Mitigação de DDoS do postfix: como colocar na lista de permissões IPs para acesso IMAP a uma única caixa de correio

1

O (Zimbra usando) Postfix tem uma opção para colocar na lista de permissões IPs ou domínios para logins IMAP para uma caixa de correio específica somente ?

É isso que gostaríamos de alcançar:

  • todos os IPs podem abrir uma conexão IMAP na porta 993 com válido credenciais [email protected]
  • todos os IPs podem abrir uma conexão IMAP na porta 993 com credenciais válidas [email protected]
  • apenas 1.2.3.4, 3.4.5.0/24 e foo.example.com podem abrir uma conexão IMAP na porta 993 com credenciais válidas [email protected]

De preferência, quando alguém do 4.5.6.7 tentar abrir uma sessão IMAP com credenciais [email protected], o mesmo erro deve ser retornado para uma tentativa malsucedida de login devido à senha incorreta ou ao endereço do destinatário inexistente, com o mesmo tempo limite ( por exemplo, 10 segundos).

Histórico: o nosso servidor de email (Zimbra usando o Postfix) está sob ataques intermitentes em caixas de correio específicas, resultando em bloqueio dessas caixas de correio devido ao número de tentativas de login IMAP com falha por hora para essa caixa de correio. As tentativas de login estão chegando como um gotejamento lento de IPs únicos (2-3 tentativas de login por minuto na mesma caixa de correio), então banir os IPs não é uma solução. Aumentar o número de tentativas com falha por hora só permite que o ataque prossiga e abre a porta para ataques simultâneos maiores.

O firewall da porta IMAP não é uma opção, pois gostaríamos de manter o acesso aberto de fora da rede VPN / corporativa, exceto pelas caixas de correio que estão sob um ataque atual / persistente. Inspecionar o tráfego também não é possível, pois está criptografado.

Então, estamos procurando por algo como postscreen_access_list, mas apenas para destinatários específicos, pois gostaríamos de limitar o acesso apenas às caixas de correio que estão sob ataque.

    
por imapq 26.11.2018 / 17:40

1 resposta

0

Eu olharia para fail2ban primeiro. É bastante simples e não requer mais configurações de hardware ou de rede. O fail2ban funciona observando arquivos de log e, em seguida, bloqueando IPs com iptables / nftables, etc.

Os padrões a serem procurados nos arquivos de log podem ser definidos - assim, você pode excluir os logins de determinadas caixas de correio, excluindo-os na expressão regular.

O

fail2ban não pode atenuar todo o tipo de DDoS, mas é a primeira ferramenta que eu verifico. Além disso, você não forneceu mais detalhes sobre suas necessidades e os tipos de ataques que enfrenta.

Para cada "prisão" no fail2ban, existem os domínios de falha e ignorados. Basta inserir as expressões regulares correspondentes lá.

    
por 30.11.2018 / 20:07