pois o IP não tem reverso.
8. 12:36:45: Mais 5 conexões de 83.21.124.184, rejeitadas novamente. Não conectou mais.
9. 12:37:03: 203.196.148.150 abre 5 conexões, todas rejeitas pois o IP não tem reverso. Não conectou mais.

Para não complicar mais ainda, o IP 78.180.4.118 conectou-se 142 vezes entre 12:35:38 e 12:38:44.

Temos 4 IPs distintos, em redes completamente diferentes, porém eles tem mais em comum do que apenas o horário em que tentaram floodar meu MX:

• TODOS usaram como HELO exatamente o mesmo hostname:amerblind.outbound.ed10.com
• TODOS forjaram o endereço do remetente usando meu domínio

O que me dá mais embasamento para acreditar que esses floods são coordenados, é que em 90% dos casos em que um IP se conecta muito rapidamente, existem pelo menos outros 3 ou 4 iniciando flood com alguns segundos de diferença.

E esse foi mais um dia na Internet, onde praticamente 80% do tráfego é spam e torrent.