martelamento do servidor de correio

3

Eu notei um aumento rápido nas conexões smtp chegando ao meu servidor, investigando ainda mais, descobri que há uma botnet martelando meu servidor smtp. Eu tentei pará-lo adicionando uma regra no iptables:

-N SMTP-BLOCK -A SMTP-BLOCK -m limit --limit 1/m --limit-burst 3 -j LOG --log-level notice --log-prefix "iptables SMTP-BLOCK " -A SMTP-BLOCK -m recent --name SMTPBLOCK --set -j DROP -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTPBLOCK --rcheck --seconds 360 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTP --set -A INPUT -p tcp --dport 25 -m state --state NEW -m recent --name SMTP --rcheck --seconds 60 --hitcount 3 -j SMTP-BLOCK -A INPUT -p tcp --dport 25 -m state --state NEW -j ACCEPT

Isso evitaria que eles martelassem "muito rápido", mas o problema é que há 5 tentativas por segundo, enlouquecendo, tive que aumentar o número máximo de childs do sendmail / dovecot. Há muitos ips para filtrar manualmente e simplesmente alterar o smtp para outra porta não é prático, pois eu tenho muitos outros clientes nesse servidor.

Estou usando o sendmail com o dovecot, alguma idéia para que isso seja filtrado com mais eficiência?

    
por Rodrigo 04.06.2010 / 06:40

1 resposta

3

Minha inclinação seria garantir que você tenha os hosts MX de backup que estão a bordo; em seguida, bloqueie o acesso à sua porta 25 de todas as máquinas que não sejam seus hosts MX de backup. O correio legítimo de entrada será entregue ao host MX de backup, que poderá entregá-lo a você; mas o e-mail de entrada não destinado ao seu sistema e proveniente de um host em bom estado não irá a lugar nenhum.

(O "host do backup MX" pode ser até mesmo outra máquina sua, ou até mesmo uma máquina VPS / nuvem que você aluga por hora por alguns dias.)

Não entre em uma corrida armamentista com uma botnet - ela pode adicionar tráfego mais rápido do que você pode adicionar largura de banda e servidores.

Parece que você tem muitos clientes / domínios em uma máquina, o que contribui para mais trabalho. Desculpe.

Você pode considerar mudar para um novo endereço IP e / ou alterar o registro A do host sob ataque para 127.0.0.1 e encontrar um novo nome para o servidor - há algumas chances razoáveis de que os spammers passem para outra vítima e deixe seu novo nome de host / endereço IP sozinho.

    
por 04.06.2010 / 10:29