วันนี้เห็น CPU alert จากเครื่อง server ตัวนึง ไปลองดูพบว่า clamd processes
วิ่งกันบานตะไท แต่ละตัวกิน CPU มากโข ตรวจสอบลงไปอีก พบว่าเป็น spam
มาจาก o_onate@yahoo.com ส่งเมล์มาอุตลุต ขยันจริงๆ รวมกับ dictionary
attack อีกจำนวนหนึ่ง
เนื่องจากลูกค้าจำนวนมาก ตั้ง default account = :blackhole: ซึ่งใน cPanel
หมายถึงว่า ให้รับเมล์เข้ามาก่อน แล้ว dump ทิ้ง /dev/null
ซึ่งเท่าที่ทราบ exim ที่ cPanel ตั้งไว้นั้น จะทำ process ทั้งหมด เหมือนกับจะรับเมล์
ปกติ แล้วค่อย dump ทิ้งตอนสุดท้าย ดังนั้น พวกการ virus, spam scanner มันเลย
ต้องทำงานจนจบ แม้ว่าเมล์นั้นจะไม่มีคนรับ แล้วค่อยโยนทิ้ง
พอเปลี่ยน default จาก :blackhole: ไปเป็น :fail: หมายถึงว่า ให้ exim โยนทิ้ง
ตั้งแต่ตอน SMTP เลย ไม่ต้องกวนใจ virus scan กับ spamassassin ทำให้ลด
CPU ลงไปได้แบบหน้ามือเป็นหลังมือ
เสร็จแล้ว อย่าลืม service exim restart และลองตรวจสอบผลนิดนึง
tail -f /var/log/exim_mainlog
tail -f /var/log/exim_rejectlog
ลองค้น google ก็เห็น document ที่ support แนวทางนี้เหมือนกันที่
Why you should use :fail: และเห็นเอกสารดีๆอีกฉบับที่เดียวกัน [url=http://www.configserver.com/free/eximdeny.html]Exim dictionary attack
อย่างไรก็ตาม ตามที่ผมเคยเขียนไว้ก่อนหน้าเรื่อง Short anatomy of spambot
การทำแบบนี้ อาจส่งเสริม Email harvest ได้
แต่อย่างที่ว่า ไม่มีอะไร perfect หมด …
แลกเปลี่ยนกันได้ครับ