rssLink RSS for all categories
 
icon_red
icon_green
icon_blue
icon_red
icon_red
icon_green
icon_green
icon_orange
icon_green
icon_red
icon_green
icon_green
icon_green
icon_red
icon_orange
icon_red
icon_green
icon_green
icon_red
icon_red
icon_green
icon_green
icon_green
icon_blue
icon_orange
icon_green
icon_green
icon_green
icon_blue
icon_orange
icon_red
 

FS#85 — protection contre les attaques

Attached to Project— Emails
Amélioration
MX (entrants)
CLOSED
100%
Nous avons fait une analyse sur quelques emails
qui sont arrivés en retard (merci à ceux qui nous ont
envoyer les emails avec les entetes qui nous permettent
une analyse).

Il se trouve que principale l'origine de ces
retards sont des attaques sur nos installations.
Ces attaques sont provoqués probablement par les
virus qui floodent nos installations. Pendant l'attaque
le serveur smtp est occupé et ne peut pas receptionner
l'email. L'email est donc renvoyé 1h ou 2h plus tard.

Nous travailons donc actuellement sur la gestion de
ces attaques (une 30ène par jour).

Nous avons déjà changé le type de repartition de charge
( http://travaux.ovh.com/?do=details&id=71 ) qui donne
des bons resultats au niveau de nouvelles requetes.

Nous avons séparé les MX sur des clones de qmail differents
afin de donner plus de chance d'arriver même en cas d'attaque
http://travaux.ovh.com/?do=details&id=70

Maintenant, nous avons mis en place et testé dans la journée
un certain type de protection contre ces attaques.
Certains d'entre vous ont pu avoir des timeouts
aujourd'hui dans la journée. Nous avons reparametré
ces protections pour l'éviter. N'hésitez pas nous remonter l'information
sur le fonctionnement de nos installations.

Si cette methode se trouve pas parfaite, nous allons
en tester d'autres (nous avons 2-3 idées encore à tester
qu'on applique déjà par exemple sur le web contre les
aspirations etc). Nous allons adapter ces methodes pour
l'email (ou/et les améliorer).

Date:  Thursday, 16 December 2004, 12:21PM
Reason for closing:  Done
Additional comments about closing:  La methode donne des excellents resultats. Nous la gardons.
Comment by OVH - Monday, 06 December 2004, 09:11AM

Nous avons augmenté le burst sur le serveur pop3/imap/webmail.


Comment by OVH - Monday, 06 December 2004, 10:29AM

Nous avons enlevé les protections sur les serveurs pop3/imap/webmail


Comment by OVH - Tuesday, 07 December 2004, 00:21AM

Nous avons mis en place un script de blacklistage des ip qui
nous attaquent. En tout une 100ène d'ip par jour. Nous allons
mettre un nouveau repartisseur de charge et au lieu de blacklister
ces ip, nous allons les rediriger vers une serveur smtp "poubelle"
prevu que pour les attaques.


Comment by OVH - Tuesday, 07 December 2004, 11:12AM

Demarrage des travaux sur la repartition de charge:
http://travaux.ovh.com/?do=details&id=99


Comment by OVH - Thursday, 09 December 2004, 10:08AM

Nous avons mis en place une autre methode pour se proteger
contre les attaques. Actuellement en production depuis 2 jours
cette methode donne des bons resultats. Nous attendons 4 jours
de stabilitée avant de fermer le ticket.