Lidar com o ataque de comando inválido do SMTP

8

Um dos nossos servidores de mensagens semicontentados (sendmail) teve muitas conexões de entrada nos últimos dias a partir de hosts que estão emitindo comandos de lixo.

Nos últimos dois dias:

  • conexões smtp de entrada com comandos inválidos de 39.000 IPs exclusivos
  • os IPs vêm de várias faixas em todo o mundo, não apenas algumas redes que eu posso bloquear
  • o servidor de e-mail atende usuários em toda a américa do norte, por isso não posso bloquear apenas conexões de IPs desconhecidos
  • exemplos de comandos incorretos: link

Não tenho certeza do que alguém está tentando realizar com esse ataque, além de me irritar.

alguma idéia sobre o que é isso, ou como lidar efetivamente com isso?

    
por mark 03.09.2012 / 18:47

2 respostas

4

Aqui está pelo menos uma opção para tarpitting essas conexões depois que eles começam a cuspir erros. Clientes válidos e bem-comportados nunca devem cair neste tarpit.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define('MaxNOOPCommands', '5')dnl

Você também pode usar o recurso GreetPause, que rejeitará esses clientes porque é improvável que eles respeitem a pausa. Você pode ler mais sobre isso aqui: link

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE('access_db') and "GreetPause" entries
dnl #       in access table
FEATURE('greet_pause','5000')dnl
    
por 03.09.2012 / 22:51
1

Eu instalaria fail2ban e bloquearia o primeiro comando inválido.

    
por 03.09.2012 / 22:29