Mitigação de DDoS do postfix: como colocar na lista de permissões IPs para acesso IMAP a uma única caixa de correio

O (Zimbra usando) Postfix tem uma opção para colocar na lista de permissões IPs ou domínios para logins IMAP para uma caixa de correio específica somente ?

É isso que gostaríamos de alcançar:

• todos os IPs podem abrir uma conexão IMAP na porta 993 com válido credenciais [email protected]
• todos os IPs podem abrir uma conexão IMAP na porta 993 com credenciais válidas [email protected]
• apenas 1.2.3.4, 3.4.5.0/24 e foo.example.com podem abrir uma conexão IMAP na porta 993 com credenciais válidas [email protected]

De preferência, quando alguém do 4.5.6.7 tentar abrir uma sessão IMAP com credenciais [email protected], o mesmo erro deve ser retornado para uma tentativa malsucedida de login devido à senha incorreta ou ao endereço do destinatário inexistente, com o mesmo tempo limite ( por exemplo, 10 segundos).

Histórico: o nosso servidor de email (Zimbra usando o Postfix) está sob ataques intermitentes em caixas de correio específicas, resultando em bloqueio dessas caixas de correio devido ao número de tentativas de login IMAP com falha por hora para essa caixa de correio. As tentativas de login estão chegando como um gotejamento lento de IPs únicos (2-3 tentativas de login por minuto na mesma caixa de correio), então banir os IPs não é uma solução. Aumentar o número de tentativas com falha por hora só permite que o ataque prossiga e abre a porta para ataques simultâneos maiores.

O firewall da porta IMAP não é uma opção, pois gostaríamos de manter o acesso aberto de fora da rede VPN / corporativa, exceto pelas caixas de correio que estão sob um ataque atual / persistente. Inspecionar o tráfego também não é possível, pois está criptografado.

Então, estamos procurando por algo como postscreen_access_list, mas apenas para destinatários específicos, pois gostaríamos de limitar o acesso apenas às caixas de correio que estão sob ataque.