Desconectar forçadamente spammers

1

Eu tenho Postfix, Dovecot e Amavis no meu servidor Ubuntu. Recentemente, recebo a cada 4 minutos uma conexão do IP 155.133.82.96, que parece ser o Windows XP e talvez tenha um vírus. De qualquer forma, eu encontrei o caminho (depois de muito Googling) para fazer o meu Postfix não atrasar as verificações de acesso do cliente e eu rejeitar esse IP. No entanto, ele permanece por um tempo.

Eu quero encontrar uma maneira mais radical de desconectar forçosamente o IP quando a verificação terminar e o IP não tiver passado. Como eu posso fazer isso? (Eu procuro uma solução Postfix, não iptables ou similar)

    
por Jason 07.06.2016 / 19:51

1 resposta

2

Este endereço faz parte de uma rede atendida por um provedor na Polônia: link

Eu também varro com frequência o meu MTA vindo dessa rede, principalmente / apenas para tentativas de quebra de login do SASL. O que eu recomendo manter essas coisas longe:

  • Uma solução com o Postfix só não é possível, tanto quanto eu sei. Mas você poderia usar i. e. postgrey / cbpolicyd ou um daemon similar ou uma tabela para o smtpd_client_restrictions, para manipular listas negras. Mas isso é um trabalho manual recorrente ...

  • Melhor uso do fail2ban: apt-get install fail2ban
    link
    Ele verifica essas tentativas de invasão muito bem e proíbe o IP por 10 minutos (padrão) no firewall. As regras básicas geralmente devem ajudar o suficiente para limitar essas varreduras.

  • Além disso, você pode registrar a atividade do fail2ban em um banco de dados para contar o número de proibições dos IPs. Com base nesses dados, eu bloqueio todos os intrusos com mais de 25 proibições por 7 dias. O firewall é atualizado a cada hora.
  • Geralmente um conceito veilling: Se você está sozinho usando este sistema de email, pense em escolher uma porta não padrão no Postfix master.conf para sua entrega:
smtp inet n  -  n - - smtpd **-o smtpd_sasl_auth_enable=no**
smtps inet n - n - - smtpd **-o smtpd_sasl_auth_enable=no**
**60666 inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes**

Normalmente, as varreduras SASL são contra as portas 25, 465, 567 e, se não houver resposta, elas desistirão. Não se esqueça de permitir, adicionalmente, essa porta não padrão nas regras do firewall. Estou usando esse conceito para MXs de backup sem tráfego de clientes.

O fail2ban é uma coisa muito boa para proteger muitos outros serviços, como o sshd ou o httpd, etc., e a configuração é feita em alguns minutos.

    
por 08.06.2016 / 17:49