А теперь, собственно, немного подробностей вчерашней истерики. Инженер вообще не должен впадать в истерику, но вот так получилось)
1. Что вообще такое backscatter spam тут все я думаю знают
Кто не знает - вот видео от Паши
https://www.youtube.com/watch?v=kpt4tp4_A8Q, до 1000 просмотров накрутите, чо вы как эти.
2. Дано. Жалоба - не ходит почта с внешки, на внешку, внутри еще как-то ходит.
3. Конфигурация.
EDGE
2 MBX/CAS внутри, dag, dns rr cas
Что видим?
Сотни тысяч совершенно одинаковых писем по 22кб,
от адреса pidor.of.the.day@gay-bar.com (это поле from вроде) в сторону postmaster@domain.ru
и те же тысячи писем обратно.
Все лежит нахрен вообще.
4. Что делаем?
- На EDGE включаем recipientvalidation
- На EDGE поднимаем sender filter в приоритет 1
- добавляем сначала в blockedsenders, потом в blockeddomains, и подменный адрес из messageid и returnto
- добавляем дополнительно правило внутри организации уже, sender '@
gay-bar.com', delete message
- с виду, если фильтровать по EVENTID RECEIVE на EDGE, поток прекратился извне
- но нагрузка не спадает, начинается паника и попытки очистить очереди вручную
через get-queue | get-message | remove-message -withndr:$false
нихрена
- догадываемся,
что, если фильтровать по EVENTID SENDEXTERNAL на EDGE, поток вполне продолжается внутрь на MBX
- понимаем, что все же фильтры начали работать. и это идут остаточки из mailqueue
- вспоминаем про shadowredundancy
убираем нахрен все хранение в 5 минут, рестартуем транспорты, ждем.
- видим, что с edge уходит только remote dns queue в сторону атакуемого домена.
ПС, Кто дочитал, самая мякотка.
Там три send коннектора.
2 от edge подписки, это ок.
И 1 прекрасный, первый раз такое вижу.
server scope - 2 mbx
smtp scope - собственно
domain.ruи уходит это все на какой-то нерабочий смартхост
т.е. на mbx перманентно висит 40-50к сообщений в очереди в статусе retry.
